He aquí por qué el fraude con tarjetas de crédito sigue siendo una cosa – Krebs on Stability


La mayor parte del mundo civilizado hace años cambió a requerir chips de computadora en las tarjetas de pago que hacen que sea mucho más costoso y difícil para los ladrones clonarlos y usarlos para el fraude. Una excepción notable es Estados Unidos, que todavía se tambalea hacia este objetivo. Aquí hay un vistazo a los estragos que ha causado el retraso, como se ve a través de los patrones de compra en una de las tiendas de tarjetas robadas más grandes de la clandestinidad que fue pirateada el año pasado.

En octubre de 2019, alguien hackeó BriansClub, un common bazar de tarjetas robadas que utiliza la imagen y el nombre de este autor en su comercialización. Quien comprometió la tienda desvió datos de millones de cuentas de tarjetas que fueron adquiridas durante cuatro años a través de diversos medios ilícitos de negocios pirateados legítimos en todo el mundo, pero principalmente de comerciantes estadounidenses. Esa base de datos se filtró a KrebsOnSecurity, que a su vez la compartió con múltiples fuentes que ayudan a combatir el fraude con tarjetas de pago.

Un anuncio de BriansClub ha estado usando mi nombre y semejanza durante años para vender millones de tarjetas de crédito robadas.

Entre los destinatarios estaba Damon McCoy, profesor asociado en Escuela de Ingeniería Tandon de la Universidad de Nueva York (divulgación completa: NYU ha sido un anunciante desde hace mucho tiempo en este site). El trabajo de McCoy en la investigación de los sistemas de tarjetas de crédito utilizados por algunos de los proveedores de correo basura más importantes del mundo enriqueció enormemente los datos que informaron mi libro 2014 Nación Spam, y quería asegurarme de que él y sus colegas también conocieran los datos de BriansClub.

McCoy y otros investigadores de la Universidad de Nueva York descubrieron que BriansClub ganó cerca de $ 104 millones en ingresos brutos desde 2015 hasta principios de 2019, y enumeró más de 19 millones de números de tarjetas únicas para la venta. Alrededor del 97% del inventario fueron datos de banda magnética robados, comúnmente utilizados para producir tarjetas falsificadas para pagos en persona.

«Lo que más me sorprendió fue que todavía hay mucha gente deslizando sus tarjetas para realizar transacciones aquí», dijo McCoy.

En 2015, las principales asociaciones de tarjetas de crédito instituyeron nuevas reglas que hacían más riesgoso y potencialmente más costoso para los comerciantes de EE. UU. Continuar permitiendo a los clientes deslizar la banda en lugar de sumergir el chip. Para complicar esta transición fue el hecho de que muchos bancos estadounidenses emisores de tarjetas tardaron años en reemplazar sus existencias de tarjetas de clientes con tarjetas habilitadas con chip, e innumerables minoristas se esforzaron por actualizar sus terminales de pago para aceptar tarjetas con chip.

De hecho, tres años después el Reserva Federal de los Estados Unidos estimado (PDF) que 43.3 por ciento de los pagos con tarjeta en persona todavía se procesaban leyendo la banda magnética en lugar del chip. Esto podría no haber sido un gran problema si las terminales de pago de muchos de esos comerciantes no estuvieran comprometidas con el software program malicioso que copiaba los datos cuando los clientes pasaban sus tarjetas.

Después del cambio de responsabilidad de 2015, se vendieron más del 84 por ciento de las tarjetas sin chip anunciadas por BriansClub, frente a solo el 35 por ciento de las tarjetas con chip durante el mismo período de tiempo.

«Todas las tarjetas sin chip tenían una demanda mucho mayor», dijo McCoy.

Quizás sorprendentemente, McCoy y sus colegas investigadores de la NYU descubrieron que los clientes de BriansClub compraron solo el 40% de su inventario whole. Pero lo que compraron respalda la noción de que los delincuentes generalmente gravitan hacia tarjetas emitidas por instituciones financieras que se perciben con menos o más protecciones laxas contra el fraude.

Fuente: NYU.

Si bien los 10 principales emisores de tarjetas en los Estados Unidos representaron casi la mitad de las cuentas puestas a la venta en BriansClub, solo se vendió el 32 por ciento de esas cuentas, y aproximadamente la mitad del precio medio de las emitidas por pequeñas y medianas empresas. instituciones de gran tamaño.

En contraste, más de la mitad de las tarjetas robadas emitidas por instituciones pequeñas y medianas se compraron en la tienda de fraudes. Esto fue cierto a pesar de que a fines de 2018, el 91 por ciento de las tarjetas para la venta de instituciones medianas estaban basadas en chips, y el 89 por ciento de bancos y cooperativas de crédito más pequeñas. Casi todas las tarjetas emitidas por los diez principales emisores de tarjetas de EE. UU. (98 por ciento) tenían chip habilitado para ese momento.

BLOQUEO DE REGIÓN

Los investigadores encontraron que los clientes de BriansClub preferían tarjetas emitidas por instituciones financieras en regiones específicas de los Estados Unidos, específicamente Colorado, Nevada y Carolina del Sur.

«Por alguna razón, se percibió que esas regiones tenían sistemas antifraude más bajos o que no eran tan efectivos», dijo McCoy.

Las tarjetas comprometidas de los comerciantes en Carolina del Sur tenían una demanda especialmente alta, con los estafadores dispuestos a gastar el doble en esas tarjetas for every cápita que cualquier otro estado, aproximadamente $ 1 por residente.

Esa tendencia de ventas también se reflejó en los tickets de soporte presentados por los clientes de BriansClub, a quienes con frecuencia se les informó que las tarjetas vinculadas al sureste de los Estados Unidos tenían menos probabilidades de ser restringidas para su uso fuera de la región.

Imagen: NYU.

McCoy dijo que la falta de bloqueo regional también hizo que las tarjetas robadas emitidas por los bancos en China fueran algo muy atractivo, a pesar de que estas tarjetas exigían precios mucho más altos (a menudo más de $ 100 por cuenta): los investigadores de la Universidad de Nueva York descubrieron que prácticamente todas las tarjetas chinas disponibles se vendieron poco después fueron puestos a la venta. Lo mismo ocurre con las relativamente pocas tarjetas corporativas y de negocios a la venta.

La falta de bloqueos regionales también puede haber causado que los ladrones de cartas graviten hacia comprar tantas cartas como puedan de USAA, un banco de ahorro que atiende a miembros activos y antiguos del servicio militar y sus familias inmediatas. Los investigadores encontraron que más del 83 por ciento de las tarjetas USAA disponibles se vendieron entre 2015 y 2019.

Aunque las tarjetas Visa constituían más de la mitad de las cuentas puestas a la venta (12,1 millones), solo se vendió el 36 por ciento. Las Credit cards fueron las segundas más abundantes (3.72 millones) y, sin embargo, más del 54 por ciento de ellas se vendieron.

American Categorical y Descubrir, que, a diferencia de Visa y MasterCard, son las llamadas redes de “circuito cerrado” que no dependen de instituciones financieras de terceros para emitir tarjetas y administrar fraudes en ellas, vieron el 28.8 por ciento y el 33 por ciento de sus tarjetas robadas compradas, respectivamente.

PREPAGOS

Algunas personas preocupadas por el flagelo del fraude con tarjetas de débito y crédito optan por comprar tarjetas prepagas, que generalmente disfrutan de las mismas protecciones para los titulares de tarjetas contra transacciones fraudulentas. Pero el equipo de la NYU descubrió que las cuentas prepagas comprometidas se compraron a una tasa mucho más alta que las tarjetas de débito y crédito normales.

Varios factores pueden estar en juego aquí. Para empezar, relativamente pocas tarjetas prepagas para la venta estaban basadas en chips. McCoy dijo que había algunos datos que sugieren que muchos de estos prepagos se emitieron a personas que reciben beneficios del gobierno, como desempleo y asistencia alimentaria. Específicamente, la información del «código de servicio» asociada con estas tarjetas prepagas indicó que muchas estaban restringidas para su uso en lugares como licorerías y casinos.

«Este fue un hallazgo bastante triste, porque si no tienes un banco, probablemente así es como obtienes tu salario», dijo McCoy. “Estas cartas fueron atacadas desproporcionadamente. Lo desafortunado y sorprendente fue la gran demanda y la falta de soporte (chip) para tarjetas prepagas. Además, estas tarjetas probablemente fueron más atractivas para los estafadores porque las contramedidas antifraude (del emisor) no estaban a la altura, posiblemente porque saben menos sobre sus clientes y su historial de compras típico «.

Ganancias

Los investigadores de la NYU estiman que BriansClub obtuvo aproximadamente $ 24 millones en ganancias durante cuatro años. Calcularon este número tomando los más de $ 100 millones en ventas totales y restando las comisiones pagadas a los ladrones de tarjetas que suministraron productos frescos a la tienda, así como el precio de las tarjetas que fueron reembolsadas a los compradores. BriansClub, como muchas otras tiendas de tarjetas robadas, ofrece reembolsos en ciertas compras si el comprador puede demostrar que las tarjetas ya no estaban activas al momento de la compra.

En promedio, BriansClub pagaba a los proveedores comisiones que oscilaban entre el 50 y el 60 por ciento del valor whole de las tarjetas vendidas. Las cuentas de tarjeta no presente (CNP), o aquellas robadas a minoristas en línea y compradas por estafadores principalmente para defraudar a otros comerciantes en línea, obtuvieron una comisión de proveedor mucho más pronunciada del 80 por ciento, pero principalmente porque estas tarjetas tenían una gran demanda y bajo suministro

El equipo de la NYU descubrió que las ventas sin tarjeta representaban solo el 7 por ciento de todos los ingresos, a pesar de que los ladrones de tarjetas claramente ahora tienen incentivos mucho más altos para apuntar a los comerciantes en línea.

Una historia aquí el año pasado observó que este tira y afloja exacto de la oferta y la demanda había ayudado a aumentar significativamente los precios de las cuentas sin tarjeta en varias tiendas de tarjetas de crédito robadas en el subsuelo. No hace mucho, el precio de las cuentas CNP era menos de la mitad que las cuentas con tarjeta presente. En estos días, esos precios son más o menos equivalentes.

Una razón probable para ese cambio es que Estados Unidos es el último de los países del G20 en hacer una transición total a tarjetas de pago basadas en chips más seguras. En todos los demás países que hace mucho tiempo hicieron la transición de las tarjetas con chip, vieron la misma dinámica: al dificultar que los ladrones falsificaran tarjetas físicas, el fraude no desapareció, sino que se trasladó a los comerciantes en línea.

La misma progresión está ocurriendo ahora en los Estados Unidos, solo que la demanda de datos robados del CNP aún supera con creces la oferta. Lo que podría explicar por qué hemos visto un aumento tan grande en los últimos años en los sitios de comercio electrónico pirateados.

«Todos señalan este efecto de desplazamiento del fraude de tarjeta presente a fraude de tarjeta no presente», dijo McCoy. «Pero si el suministro no está allí, hay mucho espacio para que ocurra ese desplazamiento».

Sin duda, la epidemia del fraude con tarjetas se ha beneficiado enormemente de las cadenas minoristas pirateadas, particularmente restaurantes, que aún permiten a los clientes deslizar tarjetas basadas en chips. Pero como veremos en una publicación que se publicará mañana, una nueva investigación sugiere que los ladrones están comenzando a implementar métodos ingeniosos para convertir datos de tarjetas de ciertas transacciones comprometidas basadas en chips en tarjetas físicas falsificadas.

Una copia del trabajo de investigación de NYU está disponible aquí (PDF).


Etiquetas: briansclub hack, Damon McCoy, mastercard, New York College Tandon College of Engineering, USAA, Visa

Esta entrada fue publicada el miércoles 29 de julio de 2020 a las 3:46 pm y se archiva en A Very little Sunshine, Information Breaches.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial