proydesa | ccf

Evolución a través del tiempoLic. Fernando O. Alonso, CISSP CCNA GSEC

Fraudes con Tarjetasde Crédito

• Fraudes financieros

• Robos de identidad

• Fraudes de tarjetas

• Fraudes bancarios

Tipos de delitos y fraudes

• Se puede obtener una tarjeta por robo, hurto, propias vencidas o por búsqueda en los residuos.

• Con esas tarjetas inválidas en los residuos, se utiliza el método de la plancha y el pañuelo.

• Se cubre la tarjeta con un pañuelo como protección de los adhesivos, y el peso y calor de la plancha, alisa la tarjeta.

• Con un punzón numérico o alfabético se talla el número deseado y la fecha.

• ¿Que pasa con la cinta magnética? Se desmagnetiza, raya o raspa para inutilizarlas, y al ocurrir un “error” en el lector del comercio, el vendedor está obligado a chequear los datos por teléfono o por el impresor manual.

Falsificación de Tarjetas

• Algunas tarjetas imprimen el número en el dorso. Sin embargo, los falsificadores pegan stickers con mensajes como “En caso de robo llamar a…” o “Tarjeta registrada”, etc.

• Otros bancos le agregaron una foto del propietario que se saca en el banco mismo. Pero también tiene una falla. No es obligación para un cliente residir cerca del banco. En esos casos, el banco le solicita al cliente que envíe una foto por correo. ¿Quien verifica que esa persona es la de la foto enviada?

Contramedidas fallidas

• Los comerciantes deben solicitar una identificación ante una tarjeta dudosa. En caso de irritación del cliente, el comerciante debe aclararle que es para proteger SU dinero.

• Los propietarios de la tarjeta deben romper sus tarjetas y desechar sus partes en distintos residuos, de ser posible en distintos edificios.

¿Que se puede hacer al respecto?

• ¿Nunca han recibido esas cartas donde dicen que ud. ya ha sido pre-aprobado para una Tarjeta de Crédito, con la tarjeta incluida? Lo que uno generalmente hace es tirar la carta completa a la basura.

• Esos formularios, junto con el plástico son recuperados por otras personas que SI responden el formulario con NUESTROS datos.

La basura de uno… El tesoro de otro.

• De muchas más formas de las que se pueden imaginar.

• Una tarjeta de crédito se puede obtener robándola o duplicándola.

• Pero no sólo es valiosa la tarjeta en sí, sino su información.

• Se puede obtener una foto de la tarjeta.

• Se pueden obtener sus datos por teléfono, por interferir correspondencia o llamados o conexiones de Internet, por hurguetear la basura, por tener cómplices en los Bancos, por acceder lícita o ilícitamente a las bases de datos.

¿De cuantas maneras se puede producir un fraude en una tarjeta de

crédito?

• ¿Qué es más importante? ¿La tarjeta en sí? ¿La posesión de la tarjeta? ¿O la información de ésta?

¿La tarjeta o su información?

Interceptar tráfico de red

Interceptar tráfico de red

Interceptar tráfico de red

VISA Argentina

VISA Argentina

Hacking a Bases de Datos

• No hay mucho que un usuario pueda hacer al respecto más que sus tarjetas de crédito pertenezcan a instituciones de prestigio.

• En caso que un Comerciante y/o Proveedor tenga la información de su tarjeta, asegurarse que éstos cumplan con ciertas normas de seguridad.

Hacking a Bases de Datos

• Existe un estándar de seguridad llamado PCI DSS (Payment Card Industry – Data Security Standard) a la que las principales emisoras de tarjetas (Visa, MasterCard, Amex, Discover) obligan a las organizaciones (Bancos y toda organización que almacene datos de tarjetas) a cumplir con estrictas normas de seguridad para con la información de las tarjetas.

• Sería prudente averiguar si las organizaciones que poseen los datos de nuestras tarjetas, cumplen con este estándar.

PCI-DSS

Keylogging

• Siempre revisar la conexión del teclado y consultar por cualquier dispositivo desconocido o sospechoso.

• Para colocar contraseñas se recomienda también utilizar teclados virtuales.

Keylogging

Phishing

• Se debe chequear el dominio del sitio: www.banco.com en vez de www.banco.pepe.com.

• Se debe chequear el certificado o cualquier advertencia que arroje el navegador.

• Ante cualquier duda verificar la información por otro medio, como teléfono, e-mail, sitios alternativos, etc.

• Consultar o denunciar en sitios de autoridades anti-phishing como:– http://www.antiphishing.org– http://www.us-cert.gov/nav/report_phishing.html– http://www.fbi.gov/scams-safety/e-scams

Phishing

Social Engineering o Ingeniería Social

• Ante cualquier duda, nunca confiar. Siempre validar a la otra parte por un medio que lo certifique: Cortar la llamada y discar a quien dice ser, dominio del e-mail, solicitar credenciales, ajustarse a procedimientos, validar con sus superiores, etc.

• Nunca confiar en simplemente un nombre, correo electrónico o número de caller-id.

• Leer a Kevin Mitnick!!

Social Engineering o Ingeniería Social

• Se intenta terminar con el uso de las impresoras de recibos de tarjetas por carbónico por la información que guardan estos papeles.

Copias de Carbón

• Se debe estar precavido y saber donde están los datos de la tarjeta de uno.

Información de la tarjeta

• Cajeros Automáticos

Información de la tarjeta

• Sitios de Internet

Información de la tarjeta

Información de la tarjeta

Fuente: Caracciolo, C & Sallis, E – The Low Hanging Fruit

Información de la tarjeta

Fuente: Caracciolo, C & Sallis, E – The Low Hanging Fruit

Información de la tarjeta

Fuente: Caracciolo, C & Sallis, E – The Low Hanging Fruit

• Correspondencia

Información de la tarjeta

• ¿Uno conoce al mozo que le entrega la tarjeta de crédito para pagar la cuenta?

• Que un sitio web al que tipeamos la tarjeta es técnicamente seguro, pero… ¿Lo es éticamente? ¿Cual es el verdadero fin de ese sitio: Vender u obtener nuestra tarjeta?

• Uno confía en la honestidad de la persona a la que le entrega la tarjeta. ¿Pero confía uno en la capacidad de mantenerlo confidencial?

¿Está seguro uno a quién le entrega su tarjeta?

¿Está seguro uno a quién le entrega su tarjeta?

¿Está seguro uno a quién le entrega su tarjeta?

• ¿Porqué alguien compraría por Internet con una tarjeta robada o falsificada, si queda registrado el domicilio de entrega?

• Se puede escribir un domicilio inexistente. En ese caso el Courier lo envía a depósito para ser retirado por el destinatario.

• Lo único que solicitan (Si lo hacen) es pedir una identificación para retirar el envío. Ante la presentación de una identificación falsa (Documento, cédula, licencia de conducir, etc.), en depósito no tienen forma de verificar la veracidad de los datos de la persona.

Compras fraudulentas por Internet

• ¿Que relación puede tener un fraude de tarjetas de crédito con un e-mail?

• Muchos sitios de e-commerce piden que se registre el e-mail del usuario.

• Si un estafador tiene acceso a modificar el e-mail, ya sea por una sesión abierta, por teléfono, por correspondencia o por algún error del usuario, entonces puede solicitar un blanqueo de contraseña del sitio por olvido.

• Muchos usuarios cuidan las contraseñas y los PINs de sus tarjetas, pero no cuidan la contraseña de sus e-mails.

• La nueva contraseña se enviará por e-mail.

• Una vez ingresado, puede comprar productos, por ejemplo, que se puedan bajar, como e-books en Amazon o música en iTunes Store. O peor aún: Utilizar PayPal como medio de pago.

Las tarjetas y el e-mail

• ¿Alguien revisa con detenimiento que una vez realizado un pago en un comercio, la tarjeta que se nos devuelve es exactamente la nuestra?Pueden devolvernos una similar, falsificada, vencida u otra ya denunciada. Esto ocurre frecuentemente.

La tarjeta de regreso

Skimmers

• Han habido muchos casos de extravío de billeteras, donde una persona llama al propietario avisando haberla hallado, y que se la devolverá al instante o la llevará a un correo o buzón.

• Suelen ser falsificadores que realizan el llamado para ganar tiempo y que el propietario no haga la denuncia inmediatamente.

• Siempre se debe hacer la denuncia de inmediato, sin importar llamados telefónicos.

El llamado de la billetera perdida

• Un método utilizado para robar con tarjetas falsificadas o robadas es a través de un cheque.

• Con una tarjeta robada o falsificada, se puede pagar su crédito al día del vencimiento con un cheque.

• Ese cheque tiene un valor superior al crédito a pagar.• Automáticamente, el exceso se acredita en el crédito de la tarjeta para su uso

inmediato. Mientras el cheque demora 48 o 72 horas en conciliar su acreditación.• Obviamente el cheque es falso.• El falsificador tuvo 48 horas para usar ese crédito.

El cheque cancelatorio

• Las tarjetas de débito no afectan nuestro historial de crédito ya que son un cheque plástico. El importe es debitado inmediatamente de la cuenta.

• Es más apropiado que la tarjeta de crédito? Mientras que la tarjeta de crédito tiene un plazo de vencimiento y por ende de percatarnos de un fraude, el débito no. Una vez advertidos, ya es tarde.

• Con una tarjeta de crédito podemos rehusar un pago, e inclusivo intervenir a la justicia. Con el débito también, pero mientras tanto, el perjudicado es el usuario.

Tarjetas de débito

• El holograma en la tarjeta es otro método de autenticidad.

• Sin embargo hoy en día existen cientos de fabricantes de hologramas, mayoritariamente en Taiwán, Hong Kong y China.

• La principal diferencia radica que las legítimas tienen el holograma dentro del plástico.

• Las falsificadas, generan un relieve sensible al tacto ya que son adheridas por fuera.

Autenticidad por holograma

• Hoy en día, a las tarjetas se les agrega cierto chip inteligente con toda la información de autenticación encriptada.

• Un estudiante de la Universidad de California en Berkeley, pudo romper el código de 40-bits en 4 horas.

• Científicos de Bellcore, California, pudieron romper el código RSA, unas semanas después.

• Todo ayuda, pero todo es vulnerable. Sólo hay que ser consciente de ello.

Smart Cards

• Otro método es la irradiación de la tarjeta. No es necesario ser un criptógrafo profesional para inutilizar el chip. Si se lo somete a radiación, el chip queda inutilizado, obligando a usar las viejas técnicas.

• Para irradiarlo no es necesario poseer una central nuclear. Los rayos-X son suficientes. Con dejar una tarjeta escondida en una sala de radiografías, o aplicarle una radiógrafo de odontología, ya queda inutilizada.

Smart Cards

• Los fraudes con tarjetas son fáciles de aplicar, pero también fáciles de rastrear ya que las transacciones fraudulentas quedan registradas y pueden ser fácilmente investigadas y correlacionadas.

• Ejemplo: Los sistemas antifraudes llevan a cabo una correlación de todas las tarjetas comprometidas, y buscan comercios en común

Investigación de fraudes

• En el futuro, nuevas técnicas de pago y seguridad se irán aplicando. Y a éstas técnicas, nuevas destrezas aparecerán por parte de los falsificadores para contrarrestarlas. (Por ejemplo: ¿Que pasará con Google Wallet en el futuro? ¿A nadie le aterra la idea de una billetera con dirección IP o conexión bluetooth?).

• La mejor medida que se puede tomar es la concientización, tanto de los prestadores, de los comerciantes, de las aseguradoras, y principalmente, de los usuarios.

El futuro de las tarjetas.

• ¿Consultas?• ¿Dudas?• ¿Preguntas?• ¿Comentarios?

Futuras dudas, favor de realizarlas a falonso@proydesa.org

¡¡¡Muchas Gracias!!!