Español | English
rss facebook linkedin Twitter

Dump + PIN, ¿de qué están hablando?


Si sois aficionados a  frecuentar foros poco recomendables, sabréis que es fácil encontrar anuncios ofreciendo packs de "dumps+pin", de una variedad de países a módicos precios como si de una subasta se tratase. En este post vamos a explicar a qué se refieren nuestros amigos del lado oscuro con este tipo de anuncios y las sorpresas que esconden.


Aclarando conceptos

Sin entrar en muchos detalles, podemos decir que un dump es el volcado de la banda magnética de una tarjeta con sus correspondientes track 1 y 2 completos y ordenados. La obtención del dump, junto con su correspondiente PIN puede venir de cuatro fuentes:
  • Skimmers instalados en cajeros automáticos
  • TPV maliciosos
  • Sniffing (sí, a pesar de las capas de cifrado)
  • Otros ingeniosos dispositivos como skimmers en gasolineras y máquinas expendedoras, o incluso cajeros automáticos falsos.
Lo cierto es que tener unos cuantos dumps con su PIN, perfectamente operativos y sin bloquear, es como alcanzar el Santo Grial de la delincuencia tecnológica. Esto es así porque su monetización resulta mucho más sencilla y directa que las credenciales de banca online o los distintos tipos de carding. Si bien con el auge de la tecnología EMV estos ataques empiezan a complicarse, todavía muchos bancos y países no han implantado esta tecnología.


Monetización



Una vez tenemos estos datos, convertirlos en dinero resulta bastante sencillo: usando el material adecuado los dumps se graban en una tarjeta en blanco. Una vez hecho esto, se acude discretamente a un cajero evitando las cámaras de seguridad y con el PIN se realizan sucesivas extracciones de dinero hasta agotar el límite diario de la tarjeta. 

Dicho esto, lo interesante es que muy pocos vendedores, realmente ofrecen  los codiciados dumps + pin. Los delincuentes que tienen conocimientos e infraestructura para obtener esta información también lo tienen para monetizarlos sin necesidad de venderlos a terceros. Así obtienen unos beneficios mucho mayores y evitan la posibilidad de que el comprador no pague. Eso quiere decir, que estos anuncios son un intento de engaño en un 99% de las ocasiones

Por último, comentaros que evidentemente no todo es tan sencillo como lo hemos descrito aquí. Las entidades financieras conocen muy bien este tipo de fraude y cuentan con varias líneas de defensa. Pero quizás éste no sea el mejor lugar para detallarlas ;)


Javier Barrios
S21sec ecrime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login