Español | English
rss facebook linkedin Twitter

Bancos contra carders

Acordaos de la última vez que usasteis el comercio online. Muy probablemente en el formulario para autorizar la compra, además del CVV, vuestro nombre y la caducidad de la tarjeta, os pedían ese número de 3 cifras impreso en el reverso de la misma. En el argot bancario a este numerito se le denomina de distintas formas: para VISA es el CVV2 (Card Verification Value 2), Master Card lo llama CVC2 (Card Validation code 2) y American Express CID2 (Card Identifier 2).


Independientemente de la nomenclatura el CVV2, o como queráis llamarlo, es una de las medidas que implementaron en su día las entidades emisoras de tarjetas para evitar el fraude en Transacciones No Presenciales, es decir compras realizadas por Internet, teléfono o fax. Como os podéis imaginar estas operaciones son las más propensas al fraude, debido a que resulta imposible identificar al cliente de forma fiable.


El sistema se basa en que tanto el CVV como el nombre del titular y la caducidad están grabadas en la banda magnética, sin embargo el CVV2 no. Y además la normativa de VISA, M.C y AMEX prohíbe expresamente que se almacene en las bases de datos de los comercios online. Eso quiere decir que aunque tu tarjeta haya sido copiada en un restaurante, gasolinera o similar mediante un bonito skimmer o bien los delincuentes hayan comprometido la base de datos de tu tienda online preferida, les seguirá faltando el CVV2 y no podrán realizar compras online ilegítimas (a.k.a online carding).
La idea en su momento fue útil, pero hace años los carders la superaron, haciendo unos ajustes en los clásicos ataques:

Phishing
No me refiero a los enfocados contra la banca online, sino los destinados a capturar tarjetas. Generalmente vienen en forma de webs para recargar el móvil, aunque algunos años también nos sorprenden con sugerentes devoluciones fiscales. En ambos casos se intenta que la víctima introduzca el CVV2. Una variante original son falsos sites de comercio online o de contenido adulto situados altos en Google mediante Black Hat SEO

Vishing
Otra posibilidad muy comentada en foros underground, si se posee el CVV y los datos personales (generalmente mediante la explotación de una base de datos), consiste en llamar al cliente y conseguir el CVV2 con un poco de ingeniería social empleando los datos que conocemos para dar sensación de seguridad a la víctima.

Código malicioso
Los métodos anteriores no están mal, pero actualmente la principal fuente de datos del mundo del carding, con mucha diferencia, son las botnets.

El método de captura más sencillo es mediante el formgrabbing implementado por la mayoría de los troyanos bancarios. En este ejemplo pueden verse los datos de un usuario capturados, por Sereki mientras realiza una compra. El malware se activa al detectar la URL de la pasarela de pago (tapada en rojo) obteniendo CVV, CVV2 y fecha de caducidad.

Otra posibilidad más sofisticada es la inyección HTML que tantas veces hemos comentado en este blog. La siguiente imagen muestra la página del Bank of América modificada por nuestro amigo ZeuS.


En este caso, la pantalla insertada aparte del CVV2 también pide el PIN; la razón es la siguiente: conociendo las claves de acceso a la banca electrónica obtendremos el nombre del cliente. Con CVV + fecha de caducidad + nombre montamos una banda magnética válida , la grabamos en una tarjeta falsa y junto con el obtenido por ZeuS se pueden hacer compras en comercios (instore carding) o directamente sacar dinero en cajeros (real carding).

Para terminar podéis ver que ZeuS también solicita el ZIP del usuario ¿alguien sabe por qué lo está haciendo? Al que pueda aportar una respuesta válida le invito a un copa en la fiesta de la Rooted CON de este sábado :D

Javier Barrios Martos
S21sec ecrime

6 comentarios:

Radius dijo...

Pudiera ser por algo asi?
http://www.faqs.org/patents/app/20090045251


También pudiera ser para ajustar posibles ataques de ingenieria social, como simular una llamada de la sucursal de banco del barrio.


Y creo que este enlace puede añadir algo de luz al enigma:
http://threatpost.com/en_us/blogs/hackers-using-automation-geolocation-social-networking-attacks-020110

Anónimo dijo...

Buenas

Un comentario si se me permite, es que con nombre del cliente, CVV, y fecha de caducidad no se monta una tarjeta con una banda magnética válida, sino los desfalcos en cajeros se contarían por millones en vez de por miles. Para montar un track2 valido entran en juego otros factores llamados "datos discrecionales" de los que poco se sabe de ellos y bien que se encargan en ocultarlo.

Un saludo

Anónimo dijo...

Gracias Javier por tenernos al día sobre estos temas. Eres un crack....

Salu2. G.

Anónimo dijo...

Javi, eres un crack.

Gracias por tenernos al día en estos temas.

Salu2. G.

Anónimo dijo...

RADIUS va por buen camino...

La petición del ZIP por Zeus podría ser debido a que sabiendo el domicilio del titular, poder usar la tarjeta en otro país diferente, p.e. VISA tarda un mes en enviar los cargos realizados en otro país.
Otra razón podría ser que algunas entidades bancarias tienen un sistema para avisar por SMS o por llamada telefónica en caso del que los cargos se hagan en pais diferente (geolocalización)precisamente para evitar este tipo de actividades. en este caso sabiendo el domicilio/país utilizan la tarjeta en el mismo para evitar ese control. A efectos de investigación criminal facilita mucho la misma, en principio.

En definitiva, pudiera ser que sabiendo el lugar de residencia, usan esa tarjeta en el mismo lugar para no hacer saltar los controles que los emisores de las tarjetas y/o los bancos tienen para detectar operaciones fraudulentas.

¿Podrían ser alguna de estas el motivo?

Salu2. G.

Kaster dijo...

Buen artículo...

Respecto al ZIP, me da la sensación de que se pide ese dato para intentar evitar la posibilidad de cometer un delito federal en EEUU, ya que si el banco está en California y el fraude se comete desde Chicago es un delito federal y va a por ti el FBI.

No se, a lo mejor es una rayada mía que ya puede ser...


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login