Puntos de vista

Lo que necesitas saber sobre los números CVV en el reverso de tu tarjeta de crédito

Kevin Townsend, 11 diciembre 2019

Atención compradores de esta temporada: el número de verificación de la tarjeta nunca debe almacenarse en línea

La temporada de compras en línea de fin de año es un peligro latente de fraudes bancario. Esto solían hacerlo los delincuentes utilizando tarjetas de pago robadas o clonadas en persona, a través de transacciones fraudulentas con tarjeta presente . La introducción de tarjetas Europay, Mastercard y Visa (EMV) basadas en chips ha cambiado esto. El fraude de tarjetas físicas ahora es mucho más difícil.

En respuesta, los delincuentes han pasado al fraude con tarjeta no presente. Este es un cambio al fraude en línea. Los detalles de la tarjeta pueden ser robados en grandes cantidades de minoristas en línea y luego utilizados para comprar productos de otros minoristas. Pero no debería ser tan fácil, porque las tarjetas incluyen un número separado conocido como el valor de verificación de la tarjeta (CVV).

Este es un número único de tres dígitos (más comúnmente) o de cuatro dígitos (en tarjetas American Express) impreso en la tarjeta. Este código es necesario para completar una transacción, pero nunca debe almacenarse en línea. Su propósito es demostrar al minorista que el cliente tiene la tarjeta en su poder.

El problema es que en la web oscura hay una gran cantidad de detalles de la tarjeta, descritos como "fullz", disponibles para la venta de un criminal a otro. "Fullz" indica que todo lo necesario para transacciones fraudulentas está disponible, incluido el número CVV.

La pregunta es, entonces, ¿cómo obtienen los delincuentes estos números que nunca deberían almacenarse en ningún lugar de Internet?

Protegiendo el CVV

Los detalles de la tarjeta están protegidos principalmente por un estándar de seguridad conocido como el Estándar de seguridad de datos de la industria de tarjetas de pago ( PCI DSS (sitio en inglés), generalmente conocido como PCI). El cumplimiento es requerido por cualquier empresa que acepte pagos con tarjeta:

"No almacenes el código o el valor de verificación de la tarjeta (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago utilizada para verificar las transacciones sin tarjeta) después de la autorización".

Hay problemas con PCI. Se afirma que ningún minorista o comerciante que cumpla con PCI haya sido violado, y esto puede ser así, sin embargo, el cumplimiento se mide y confirma mediante auditorías anuales. Es posible que una empresa que sea técnicamente conformes, pero en realidad no compatible para 364 días del año.

El Informe de seguridad de pagos de Verizon 2019 (sitio en inglés) hace tres observaciones interesantes. En primer lugar, ninguna de las empresas que investigó sobre las violaciones de tarjetas de pago durante el año pasado fueron compatible con PCI en el momento de la infracción. Segundo, el número de compañías que logran el cumplimiento está aumentando; pero tercero, el número de empresas que mantienen ese cumplimiento durante todo el año está disminuyendo. Sólo el 37% de estas empresas lograron mantener su cumplimiento PCI largo de todo el año de 2018.

Si bien es posible que algunos de los números CVV vendidos en la web oscura como fullz hayan sido robados de bases de datos en línea, esto es poco probable y raro. Necesitamos buscar en otra parte la fuente de los delincuentes de los números CVV: ataques de malware contra PC individuales y ataques de estilo Magecart contra minoristas y comerciantes.

Robar CVV

Ataques contra PC de usuario

Hay cuatro ataques de malware principales contra PC diseñados para robar datos de tarjetas de crédito, incluido el CVV. Estos son phishing , infostealers, keyloggers y malware de inserción del navegador.

El phishing se basa en el uso de la ingeniería social para convencer a los usuarios de que visiten un sitio web malicioso. Esto puede ser a través de un enlace disfrazado en el correo electrónico, un enlace a un sitio web similar pero falso, o enlaces incrustados en un archivo adjunto. Una vez que el usuario visita el sitio web falaz, se utiliza más ingeniería social para persuadir a la víctima para que ingrese los datos de la tarjeta, que son capturados y enviados al delincuente.

Los registradores de teclas comprenden malware de diversa sofisticación que puede estar atento a los desencadenantes (como acceder a un sitio bancario o minorista importante) y luego capturar las teclas escritas en el teclado. Todos los detalles de la tarjeta se reconocen, registran y envían al criminal.

Infostealers generalmente se rompen y las incursiones de apoyo. Si una PC está infectada, el malware escanea el sistema y roba datos confidenciales, incluidos los detalles de pago que puede encontrar. Esto a menudo se puede lograr en cuestión de segundos. Los infostealers más persistentes también pueden soltar un keylogger para una actividad a más largo plazo.

El malware de inserción del navegador se infiltrará en el navegador de la víctima. Por lo general, se centra en solo uno o dos de los principales bancos nacionales o minoristas importantes. Cuando detecta que el usuario visita uno de estos sitios, superpone su propia copia del formulario de inicio de sesión del banco o del formulario de detalles de pago del minorista. Los datos ingresados ​​en estas formas idénticas pero falsas son capturados y enviados al criminal. Una vez logrado, a menudo le sigue un mensaje de error falso que dice que un problema requiere que el usuario actualice la página e intente nuevamente. Luego, el usuario completa la transacción correctamente y es posible que nunca sepa que los datos de la tarjeta acaban de ser robados.

El principio clave detrás de todos estos ataques es que los detalles de la tarjeta, incluido el número CVV, pueden ser robados directamente del usuario en un estado no cifrado. En términos delictivos, requieren un gran esfuerzo para retornos limitados (una PC a la vez), por lo que probablemente no tengan en cuenta por sí mismos el volumen de fullz disponible en la web. Sin embargo, tales ataques probablemente aumentarán en los próximos años con el crecimiento del malware como servicio. Esto elimina gran parte del esfuerzo de ser un delincuente y hace que el malware esté disponible para aspirantes a delincuentes de capacidad técnica limitada.

Para la mayor cantidad de robos de CVV, debemos analizar los ataques al estilo Magecart contra los minoristas.

Carro de mago

Magecart fue originalmente el nombre aplicado a una banda criminal cibernético persona que opera un tipo específico de ataque. El proceso de ataque es obtener acceso al sistema de pago de un minorista, luego usar malware para eliminar los detalles de la tarjeta en tiempo real a medida que se ingresan para completar una compra. Este tipo de ataque se conoce como web skimming. Roba los detalles de la tarjeta de pago, incluido el número CVV, tal como se ingresan en texto sin formato y antes de que el minorista los cifre. El usuario, y de hecho el minorista, no sabrán nada sobre el robo hasta que se descubrió el malware.

La metodología de ataque fue copiada posteriormente por muchas otras pandillas criminales, y el término Magecart ahora se refiere al estilo de ataque en lugar de cualquier pandilla específica. Se cree que hay más de una docena de pandillas cibercriminales de Magecart. Han sido nombrados secuencialmente como descubiertos: Magecart 1, Magecart 2, Magecart 3, etcétera.

Algunas de las pandillas detrás de los diferentes grupos son cibercriminales infames y de larga data. Se cree que Magecart 5, por ejemplo, es la pandilla Carbanak, responsable de algunos de los robos en línea más grandes de los últimos años. También se cree que este grupo es responsable del truco Ticketmaster Magecart.

La violación de Ticketmaster (sitio en inglés) en 2018 fue un ataque a la cadena de suministro (sitio en inglés). Magecart 5 violó por primera vez a Inbenta, un proveedor de software de terceros para Ticketmaster. Desde allí, pudo agregar su propio código a un JavaScript personalizado utilizado en el proceso de recibo de pago de Ticketmaster. El script fue descargado y utilizado, robando cerca de 40,000 detalles de pago de los usuarios.

Atacar la cadena de suministro es un enfoque común, pero no definitorio, utilizado en los ataques de Magecart. En 2019, un ataque de Magecart comprometió una plataforma de comercio electrónico (PrismWeb) que atendió a las tiendas del campus universitario en los EE. UU. Y Canadá. El código de eliminación malicioso se inyectó en las bibliotecas de JavaScript utilizadas por tiendas individuales, y más de 200 tiendas de campus en 176 universidades de los EE. UU. Y 21 en Canadá se infectaron posteriormente.

El ataque a British Airways (sitio en inglés) en 2018 no fue un ataque a la cadena de suministro, pero mantuvo el enfoque de desvanecimiento web Magecart. "Magecart creó una infraestructura personalizada y específica para integrarse específicamente con el sitio web de British Airways y evitar la detección durante el mayor tiempo posible", explicaron los investigadores de RiskIQ . "Si bien nunca podemos saber cuánto alcance tuvieron los atacantes en los servidores de British Airways, el hecho de que pudieron modificar un recurso para el sitio nos dice que el acceso fue sustancial, y el hecho de que probablemente tuvieron acceso mucho antes incluso del ataque Comenzar es un claro recordatorio sobre la vulnerabilidad de los activos que se enfrentan a la web ".

Se ha afirmado que hasta 500,000 clientes de British Airways pueden haber sido afectados por esta violación, y el regulador de protección de datos del Reino Unido posteriormente multó a la compañía con casi $ 230,000 por su poca seguridad.

Si compara el número de detalles de la tarjeta de crédito, incluido el número CVV, que pueden ser robados en un solo ataque de Magecart con el objetivo de las PC, parece claro que la mayoría de los detalles de la tarjeta de crédito fullz disponibles en la web oscura probablemente hayan sido robados por las diferentes pandillas de Magecart. Estos ataques continúan y probablemente aumentará durante 2020.

Cómo mantenerse a salvo

Proteger los detalles de nuestra tarjeta de pago es difícil. Podemos defender nuestras propias PC, pero no podemos hacer nada contra los ataques contra los minoristas.

Para nuestras propias PC necesitamos usar un producto antivirus bueno y actualizado . Eso detectará y bloqueará la mayoría de los malwares. Necesitamos ser conscientes de la seguridad, reconocer e ignorar los intentos de phishing . Y debemos mantener nuestro navegador completamente parcheado y / o considerar usar un navegador más seguro .

No hay nada que podamos hacer personalmente para evitar ataques de Magecart contra el minorista, aparte de estar atentos y preparados. Se les dice a las corporaciones que asuman que han sido o serán violadas, y que preparen un plan de respuesta a incidentes. Tenemos que adoptar un enfoque similar: asumir que se robarán nuestros detalles de pago y saber qué hacer cuando nos enteremos. Podemos usar cuentas para compras en línea que no contienen más dinero del que podemos permitirnos perder. Podemos monitorear nuestras cuentas bancarias para ver si se están realizando compras que no reconocemos. Y podemos vigilar regularmente nuestros puntajes de crédito.