“Agárralo y muévelo”

Ha pasado un tiempo desde que escribimos sobre los skimmers de tarjetas, que solían desempeñar un papel importante en el cibercrimen global.

Hoy en día, muchas, si no la mayoría, de las historias de infracciones y delitos cibernéticos giran en torno al ransomware, la web oscura y la nube, o alguna combinación impía de los tres.

En los ataques de ransomware, los delincuentes en realidad no necesitan acercarse a la escena del crimen en persona, y sus ganancias se obtienen en línea, generalmente utilizando tecnologías pseudoanónimas como la web oscura y las criptomonedas.

Y en algunos delitos cibernéticos basados ​​en la nube, en particular aquellos generalmente conocidos como ataques a la cadena de suministro, los delincuentes ni siquiera necesitan acceder a su red.

Si pueden encontrar un tercero al que le carga datos valiosos con regularidad, o del que descarga habitualmente software confiable, entonces pueden ir tras ese tercero y causar el daño allí.

En recientes ataques de ciberextorsión, docenas de marcas importantes han sido chantajeadas por datos robados de empleados y clientes, a pesar de que esos datos fueron robados indirectamente.

En los ataques a MOVEit, por ejemplo, los datos fueron robados de proveedores de servicios como empresas de procesamiento de nóminas, que habían utilizado software de transferencia de archivos con errores para aceptar cargas supuestamente seguras de sus propios clientes.

Sin que lo supieran ni las empresas que finalmente fueron chantajeadas ni los servicios de procesamiento de nómina que utilizaron, el software de transferencia de archivos MOVEIt también permitió a los delincuentes realizar descargas no autorizadas de datos almacenados.

Explotación de día cero de MOVEit utilizada por bandas de violación de datos: cómo, por qué y qué hacer...

El robo de tarjetas de crédito, por el contrario, es un delito mucho más directo, tanto para quienes lo perpetran como para sus víctimas.

Los skimmers de tarjetas tienen como objetivo filtrar la información privada que es fundamental para su tarjeta bancaria, en el mismo momento en que la utiliza.

Es notorio que los estafadores de tarjetas no solo buscan los datos almacenados en la tarjeta, sino también el PIN que sirve como segundo factor de autenticación.

Ya sea que su tarjeta tenga una banda magnética fácil de clonar, un chip seguro que no se puede clonar o ambos, su PIN nunca se almacena en la tarjeta real.

Por lo tanto, los delincuentes suelen utilizar cámaras ocultas en miniatura para espiar su PIN en vivo mientras lo ingresa.

Irónicamente, tal vez los cajeros automáticos de los bancos, más conocidos como cajeros automáticos, sean un lugar perfecto para los equipos de robo de tarjetas.

Los cajeros automáticos casi siempre recogen su tarjeta mecánicamente y la introducen directamente en la máquina, fuera de la vista y del alcance.

(Aparentemente, esto se debe a dos razones principales: en primer lugar, porque ese proceso tiende a cortar cualquier cable soldado en la tarjeta que pueda conectarla con el mundo exterior mientras está en uso, y en segundo lugar, porque permite al banco confiscar la tarjeta si piensa que podría haber sido robado.)

En otras palabras, agregar un lector de banda magnética falso a un cajero automático es generalmente más efectivo que hacer lo mismo en cualquier terminal con toque para pagar o con chip y PIN, donde la banda magnética completa nunca pasa dentro o sobre el lector.

Además, los cajeros automáticos siempre solicitan su PIN y, a menudo, tienen muchas características de superficie convenientes donde se puede ocultar una pequeña cámara a la vista.

Otra ironía es que los vestíbulos de los bancos bien iluminados, cuyo objetivo es brindar un entorno tranquilizador, son a veces un mejor lugar para los estafadores de tarjetas que los cajeros automáticos con poca luz en las calles laterales.

En un caso que recordamos, el vestíbulo de los cajeros automáticos en un edificio del centro que prestaba servicios a varios bancos había sido equipado con una puerta de “seguridad” fuera del horario laboral para que los clientes se sintieran más seguros.

La puerta estaba destinada a evitar que cualquiera pasara toda la noche entre los cajeros automáticos, porque los posibles usuarios de cajeros automáticos tenían que pasar una tarjeta bancaria de algún tipo en la entrada para obtener el acceso inicial.

Sin embargo, en lugar de mejorar la seguridad, esto empeoró las cosas, porque los delincuentes simplemente instalaron un lector de tarjetas oculto en la propia puerta, filtrando así los datos de las tarjetas de todos los bancos antes de que los clientes llegaran a los cajeros automáticos.

Además, los delincuentes pudieron utilizar una cámara oculta en el vestíbulo, en lugar de pegarla en un cajero automático específico, para vigilar los PIN de los usuarios.

Al igual que los ataques MOVEit antes mencionados, en los que a las empresas les robaron los datos trofeo sin que se pudiera acceder a sus propias computadoras, estos delincuentes recuperaron datos de tarjetas de cajero automático y PIN coincidentes de varios bancos diferentes sin tocar físicamente un solo cajero automático.

En otro caso conocido, los delincuentes filmaron en secreto los PIN de un cajero automático en las instalaciones de un banco colocando su cámara de vigilancia no en el propio cajero automático, que el personal estaba capacitado para comprobar periódicamente, sino en la parte inferior de un soporte para folletos corporativos en la pared junto al cajero automático.

Al parecer, el personal ayudó inadvertidamente a los delincuentes rellenando diligentemente el portafolletos cada vez que se quedaba sin material de marketing, proporcionando una cobertura literal para el compartimento oculto en la parte inferior donde estaba escondido el hardware de la cámara espía.

Bueno, el robo de información en cajeros automáticos sigue siendo en gran medida un delito cibernético en curso, como informó durante el fin de semana la policía de Brisbane en Queensland, Australia, donde tres hombres fueron arrestados recientemente por una serie de delitos relacionados con el robo de información.

El busto parece haber caído más o menos así:

Después de una breve pero rápida persecución a pie por el popular Queen Street Mall de Brisbane, los sospechosos que huían fueron detenidos y arrestados.

Con una orden de registro en mano para la dirección de entrega del paquete interceptado, los policías hicieron una visita y alegaron que encontraron “dos cámaras estenopeicas y varios elementos de identificación fraudulentos, incluidas tarjetas bancarias e imágenes de una licencia y un pasaporte. "

Las cámaras, según la policía, estaban escondidas dentro de piezas de cajeros automáticos con la marca del banco.

Además, según la policía, una de las identificaciones falsas recuperadas en la redada coincidía con el nombre del paquete interceptado que contenía dispositivos de skim.

Fue entonces cuando arrestaron al tercer sospechoso.

Para tener una idea de qué buscar en los cajeros automáticos sospechosos, ¿por qué no ver imágenes de vídeo seleccionadas de la redada, publicadas por la policía de Queensland?

Los componentes del hardware de lectura aparecen al final, después de algunas imágenes de la cámara corporal de los sospechosos siendo revisados ​​y atrapados en la persecución a pie, con el sonido de las esposas cerrándose:

La policía no colocó ningún objeto conocido con los paneles desnatados para tener una idea de la escala, pero suponemos que los paneles de plástico azul que verá, dentro de uno de los cuales está escondido lo que parece un incrustado listo para usar. La placa base System-on-Chip está diseñada para ubicarse junto a la ranura en la que inserta su tarjeta de cajero automático.

Suponemos que el azul de dos tonos coincide con la combinación de colores del banco, con la flecha amarilla apuntando a la ranura para tarjetas.

Como se mencionó anteriormente, los dispositivos de skimmer a menudo se fabrican por encargo para que coincidan con la marca actual del banco y los cajeros automáticos a los que se dirigen los delincuentes, lo que los hace más difíciles de detectar que algunos de los paneles genéricos de color beige que hemos visto. en el pasado, como este de una redada de la policía de Queensland en 2012:

O el consejo es:

Como siempre, mira antes de saltar.

Seguir@NakedSecurity en Twitterpara conocer las últimas noticias sobre seguridad informática.

Seguir@NakedSecurity en Instagram¡Para fotografías, gifs, vídeos y LOL exclusivos!