LUK
14-10-2008, 13:57
Su ladrón de bancos ordinario ahora puede robar cientos de números de cuenta de los cajeros automáticos sin casi mover un dedo. En lugar de eso espían los datos ('skim').
El 'skimming' es el uso de lectores secundarios para capturar la información de la banda magnética que está detrás de las tarjetas de crédito y débito. En los cajeros automáticos (ATM), los 'skimmers' y teclados secundarios se usan para capturar los números de cuenta y códigos PIN. Usualmente, las transacciones en los ATM se realizan normalmente, y el cliente no se da cuenta que su cuenta ha sido comprometida hasta tiempo después.
Estos criminales de alta tecnología enfrentan dos riesgos de ser atrapados una cubierta falsa sobre la ranura usual del ATM y el teclado, luego recuperar los dispositivos para obtener la información de la cuentas.
Con el arresto la semana pasada de “Chao” un 'skimmer' Turco, nos llega nueva información sobre el estilo de vida de los modernos ladrones de bancos, incluyendo detalles de los nuevos dispositivos que envían la información capturada mediante mensajes SMS a sus avanzados teléfonos celulares (smartphones).
Por unos u$s 8.000 los 'skimmers' pueden obtener su propia cubierta falsa de ATM capaz de trasmitir 1.856 datos de tarjetas vía mensajes SMS. Hay descuentos por cantidad. Y si no desearan la trasmisión de información tarjeta por tarjeta, pueden llamar al dispositivo y descargar todo los datos según su conveniencia.
Seguramente ud. estará diciendo, “momento, yo me daría cuenta del peligro” No tant rápido. Estos tipos son buenos. Muy buenos. Vea las fotos de los cajeros automáticos comprometidos en Snopes.com (http://www.snopes.com/fraud/atm/atmcamera.asp) o vea este video para ver como se logró un 'skimming' de un ATM el año pasado en Pennsylvania.
El 'skimming' tuvo su comienzo en Sudáfrica, y desde 2004, han habido un puñado de caso notables en los EEUU, afectando ATM en Seattle, San Francisco, Los Ángeles, y Austin, Texas. A finales del año pasado, Citibank reemplazó tarjetas de débito (http://news.cnet.com/8301-10784_3-9982500-7.html) para sus clientes de Manhattan debido a una operación de skimming sucedida allí.
En febrero ultimo, durante una presentación de Billy Rios y Nitesh Dhanjani (http://news.cnet.com/8301-10789_3-9875414-57.html) en la conferencia BlackHat en Wahington, vi la fotografía de un depósito lleno de coberturas falsas de ranuras de ATM de una de las empresas con las que se tropezaron. ¿Lo quiere de color negro? Ellos tienen en negro. ¿Lo quiere beige? Lo tienen. ¿Y que hay en blanco o gris? Todo cubierto.
La estandarización industrial de lectores de ATM hace más fácil a los criminales el copiar, de modo que los ladrones de bancos solo tienen que ubicar el estilo apropiado. Una segunda foto mostraba cajas de cubiertas de teclados. Grandes, pequeños. Nuevamente, lo unico que necesita es uno que coincida en el estilo y color.
Una vez que la información de la cuenta se captura, los criminales tienden a grabarlas en tarjeta magnéticas en blanco (estándar ISO 7810) y luego usarlas en los cajeros por todo el mundo.
¿Cómo son capaces de engañar a tanta gente? En el blog de Zdnet, Dancho Danchev (http://blogs.zdnet.com/security/?p=2000) especula que podría haber alguna complicidad con gente que trabaja con los fabricantes de ATM. Su blog está lleno de detalles de un sitio que ofrece estas coberturas falsas.
Hay un inconveniente con este servicio vía SMS. Tal como con un teléfono celular, los dispositivos necesitan baterías, las cuales se descargan. Y algunas trasmisiones SMS sencillamente fallan. Aun así, si un criminal obtiene 1500 números de cuentas bancarias, no creo que les preocupe mucho.
Enlaces:
http://news.cnet.com/defense-in-depth/?tag=newsCategoryArea.2
http://blogs.zdnet.com/security/?p=2000
El 'skimming' es el uso de lectores secundarios para capturar la información de la banda magnética que está detrás de las tarjetas de crédito y débito. En los cajeros automáticos (ATM), los 'skimmers' y teclados secundarios se usan para capturar los números de cuenta y códigos PIN. Usualmente, las transacciones en los ATM se realizan normalmente, y el cliente no se da cuenta que su cuenta ha sido comprometida hasta tiempo después.
Estos criminales de alta tecnología enfrentan dos riesgos de ser atrapados una cubierta falsa sobre la ranura usual del ATM y el teclado, luego recuperar los dispositivos para obtener la información de la cuentas.
Con el arresto la semana pasada de “Chao” un 'skimmer' Turco, nos llega nueva información sobre el estilo de vida de los modernos ladrones de bancos, incluyendo detalles de los nuevos dispositivos que envían la información capturada mediante mensajes SMS a sus avanzados teléfonos celulares (smartphones).
Por unos u$s 8.000 los 'skimmers' pueden obtener su propia cubierta falsa de ATM capaz de trasmitir 1.856 datos de tarjetas vía mensajes SMS. Hay descuentos por cantidad. Y si no desearan la trasmisión de información tarjeta por tarjeta, pueden llamar al dispositivo y descargar todo los datos según su conveniencia.
Seguramente ud. estará diciendo, “momento, yo me daría cuenta del peligro” No tant rápido. Estos tipos son buenos. Muy buenos. Vea las fotos de los cajeros automáticos comprometidos en Snopes.com (http://www.snopes.com/fraud/atm/atmcamera.asp) o vea este video para ver como se logró un 'skimming' de un ATM el año pasado en Pennsylvania.
El 'skimming' tuvo su comienzo en Sudáfrica, y desde 2004, han habido un puñado de caso notables en los EEUU, afectando ATM en Seattle, San Francisco, Los Ángeles, y Austin, Texas. A finales del año pasado, Citibank reemplazó tarjetas de débito (http://news.cnet.com/8301-10784_3-9982500-7.html) para sus clientes de Manhattan debido a una operación de skimming sucedida allí.
En febrero ultimo, durante una presentación de Billy Rios y Nitesh Dhanjani (http://news.cnet.com/8301-10789_3-9875414-57.html) en la conferencia BlackHat en Wahington, vi la fotografía de un depósito lleno de coberturas falsas de ranuras de ATM de una de las empresas con las que se tropezaron. ¿Lo quiere de color negro? Ellos tienen en negro. ¿Lo quiere beige? Lo tienen. ¿Y que hay en blanco o gris? Todo cubierto.
La estandarización industrial de lectores de ATM hace más fácil a los criminales el copiar, de modo que los ladrones de bancos solo tienen que ubicar el estilo apropiado. Una segunda foto mostraba cajas de cubiertas de teclados. Grandes, pequeños. Nuevamente, lo unico que necesita es uno que coincida en el estilo y color.
Una vez que la información de la cuenta se captura, los criminales tienden a grabarlas en tarjeta magnéticas en blanco (estándar ISO 7810) y luego usarlas en los cajeros por todo el mundo.
¿Cómo son capaces de engañar a tanta gente? En el blog de Zdnet, Dancho Danchev (http://blogs.zdnet.com/security/?p=2000) especula que podría haber alguna complicidad con gente que trabaja con los fabricantes de ATM. Su blog está lleno de detalles de un sitio que ofrece estas coberturas falsas.
Hay un inconveniente con este servicio vía SMS. Tal como con un teléfono celular, los dispositivos necesitan baterías, las cuales se descargan. Y algunas trasmisiones SMS sencillamente fallan. Aun así, si un criminal obtiene 1500 números de cuentas bancarias, no creo que les preocupe mucho.
Enlaces:
http://news.cnet.com/defense-in-depth/?tag=newsCategoryArea.2
http://blogs.zdnet.com/security/?p=2000