LUK
19-08-2011, 09:57
Hace algunos meses se publicó un video sobre el robo de PINs en los cajeros para clonar tarjetas, unas de las recomendaciones que se daba era tapar el teclado de alguna forma para evitar que una cámara oculta -si la hubiera- capturara el ingreso del código.
Pues bien, ahora parece que esto ya no será suficiente, 3 investigadores han demostrado (http://www.securitynewsdaily.com/thermal-cameras-use-heat-to-steal-atm-pins-1068/) que es posible determinar el PIN ingresado con una cámara térmica que analiza el calor residual dejado en las teclas.
http://4.bp.blogspot.com/-ZFNYZKSyxDM/TkwmzIKp0qI/AAAAAAAAMdA/byNK-nXX6uI/s400/calor.jpg.jpeg (http://spamloco.net/2011/08/camara-termica-para-capturar-pins-de.html)
En las pruebas realizadas descubrieron que en teclados de goma, los rastros quedaban durante varios segundos e incluso era posible determinar la secuencia de los números, sin embargo en los teclados metálicos el calor se disipaba rápidamente haciendo imposible el análisis (descargar paper (http://www.usenix.org/events/woot11/tech/final_files/Mowery.pdf)).
La técnica nunca ha sido detectada en acción, es tecnología demasiado cara y no vale la pena arriesgar tantos billetes cuando se pueden obtener resultados con mucho menos, pero dado las ganancias "del negocio" no sería extraño que algunos lo intentaran.
Consejos para evitar el clonado de tarjetas:
El delincuente necesita dos cosas para clonar la tarjeta, la información de la banda magnética y el PIN. Así que hay que chequear la firmeza de la ranura y que no hallan elementos extraños, lo mismo hay que hacer con el teclado y al momento de ingresar la clave, es bueno taparlo para que no sea visible desde ningún ángulo.
Algunos skimmers o dispositivos de clonado, cuentan con teclados falsos que a simple vista pueden pasar desapercibidos:
http://4.bp.blogspot.com/-kal1tyrFeyQ/TkwmypLzxuI/AAAAAAAAMcw/bsC7IZvaQ-c/s400/teclado-falso-cajero.jpg (http://4.bp.blogspot.com/-kal1tyrFeyQ/TkwmypLzxuI/AAAAAAAAMcw/bsC7IZvaQ-c/s1600/teclado-falso-cajero.jpg)
Otros pueden tener todo un panel falso en su frente:
http://2.bp.blogspot.com/-b_SQoj5X6Cc/Tkwmygv9zPI/AAAAAAAAMc4/Q_oiGL6Rh0M/s400/pantalla-falsa-cajero.jpg (http://2.bp.blogspot.com/-b_SQoj5X6Cc/Tkwmygv9zPI/AAAAAAAAMc4/Q_oiGL6Rh0M/s1600/pantalla-falsa-cajero.jpg)
Hay muchas variantes de estos ataques, algunos son muy elaborados como los de las fotografías anteriores y otros más simples pero ingeniosos, como el uso de pegamento en las teclas (http://spamloco.net/2011/03/pegamento-en-el-teclado-de-los-cajeros.html).
Por SpamLoco en http://spamloco.net/2011/08/camara-termica-para-capturar-pins-de.html (http://spamloco.net/2011/08/camara-termica-para-capturar-pins-de.html)
Pues bien, ahora parece que esto ya no será suficiente, 3 investigadores han demostrado (http://www.securitynewsdaily.com/thermal-cameras-use-heat-to-steal-atm-pins-1068/) que es posible determinar el PIN ingresado con una cámara térmica que analiza el calor residual dejado en las teclas.
http://4.bp.blogspot.com/-ZFNYZKSyxDM/TkwmzIKp0qI/AAAAAAAAMdA/byNK-nXX6uI/s400/calor.jpg.jpeg (http://spamloco.net/2011/08/camara-termica-para-capturar-pins-de.html)
En las pruebas realizadas descubrieron que en teclados de goma, los rastros quedaban durante varios segundos e incluso era posible determinar la secuencia de los números, sin embargo en los teclados metálicos el calor se disipaba rápidamente haciendo imposible el análisis (descargar paper (http://www.usenix.org/events/woot11/tech/final_files/Mowery.pdf)).
La técnica nunca ha sido detectada en acción, es tecnología demasiado cara y no vale la pena arriesgar tantos billetes cuando se pueden obtener resultados con mucho menos, pero dado las ganancias "del negocio" no sería extraño que algunos lo intentaran.
Consejos para evitar el clonado de tarjetas:
El delincuente necesita dos cosas para clonar la tarjeta, la información de la banda magnética y el PIN. Así que hay que chequear la firmeza de la ranura y que no hallan elementos extraños, lo mismo hay que hacer con el teclado y al momento de ingresar la clave, es bueno taparlo para que no sea visible desde ningún ángulo.
Algunos skimmers o dispositivos de clonado, cuentan con teclados falsos que a simple vista pueden pasar desapercibidos:
http://4.bp.blogspot.com/-kal1tyrFeyQ/TkwmypLzxuI/AAAAAAAAMcw/bsC7IZvaQ-c/s400/teclado-falso-cajero.jpg (http://4.bp.blogspot.com/-kal1tyrFeyQ/TkwmypLzxuI/AAAAAAAAMcw/bsC7IZvaQ-c/s1600/teclado-falso-cajero.jpg)
Otros pueden tener todo un panel falso en su frente:
http://2.bp.blogspot.com/-b_SQoj5X6Cc/Tkwmygv9zPI/AAAAAAAAMc4/Q_oiGL6Rh0M/s400/pantalla-falsa-cajero.jpg (http://2.bp.blogspot.com/-b_SQoj5X6Cc/Tkwmygv9zPI/AAAAAAAAMc4/Q_oiGL6Rh0M/s1600/pantalla-falsa-cajero.jpg)
Hay muchas variantes de estos ataques, algunos son muy elaborados como los de las fotografías anteriores y otros más simples pero ingeniosos, como el uso de pegamento en las teclas (http://spamloco.net/2011/03/pegamento-en-el-teclado-de-los-cajeros.html).
Por SpamLoco en http://spamloco.net/2011/08/camara-termica-para-capturar-pins-de.html (http://spamloco.net/2011/08/camara-termica-para-capturar-pins-de.html)