Post on 04-Jul-2015
Evolución a través del tiempoLic. Fernando O. Alonso, CISSP CCNA GSEC
Fraudes con Tarjetasde Crédito
• Fraudes financieros
• Robos de identidad
• Fraudes de tarjetas
• Fraudes bancarios
Tipos de delitos y fraudes
• Se puede obtener una tarjeta por robo, hurto, propias vencidas o por búsqueda en los residuos.
• Con esas tarjetas inválidas en los residuos, se utiliza el método de la plancha y el pañuelo.
• Se cubre la tarjeta con un pañuelo como protección de los adhesivos, y el peso y calor de la plancha, alisa la tarjeta.
• Con un punzón numérico o alfabético se talla el número deseado y la fecha.
• ¿Que pasa con la cinta magnética? Se desmagnetiza, raya o raspa para inutilizarlas, y al ocurrir un “error” en el lector del comercio, el vendedor está obligado a chequear los datos por teléfono o por el impresor manual.
Falsificación de Tarjetas
• Algunas tarjetas imprimen elnúmero en el dorso. Sin embargo,los falsificadores pegan stickers conmensajes como “En caso de robollamar a…” o “Tarjeta registrada”,etc.
• Otros bancos le agregaron una fotodel propietario que se saca en elbanco mismo. Pero también tieneuna falla. No es obligación para uncliente residir cerca del banco. Enesos casos, el banco le solicita alcliente que envíe una foto porcorreo. ¿Quien verifica que esapersona es la de la foto enviada?
Contramedidas fallidas
• Los comerciantes debensolicitar una identificaciónante una tarjeta dudosa. Encaso de irritación del cliente,el comerciante debe aclararleque es para proteger SUdinero.
• Los propietarios de la tarjetadeben romper sus tarjetas ydesechar sus partes endistintos residuos, de serposible en distintos edificios.
¿Que se puede hacer al respecto?
• ¿Nunca han recibido esascartas donde dicen que ud. yaha sido pre-aprobado parauna Tarjeta de Crédito, con latarjeta incluida? Lo que unogeneralmente hace es tirar lacarta completa a la basura.
• Esos formularios, junto con elplástico son recuperados porotras personas que SIresponden el formulario conNUESTROS datos.
La basura de uno… El tesoro de otro.
• De muchas más formas de las quese pueden imaginar.
• Una tarjeta de crédito se puedeobtener robándola o duplicándola.
• Pero no sólo es valiosa la tarjeta ensí, sino su información.
• Se puede obtener una foto de latarjeta.
• Se pueden obtener sus datos porteléfono, por interferircorrespondencia o llamados oconexiones de Internet, porhurguetear la basura, por tenercómplices en los Bancos, poracceder lícita o ilícitamente a lasbases de datos.
¿De cuantas maneras se puede producirun fraude en una tarjeta de crédito?
• ¿Qué es más importante? ¿La tarjeta en sí? ¿La posesión de la tarjeta? ¿O la información de ésta?
¿La tarjeta o su información?
Interceptar tráfico de red
Interceptar tráfico de red
Interceptar tráfico de red
VISA Argentina
VISA Argentina
Hacking a Bases de Datos
• No hay mucho que un usuario pueda haceral respecto más que sus tarjetas de créditopertenezcan a instituciones de prestigio.
• En caso que un Comerciante y/o Proveedortenga la información de su tarjeta,asegurarse que éstos cumplan con ciertasnormas de seguridad.
Hacking a Bases de Datos
• Existe un estándar de seguridadllamado PCI DSS (Payment CardIndustry – Data Security Standard) ala que las principales emisoras detarjetas (Visa, MasterCard, Amex,Discover) obligan a lasorganizaciones (Bancos y todaorganización que almacene datos detarjetas) a cumplir con estrictasnormas de seguridad para con lainformación de las tarjetas.
• Sería prudente averiguar si lasorganizaciones que poseen los datosde nuestras tarjetas, cumplen coneste estándar.
PCI-DSS
Keylogging
• Siempre revisar la conexión del teclado y consultarpor cualquier dispositivo desconocido osospechoso.
• Para colocar contraseñas se recomienda tambiénutilizar teclados virtuales.
Keylogging
Phishing
• Se debe chequear el dominio del sitio: www.banco.com en vez dewww.banco.pepe.com.
• Se debe chequear el certificado o cualquier advertencia que arroje elnavegador.
• Ante cualquier duda verificar la información por otro medio, como teléfono,e-mail, sitios alternativos, etc.
• Consultar o denunciar en sitios de autoridades anti-phishing como:
– http://www.antiphishing.org
– http://www.us-cert.gov/nav/report_phishing.html
– http://www.fbi.gov/scams-safety/e-scams
Phishing
Social Engineering o Ingeniería Social
• Ante cualquier duda, nunca confiar.Siempre validar a la otra parte porun medio que lo certifique: Cortar lallamada y discar a quien dice ser,dominio del e-mail, solicitarcredenciales, ajustarse aprocedimientos, validar con sussuperiores, etc.
• Nunca confiar en simplemente unnombre, correo electrónico onúmero de caller-id.
• Leer a Kevin Mitnick!!
Social Engineering o Ingeniería Social
• Se intenta terminar con el uso de lasimpresoras de recibos de tarjetas porcarbónico por la información queguardan estos papeles.
Copias de Carbón
• Se debe estarprecavido y saberdonde están losdatos de la tarjetade uno.
Información de la tarjeta
• Cajeros Automáticos
Información de la tarjeta
• Sitios de Internet
Información de la tarjeta
Información de la tarjeta
Fuente: Caracciolo, C & Sallis, E – The Low Hanging Fruit
Información de la tarjeta
Fuente: Caracciolo, C & Sallis, E – The Low Hanging Fruit
Información de la tarjeta
Fuente: Caracciolo, C & Sallis, E – The Low Hanging Fruit
• Correspondencia
Información de la tarjeta
• ¿Uno conoce al mozo que le entrega la tarjeta decrédito para pagar la cuenta?
• Que un sitio web al que tipeamos la tarjeta estécnicamente seguro, pero… ¿Lo es éticamente?¿Cual es el verdadero fin de ese sitio: Vender uobtener nuestra tarjeta?
• Uno confía en la honestidad de la persona a la quele entrega la tarjeta. ¿Pero confía uno en lacapacidad de mantenerlo confidencial?
¿Está seguro uno a quién le entrega su tarjeta?
¿Está seguro uno a quién le entrega su tarjeta?
¿Está seguro uno a quién le entrega su tarjeta?
• ¿Porqué alguien compraría por Internet con una tarjeta robadao falsificada, si queda registrado el domicilio de entrega?
• Se puede escribir un domicilio inexistente. En ese caso elCourier lo envía a depósito para ser retirado por eldestinatario.
• Lo único que solicitan (Si lo hacen) es pedir una identificaciónpara retirar el envío. Ante la presentación de unaidentificación falsa (Documento, cédula, licencia de conducir,etc.), en depósito no tienen forma de verificar la veracidad delos datos de la persona.
Compras fraudulentas por Internet
• ¿Que relación puede tener un fraude de tarjetas de créditocon un e-mail?
• Muchos sitios de e-commerce piden que se registre el e-mail del usuario.
• Si un estafador tiene acceso a modificar el e-mail, ya seapor una sesión abierta, por teléfono, por correspondenciao por algún error del usuario, entonces puede solicitar unblanqueo de contraseña del sitio por olvido.
• Muchos usuarios cuidan las contraseñas y los PINs de sustarjetas, pero no cuidan la contraseña de sus e-mails.
• La nueva contraseña se enviará por e-mail.
• Una vez ingresado, puede comprar productos, porejemplo, que se puedan bajar, como e-books en Amazono música en iTunes Store. O peor aún: Utilizar PayPalcomo medio de pago.
Las tarjetas y el e-mail
• ¿Alguien revisa con detenimiento que una vezrealizado un pago en un comercio, la tarjeta que senos devuelve es exactamente la nuestra?Pueden devolvernos una similar, falsificada, vencidau otra ya denunciada. Esto ocurre frecuentemente.
La tarjeta de regreso
Skimmers
• Han habido muchos casos de extravíode billeteras, donde una personallama al propietario avisando haberlahallado, y que se la devolverá alinstante o la llevará a un correo obuzón.
• Suelen ser falsificadores que realizanel llamado para ganar tiempo y que elpropietario no haga la denunciainmediatamente.
• Siempre se debe hacer la denuncia deinmediato, sin importar llamados
telefónicos.
El llamado de la billetera perdida
• Un método utilizado para robar con tarjetas falsificadas o robadas es a través de uncheque.
• Con una tarjeta robada o falsificada, se puede pagar su crédito al día del vencimientocon un cheque.
• Ese cheque tiene un valor superior al crédito a pagar.
• Automáticamente, el exceso se acredita en el crédito de la tarjeta para su uso inmediato.Mientras el cheque demora 48 o 72 horas en conciliar su acreditación.
• Obviamente el cheque es falso.
• El falsificador tuvo 48 horas para usar ese crédito.
El cheque cancelatorio
• Las tarjetas de débito no afectan nuestro historial de crédito ya que son uncheque plástico. El importe es debitado inmediatamente de la cuenta.
• Es más apropiado que la tarjeta de crédito? Mientras que la tarjeta de créditotiene un plazo de vencimiento y por ende de percatarnos de un fraude, eldébito no. Una vez advertidos, ya es tarde.
• Con una tarjeta de crédito podemos rehusar un pago, e inclusivo intervenir ala justicia. Con el débito también, pero mientras tanto, el perjudicado es elusuario.
Tarjetas de débito
• El holograma en la tarjeta es otro
método de autenticidad.
• Sin embargo hoy en día existen
cientos de fabricantes de
hologramas, mayoritariamente en
Taiwán, Hong Kong y China.
• La principal diferencia radica que
las legítimas tienen el holograma
dentro del plástico.
• Las falsificadas, generan un
relieve sensible al tacto ya que
son adheridas por fuera.
Autenticidad por holograma
• Hoy en día, a las tarjetas se lesagrega cierto chip inteligente contoda la información de autenticaciónencriptada.
• Un estudiante de la Universidad deCalifornia en Berkeley, pudo romperel código de 40-bits en 4 horas.
• Científicos de Bellcore, California,pudieron romper el código RSA,unas semanas después.
• Todo ayuda, pero todo esvulnerable. Sólo hay que serconsciente de ello.
Smart Cards
• Otro método es la irradiaciónde la tarjeta. No es necesarioser un criptógrafo profesionalpara inutilizar el chip. Si se losomete a radiación, el chipqueda inutilizado, obligando ausar las viejas técnicas.
• Para irradiarlo no es necesarioposeer una central nuclear. Losrayos-X son suficientes. Condejar una tarjeta escondida enuna sala de radiografías, oaplicarle una radiógrafo deodontología, ya quedainutilizada.
Smart Cards
• Los fraudes con tarjetas sonfáciles de aplicar, pero tambiénfáciles de rastrear ya que lastransacciones fraudulentasquedan registradas y puedenser fácilmente investigadas ycorrelacionadas.
• Ejemplo: Los sistemasantifraudes llevan a cabo unacorrelación de todas las tarjetascomprometidas, y buscancomercios en común
Investigación de fraudes
• En el futuro, nuevas técnicas depago y seguridad se irán aplicando.Y a éstas técnicas, nuevas destrezasaparecerán por parte de losfalsificadores para contrarrestarlas.(Por ejemplo: ¿Que pasará conGoogle Wallet en el futuro? ¿A nadiele aterra la idea de una billetera condirección IP o conexión bluetooth?).
• La mejor medida que se puedetomar es la concientización, tantode los prestadores, de loscomerciantes, de las aseguradoras,y principalmente, de los usuarios.
El futuro de las tarjetas.
• ¿Consultas?
• ¿Dudas?
• ¿Preguntas?
• ¿Comentarios?
Futuras dudas, favor de realizarlas a falonso@proydesa.org
¡¡¡Muchas Gracias!!!