Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/12/2013
Cau una xarxa de cibercriminals dedicada al carding
La banda es dedicava a robar diners dels caixers automàtics fent carding de targetes de crèdit VISA i MasterCard.
Ahir la notícia del dia en totes les cadenes de televisió espanyoles va ser la detenció d’una banda de cibercriminals -permeteu-me que evite usar el terme pirata en el cos de la notícia a pesar que en totes les cadenes s’al·legava explícitament a pirates i no a cibercriminals-. La banda es dedicava a robar diners dels caixers automàtics fent carding de targetes de crèdit VISA i MasterCard.
http://www.rtve.es/alacarta/videos/telediario/cae-rama-espanola-red-crackers/2269357/
No s’especificava exactament d’on es treien les dades de les targetes, però la cosa més cridanera de tot el procés era que el líder de la banda, un cibercriminal alemany, s’encarregava de distribuir els números de les targetes de crèdit als membres de la seua xarxa d’extracció de diners que es troben distribuïts per múltiples països. L’estructura de persones distribuïda per diferents països s’havia muntat per a traure els diners dels caixers del lloc d’on és cada targeta robada de forma ràpida. És a dir, el líder deia a la xarxa de persones a Espanya: "Useu esta targeta de crèdit, que no té límit".
Fins al moment res havia cridat la meua atenció, però quan vaig escoltar que deien això que el líder informava que havia llevat els límits de la targeta, en eixe moment sí que em va cridar l’atenció. Després d’indagar un poc més, pareix que havien aconseguit vulnerar la seguretat de dos empreses dedicades al processament de targetes de crèdit, per a des dels seus sistemes llevar els límits de les targetes.
Açò és un atac dirigit en tota regla que dóna un pas més en l’estructura del carding i el frau en línia, ja que no sols buscaven utilitzar persones en les ubicacions físiques dels amos de les targetes i així evitar els sistemes de seguretat basats en perfils de localització d’ús, sinó que ho feien amb targetes que preparaven prèviament per mitjà d’un atac informàtic a uns elements fonamentals del sistema de targetes de crèdit com són les processadores de targetes. Per descomptat, les empreses processadores de targetes no sols han de complir la famosa PCI DSS, de la qual vos parlava l’altre dia, sinó que, a més, estan subjectes a molts més certificats de seguretat, i, així i tot, pareix que algú havia descobert un camí per a ficar-se en els seus sistemes i canviar els límits de les targetes.
Quan nosaltres vam crear Latch vam pensar que podia afegir una capa de protecció en un esquema d’atac a targetes de crèdit com este, on l’amo d’una targeta de crèdit poguera posar desactivada (OFF) en la seua targeta quan no la vol usar, i detectar qualsevol utilització fraudulenta d'esta rebent una alerta, per això ja estem treballant des de fa algun temps amb diverses institucions bancàries per a posar a prova este sistema en targetes de crèdit i fer de l’usuari un aliat més poderós en la lluita contra el carding. Pots provar el sistema amb el nostre banc fictici Nevele Bank.
Salutacions malignes!