Cómo los detectives cibernéticos rompieron una banda de cajeros automáticos Shimmer – Krebs on Stability


En 2015, los departamentos de policía de todo el mundo comenzaron a encontrar cajeros automáticos comprometidos con nuevos dispositivos avanzados de «compensación» hechos para robar datos de transacciones con tarjetas con chip. Las autoridades de los Estados Unidos y del extranjero se habían apoderado de muchos de estos reflejos, pero durante años no pudieron descifrar los datos de los dispositivos. Esta es una historia de ingenio y casualidad, y cómo un ex agente del Servicio Secreto ayudó a descifrar un código que reveló los contornos de una pink mundial de crimen organizado.

Jeffrey Dant period un agente especial en el Servicio Secreto de EE. UU. durante 12 años hasta 2015. Después de eso, Dant se desempeñó como líder mundial para el centro de fusión de fraudes en Citi, una de las instituciones financieras más grandes de Estados Unidos.

Poco después de unirse a Citi, Dant escuchó a colegas de la industria en un banco en México que informaron haber encontrado uno de estos dispositivos de compensación dentro de la ranura de aceptación de tarjetas de un cajero automático community. Da la casualidad de que KrebsOnSecurity escribió sobre ese brillo en specific en agosto de 2015.

Este dispositivo de «compensación» de tarjetas está diseñado para leer tarjetas con chip y se puede insertar directamente en la ranura de aceptación de tarjetas del cajero automático.

Los reflejos fueron una innovación que causó preocupación en múltiples niveles. Para empezar, se suponía que las tarjetas de pago basadas en chip harían mucho más caro y difícil para los ladrones copiar y clonar. Pero estos skimmers se aprovecharon de las debilidades en la forma en que muchos bancos implementaron en ese momento el nuevo estándar de tarjetas con chip.

Además, a diferencia de los skimmers de cajeros automáticos tradicionales que funcionan con baterías ocultas de teléfonos celulares, los shimmers de cajeros automáticos que se encuentran en México no requerían ninguna fuente de alimentación externa y, por lo tanto, podían permanecer en funcionamiento recopilando datos de la tarjeta hasta que se retirara el dispositivo.

Cuando se inserta una tarjeta con chip, un cajero automático con capacidad para chip lee los datos almacenados en la tarjeta inteligente enviando una corriente eléctrica a través del chip. Increíblemente, estos reflejos pudieron desviar una pequeña cantidad de esa potencia (unos pocos miliamperios) para registrar cualquier dato transmitido por la tarjeta. Cuando el cajero automático ya no está en uso, el dispositivo de rastreo permanece inactivo, almacenando los datos robados en un formato encriptado.

Dant y otros investigadores que investigaban los reflejos no sabían en ese momento cómo los ladrones que colocaron los dispositivos recopilaron los datos robados. Los skimmers tradicionales de los cajeros automáticos se recuperan manualmente o están programados para transmitir los datos robados de forma inalámbrica, por ejemplo, mediante mensajes de texto o Bluetooth.

Pero recuerde que estos reflejos no tienen ni cerca de la potencia necesaria para transmitir datos de forma inalámbrica, y los reflejos flexibles tienden a romperse cuando se recuperan de la boca de un cajero automático comprometido. Entonces, ¿cómo estaban los ladrones recolectando el botín?

«Tampoco sabíamos cómo estaban obteniendo los PIN en ese momento», recordó Dant. «Descubrimos más tarde que estaban combinando los skimmers con cámaras de la vieja escuela escondidas en falsos paneles superiores y laterales en los cajeros automáticos».

Los investigadores querían ver los datos almacenados en el resplandor, pero estaban encriptados. Así que lo enviaron al laboratorio forense de MasterCard en el Reino Unido y al Servicio Secreto.

«El Servicio Secreto no tuvo suerte con eso», dijo Dant. “MasterCard en el Reino Unido pudo entender un poco a un alto nivel lo que estaba haciendo y confirmaron que estaba alimentado por el chip. Pero el volcado de datos del resplandor period un galimatías encriptado «.

Las pandillas del crimen organizado que se especializan en desplegar skimmers muy a menudo encriptarán los datos de las tarjetas robadas como una forma de eliminar la posibilidad de que algún miembro de la pandilla intente desviar y vender personalmente los datos de la tarjeta en mercados clandestinos.

LAS TARJETAS DE DESCARGA

Luego, en 2017, Dant tuvo un golpe de suerte: los investigadores habían encontrado un dispositivo de calce dentro de un cajero automático en la ciudad de Nueva York, y ese dispositivo parecía idéntico a los relucientes encontrados en México dos años antes.

«Ese fue el primero que apareció en los Estados Unidos en ese momento», dijo Dant.

El equipo de Citi sospechaba que si podían trabajar hacia atrás a partir de los datos de la tarjeta que se sabía que habían sido registrados por los skimmers, podrían descifrar el cifrado.

«Sabíamos cuando el brillo entró en el cajero automático, gracias a las imágenes de televisión de circuito cerrado», dijo Dant. “Y sabemos cuándo se descubrió ese brillo. Entonces, entre ese período de tiempo de un par de días, estas son las tarjetas que interactuaron con el skimmer, por lo que estos números de tarjeta probablemente estén en este dispositivo «.

Basándose en esa corazonada, las cabezas de huevo de MasterCard tuvieron éxito al decodificar el galimatías cifrado. Pero ya sabían qué tarjetas de pago se habían visto comprometidas, entonces, ¿qué podían ganar los investigadores al romper el cifrado?

Según Dant, aquí es donde las cosas se pusieron interesantes: descubrieron que el mismo número de cuenta principal (16 dígitos únicos de la tarjeta) estaba presente en la tarjeta de descarga y en los shimmers tanto de la ciudad de Nueva York como de los cajeros automáticos mexicanos.

Investigaciones posteriores revelaron que el número de cuenta estaba vinculado a una tarjeta de pago emitida años antes por un banco austriaco a un cliente que informó que nunca recibió la tarjeta por correo.

«Entonces, ¿por qué aparece este número de tarjeta bancaria austriaca en la tarjeta de descarga y dos dispositivos de compensación diferentes en dos países diferentes, con años de diferencia?» Dant dijo que se preguntaba en ese momento.

No tuvo que esperar mucho para recibir una respuesta. Muy pronto, la policía de Nueva York presentó un caso contra un grupo de hombres rumanos sospechosos de colocar los mismos dispositivos de calce tanto en Estados Unidos como en México. Las órdenes de registro emitidas contra los acusados ​​rumanos arrojaron múltiples copias del brillo que habían incautado de los cajeros automáticos comprometidos.

“Encontraron todo un laboratorio de desnatado de cajeros automáticos que tenía diferentes versiones de ese brillo en cuadrados de chapa metálica sin recortar”, dijo Dant. «Pero lo que más se destacó fue este dispositivo único: la tarjeta de descarga».

La tarjeta de descarga (derecha, en azul) abre una sesión encriptada con el brillo y luego transmite los datos de la tarjeta robada al dispositivo de plástico blanco adjunto. Imagen: KrebsOnSecurity.com.

La tarjeta de descarga constaba de dos piezas de plástico del ancho de una tarjeta de débito, pero un poco más largas. La parte de plástico azul, hecha para insertarse en un lector de tarjetas, tiene los mismos contactos que una tarjeta con chip. El plástico azul se conectó mediante un cable plano a una tarjeta de plástico blanco con un LED verde y otros componentes electrónicos.

Pegar la tarjeta de descarga azul en un lector de chip reveló el mismo número de tarjeta austriaca que se ve en los dispositivos de ajuste. Entonces quedó muy claro lo que estaba sucediendo.

“La tarjeta de descarga estaba codificada de forma rígida con datos de la tarjeta con chip, de modo que pudiera abrir una sesión encriptada con el brillo”, que también tenía los mismos datos de la tarjeta, dijo Dant.

La tarjeta de descarga, de cerca. Imagen: KrebsOnSecurity.com.

Una vez insertada en la boca de la ranura de aceptación de la tarjeta del cajero automático que ya se ha actualizado con uno de estos reflejos, la tarjeta de descarga provoca un intercambio de datos cifrados entre ella y el brillo. Una vez que se confirma el protocolo de enlace bidireccional, el dispositivo blanco enciende un LED verde cuando se completa la transferencia de datos.

LA LLAVE MAESTRA

Dant dijo que cuando la tripulación rumana produjo en masa sus dispositivos de calce, lo hicieron utilizando el mismo número de tarjeta bancaria austríaca robada. Lo que esto significaba era que ahora el Servicio Secreto y Citi tenían una llave maestra para descubrir los mismos dispositivos de compensación instalados en otros cajeros automáticos.

Esto se debe a que cada vez que la pandilla compromete un nuevo cajero automático, ese número de cuenta austriaco atraviesa las redes de tarjetas de pago globales, indicándoles exactamente qué cajero automático acababan de piratear.

“Dimos ese número a las redes de tarjetas y pudieron ver todos los lugares en los que la tarjeta había sido utilizada en sus redes antes”, dijo Dant. «También configuramos las cosas para recibir alertas cada vez que aparecía el número de tarjeta, y comenzamos a recibir toneladas de alertas y a encontrar estos reflejos en todo el mundo».

A pesar de toda su investigación, Dant y sus colegas nunca vieron realmente despegar el calce en los Estados Unidos, al menos en ninguna parte tan predominantemente como en México, dijo.

El problema period que muchos bancos en México y otras partes de América Latina no habían implementado adecuadamente el estándar de tarjetas con chip, lo que significaba que los ladrones podían usar los datos de las tarjetas con chip para realizar transacciones equivalentes a las antiguas transacciones con tarjetas de banda magnética.

Para cuando los reflejos de la pandilla rumana comenzaron a aparecer en la ciudad de Nueva York, la gran mayoría de los bancos estadounidenses ya habían implementado adecuadamente el procesamiento de tarjetas con chip de tal manera que las mismas transacciones con tarjetas con chip falsas que pasaban a través de los bancos mexicanos simplemente fracasaban cada vez que pasaban. fueron juzgados contra instituciones estadounidenses.

“Nunca despegó en Estados Unidos, pero este tipo de actividad continuó como la pólvora durante años en México”, dijo Dant.

La otra razón por la que el shimming nunca surgió como una amenaza importante para las instituciones financieras de EE. UU. Es que muchos cajeros automáticos se han actualizado durante la última década para que sus ranuras de aceptación de tarjetas sean mucho más delgadas, observó Dant.

«Esa tarjeta de descarga es más gruesa que muchas tarjetas de débito, por lo que varias instituciones reemplazaron rápidamente las ranuras para tarjetas más antiguas con components más nuevo que reducía la altura de una ranura para tarjetas de modo que tal vez pudiera obtener una tarjeta de débito y una brillante». pero definitivamente no es un brillo y una de estas tarjetas de descarga ”, dijo.

Poco después de que los cajeros automáticos brillaran en los bancos de México, KrebsOnSecurity pasó cuatro días en México rastreando las actividades de una pandilla del crimen organizado rumano que recientemente había comenzado su propia compañía de cajeros automáticos allí llamada Intacash.

Las fuentes le dijeron a KrebsOnSecurity que la pandilla rumana también estaba pagando a técnicos de proveedores de cajeros automáticos de la competencia para actualizar los cajeros automáticos con skimmers basados ​​en Bluetooth que se conectaban directamente a los dispositivos electrónicos en el interior. Conectados a la alimentación interna del cajero automático, esos skimmers podrían recopilar datos de la tarjeta de forma indefinida y los datos podrían recopilarse de forma inalámbrica con un teléfono inteligente.

Seguimiento reportando el año pasado por el Proyecto de denuncia de la delincuencia organizada y la corrupción (OCCRP) descubrió que Intacash y sus asociados comprometieron más de 100 cajeros automáticos en todo México utilizando skimmers que pudieron permanecer en su lugar sin ser detectados durante años. La OCCRP, que apodó al grupo rumano “La pandilla de la Riviera Maya”, estima que el sindicato del crimen usó datos de tarjetas clonados y PIN robados para robar más de $ 1.2 mil millones de cuentas bancarias de turistas que visitaban la región.

El mes pasado, las autoridades mexicanas arrestaron a Florian «The Shark» Tudor, el jefe de Intacash y el reputado líder del sindicato rumano de skimming. Las autoridades acusaron que el grupo de Tudor también se especializó en la trata de personas, lo que les permitió enviar pandilleros para comprometer cajeros automáticos al otro lado de la frontera de Estados Unidos.



Enlace a la noticia first