Skimmers de caja con tecnología de tarjetas con chip – Krebs on Protection


Fácilmente, los dispositivos de skimming más sofisticados hechos para piratear terminales en las líneas de autopago de las tiendas minoristas son una nueva generación de teclado de PIN superpuesto combinado con un dispositivo adaptable y delgado que cabe dentro de la ranura del lector de chip de la terminal. ¿Qué permite que estos skimmers sean tan delgados? Extraen su energía de la corriente de bajo voltaje que se activa cuando se inserta una tarjeta con chip. Como resultado, no requieren baterías externas y pueden permanecer en funcionamiento indefinidamente.

Un dispositivo de desnatado de punto de venta que consta de una superposición de teclado de PIN (arriba) y un desnatador de tarjeta inteligente (también conocido como «brillo»). Todo el dispositivo se pliega sobre sí mismo, con el extremo inferior del brillo de la tarjeta versatile en la boca de la ranura de aceptación de la tarjeta con chip.

El dispositivo de desnatado superpuesto que se muestra arriba consta de dos componentes principales. El que está en la parte outstanding es una superposición de teclado de PIN normal diseñada para registrar las pulsaciones de teclas cuando un cliente ingresa el PIN de su tarjeta de débito. La superposición incluye un microcontrolador y una pequeña unidad de almacenamiento de datos (abajo a la izquierda).

El segundo componente, que está conectado al skimmer superpuesto, es un skimmer de tarjetas versatile (a menudo llamado «shimmer») que se introduce en la boca de la ranura de aceptación de tarjetas con chip. Notará que ninguno de los dispositivos tiene batería, porque simplemente no hay espacio suficiente para acomodar una.

Prácticamente todos los terminales de tarjetas de pago en las líneas de autopago ahora aceptan (si no también requieren) tarjetas con un chip para ser insertado en la máquina. Cuando se inserta una tarjeta con chip, el terminal lee los datos almacenados en la tarjeta inteligente enviando una corriente eléctrica a través del chip.

Increíblemente, este aparato de desnatado es capaz de desviar una pequeña cantidad de esa energía (unos pocos miliamperios) para registrar cualquier dato transmitido por la transacción del terminal de pago y las pulsaciones del teclado PIN. Cuando el terminal ya no está en uso, el dispositivo de desnatado permanece inactivo.

El skimmer que se muestra arriba no sobresale de la terminal de pago cuando se ha colocado correctamente dentro de la máquina. Así es como se ven la superposición del teclado PIN falso y el skimmer de tarjetas cuando están completamente insertados en la ranura de aceptación de tarjetas y se ven de frente:

El skimmer de inserción completamente instalado dentro de la terminal de pago comprometida. Imagen: KrebsOnSecurity.com

¿Detectarías un skimmer superpuesto como este? Así es como se ve cuando se conecta a una terminal de pago orientada al cliente:

La superposición del teclado PIN y el skimmer, completamente asentados en un terminal de pago.

TARJETAS REALMENTE INTELIGENTES

Los investigadores de fraudes con los que hablé sobre este dispositivo (que lo hicieron bajo condición de anonimato) dijeron que inicialmente no podían entender cómo los ladrones que colocan estos dispositivos recuperan los datos robados del skimmer. Normalmente, los skimmers superpuestos transmiten estos datos de forma inalámbrica mediante una placa de circuito Bluetooth incorporada. Pero eso también requiere que el dispositivo tenga una fuente de alimentación interna sustancial, como una batería de teléfono celular algo voluminosa.

Los investigadores supusieron que los delincuentes recuperarían los datos robados al volver a visitar periódicamente los terminales comprometidos con una tarjeta inteligente especializada que, cuando se inserta, indica al skimmer que descargue toda la información guardada en la tarjeta. Y de hecho, esto es exactamente lo que los investigadores finalmente encontraron que era el caso.

“Originalmente era solo una especulación”, dijo la fuente a KrebsOnSecurity. “Pero un comerciante (comprometido) encontró un par de tarjetas inteligentes &#39blancas&#39 sin marcas en ellas (que) se dejaron en una de sus tiendas. Nos informaron que tenían un laboratorio para validar que así funcionaba ”.

Algunos lectores podrían estar preguntando razonablemente por qué sería el caso de que la ranura de aceptación de la tarjeta en cualquier terminal de pago con chip sea lo suficientemente alta para acomodar tanto una tarjeta con chip como un dispositivo de desnatado adaptable como este.

La respuesta, al igual que con muchos aspectos de los sistemas de seguridad que disminuyen en eficacia con el tiempo, tiene que ver con las concesiones hechas para propósitos de compatibilidad con versiones anteriores. La mayoría de las tarjetas con chip modernas son significativamente más delgadas que la tarjeta de pago promedio hace unos años, pero las especificaciones de diseño de estos terminales establecen que deben poder permitir el uso de tarjetas más antiguas y más altas, como las que aún incluyen gofrado (números y letras en reduce). El estampado es un retroceso prácticamente de la edad de piedra a la forma en que se leían originalmente las tarjetas de crédito, mediante el uso de máquinas de impresión de tarjetas manuales «rompe-nudillos» y papel carbón.

«Los malos se están aprovechando de eso, porque la mayoría de las tarjetas inteligentes son mucho más delgadas de lo que requieren las especificaciones de estas máquinas», explicó la fuente. «De hecho, estas ranuras son tan altas que caben dos tarjetas allí».

ES TODO HACIA ATRÁS

La compatibilidad con versiones anteriores es un tema importante para permitir muchos tipos de skimming de tarjetas, incluidos los dispositivos hechos para comprometer los cajeros automáticos (ATM). Prácticamente todas las tarjetas con chip (al menos las emitidas en los Estados Unidos) todavía tienen muchos de los mismos datos almacenados en el chip codificado en una banda magnética en la parte posterior de la tarjeta. Esta funcionalidad twin también permite a los titulares de tarjetas deslizar la banda si por alguna razón el chip de la tarjeta o el terminal habilitado para tarjetas inteligentes de un comerciante no funciona correctamente.

Las tarjetas de crédito y débito basadas en chip están diseñadas para que no sea factible que los dispositivos de rastreo o el malware clone su tarjeta cuando paga por algo sumergiendo el chip en lugar de deslizar la banda. Pero los ladrones son expertos en explotar las debilidades en cómo ciertas instituciones financieras han implementado la tecnología para eludir las características clave de seguridad de las tarjetas con chip y crear efectivamente tarjetas falsificadas utilizables.

Mucha gente cree que los skimmers son principalmente un problema en los Estados Unidos, donde algunos cajeros automáticos todavía no requieren tarjetas basadas en chip más seguras que son mucho más caras y difíciles de clonar para los ladrones. Sin embargo, es precisamente porque algunos cajeros automáticos de EE. UU. Carecen de este requisito de seguridad por lo que el skimming sigue siendo tan frecuente en otras partes del mundo.

Principalmente por razones de compatibilidad con versiones anteriores para acomodar a los turistas estadounidenses, una gran cantidad de cajeros automáticos fuera de los EE. UU. Permiten insertar tarjetas sin chip en el cajero automático. Es más, muchas tarjetas con chip emitidas por bancos estadounidenses y europeos todavía tienen los datos del titular de la tarjeta codificados en una banda magnética además del chip.

Cuando los ladrones roban cajeros automáticos fuera de los EE. UU., Generalmente venden la tarjeta robada y los datos del PIN a los estafadores en Asia y América del Norte. Esos estafadores, a su vez, codificarán los datos de la tarjeta en tarjetas falsificadas y retirarán efectivo en cajeros automáticos más antiguos aquí en los Estados Unidos y en otros lugares.

Curiosamente, incluso después de que la mayoría de los bancos de EE. UU. Instalen cajeros automáticos con capacidad para chips, la banda magnética seguirá siendo necesaria porque es una parte integral del funcionamiento de los cajeros automáticos: la mayoría de los cajeros automáticos que se utilizan hoy en día requieren una banda magnética para que se acepte la tarjeta. la máquina. La razón principal de esto es asegurarse de que los clientes coloquen la tarjeta en la ranura correctamente, ya que las letras y números en ease que se encuentran en puntos extraños en el lector de tarjetas pueden afectar las máquinas con el tiempo.

Y hay decenas de miles de surtidores de flamable aquí en los Estados Unidos que todavía permiten pasar las cuentas de tarjetas con chip. Durante años, la industria de las bombas de flamable ha ganado demoras tras demoras en la implementación de requisitos de pago más seguros para las tarjetas (principalmente al flexionar su capacidad para favorecer sus propias tarjetas de marca de flamable, que en gran medida pasan por alto las principales redes de tarjetas de crédito).

Como period de esperar, las últimas dos décadas han visto el surgimiento de bandas organizadas de robo de gas que aprovechan al máximo el área más débil de la seguridad de las tarjetas en los Estados Unidos. Estos ladrones usan tarjetas clonadas para robar cientos de galones de gasolina en múltiples estaciones de servicio. El gas se bombea a camiones y camionetas ahuecados, que transportan el combustible a un camión cisterna gigante. Luego, los delincuentes venden y entregan la gasolina a precios reducidos a propietarios de estaciones de servicio y paradas de camiones sospechosos y cómplices.

Mucha gente united states tarjetas de débito para las compras diarias, pero nunca me ha interesado asumir el riesgo adicional y pagar todo en efectivo o con tarjeta de crédito. Armados con su PIN y los datos de su tarjeta de débito, los ladrones pueden clonar la tarjeta y sacar dinero de su cuenta en un cajero automático. Que su cuenta corriente se vacíe de efectivo mientras su banco soluciona la situación puede ser una gran molestia y crear problemas secundarios (cheques sin fondos, por ejemplo).

La próxima publicación de skimmer aquí examinará un dispositivo analógico ingenioso y económico que ayuda a los trabajadores minoristas a verificar rápidamente si sus terminales de pago han sido manipulados por malos.


Etiquetas: brillo, skimmer de tarjetas inteligentes

Esta entrada se publicó el martes 23 de febrero de 2021 a las 10:53 am y está archivada en Todo sobre los skimmers.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia primary