Llegamos a ustedes gracias a:



Alertas de Seguridad

Mercado negro de tarjetas de crédito

Más astutos que Amazon

[08/04/2014] La gran violación de tarjetas de crédito de Target sigue siendo noticia mientras los ejecutivos de la cadena testifican ante el congreso y los legisladores intentan (sin éxito) ingeniar leyes que prevengan que esta clase de sucesos se presenten de nuevo. Sin embargo, lo que se ha perdido en medio de tanta discusión es otra importante pregunta: ¿Qué pasó exactamente con esos 40 millones de tarjetas de crédito comprometidas? ¿Cómo fueron empacadas y vendidas? ¿Qué tan sofisticados son estos mercados?
En este sentido, el equipo de investigación de Easy Solutions presenta un informe con el que pretende, a través de tour guiado al sombrío mundo de los mercados negros de tarjetas de crédito, mostrar cómo se ve el sitio –para este informe Valid Shop- cuando la información de la tarjeta de crédito de alguien se pone a la venta y qué tan sorprendentemente profesionales pueden ser estos sitios. Expuesto ahora, este mercado negro ya no lo estará y los criminales se moverán a otros.
Los mercados negros de tarjetas son ahora tanto o más sofisticados que Amazon.com, dando soporte y servicios adicionales al 'producto'. Éstos sacan provecho a las últimas tecnologías de desarrollo web como Ajax para hacer búsquedas y comprar tarjetas increíblemente fácil, siendo BitCoin el medio preferido para transacciones, aunque también lo son Perfect Money y servicios electrónicos como Money Grant/Western Union. Los mercados sofisticados incluso ofrecen el servicio de "probar sobre la marcha" para garantizar que la tarjeta robada recién comprada es válida y aún se puede usar, comentó Dan Ingevaldson CTO de Easy Solutions, con respecto a los hallazgos.
Mercados Negros – Tan Sofisticados como Amazon.com
Nuevas tarjetas robadas siempre están apareciendo en los mercados negros, ya sea que vengan de una violación, un archivo de registros de transacciones sin cifrar, malware o un dispositivo lector de tarjetas tradicional. Al igual que otros sitios de comercio electrónico, Valid Shop y otros mercados negros le apuntan a brindar una experiencia de compra impecable para sus clientes finales; la gente que compra estas tarjetas luego sale y las usa. Muchos sitios incluyen funcionalidades típicamente vistas en un sitio legal de comercio, información del producto, carritos de compra, noticias de la industria e incluso ofertas de servicios y soporte, señaló Ingevaldson.
El ejecutivo agregó que aprovechando las últimas tecnologías de desarrollo web como Ajax, las interfases de estos mercados negros se han vuelto cada vez más ricos. Proporcionan funcionalidades altamente amigables con el usuario que le permiten al comprador buscar su objetivo en dos o menos clics. Por ejemplo, los compradores pueden hacer su búsqueda por tipo de tarjeta, banco, ubicación geográfica o incluso el nombre del dueño original de la tarjeta, indicó Ingevaldson.
Señaló, asimismo, que los criminales sofisticados pueden comprar tarjetas de forma muy detallada, basándose muchos criterios como país de origen, código BIN, tipo de tarjeta (VISA vs AMEX, dependiendo de su habilidad/tasa de éxito), calidad de la tarjeta (Estándar, Platino, Black, etc.), la reputación de una lista robada en específico (Target, Neiman Marcus, etc.), banco emisor (especialmente útil si el criminal conoce que un banco específico no está usando protección).
BitCoin Sigue Siendo el Medio Preferido de Pago
Ingevaldson comentó que la investigación determinó que BitCoin sigue siendo el medio preferido de pago en estos mercados negros, y es el primer medio de pago por defecto (primera pestaña) en Valid Shop. Una vez el comprador elige pagar, una dirección única y "no rastreable" se genera esperando a que el dinero sea depositado, comentó.
Señaló que Perfect Money también es aceptado en algunos foros, al igual que servicios electrónicos como Money Grant o Western Union (y en algunos países esta es la única opción). Mientras que estos servicios típicamente requieren que se esté físicamente en una tienda, los criminales también han encontrado formas creativas de evitar exponerse ante las cámaras cuando hacen esa transacción. En otras palabras, los medios de pago para la compra de tarjetas robadas permanecen virtualmente sin rastro y se siguen haciendo más sofisticados cada día, explicó Ingevaldson.
Compras en "un clic", pagos fáciles y garantías de devolución de dinero
Como cualquier otro buen proveedor de comercio electrónico, señaló Ingevaldson, Valid Shop y otros mercados negros de tarjetas de crédito hacen tan fácil como sea posible comprar los productos que desee. Tal como Amazon, Valid Shop ofrece opciones de compra con un clic para suplir todas sus necesidades de compra de tarjetas de crédito, anotó.
Agregó que, adicionalmente (y no ofrecido actualmente por Amazon), Valid Shop les da a sus clientes la posibilidad de probar en el momento el producto seleccionado y asegurarse que la tarjeta robada recién comprada es válida y aceptada en línea (al menos). Además, el sitio brinda una garantía de devolución de dinero. Con Valid Shop se puede solicitar una devolución instantánea. Otros sitios reembolsan automáticamente el valor de su compra si la tarjeta es rechazada inmediatamente, señaló el ejecutivo.
Conclusión
Ingevaldson señala que las tecnologías web han permitido todos los tipos de sitios de comercio, incluyendo aquellos dedicados a vender números de tarjetas de crédito ilegalmente conseguidas, para mejorar su búsqueda, procesamiento de órdenes y servicio al cliente en general. Los criminales seguirán mejorando la calidad de estos sitios, haciendo cada vez más fácil que los compradores finales dirijan el uso de estas tarjetas, comenta.
Para Ingevaldson, los bancos y otras entidades financieras están luchando en una guerra dispareja contra estos mercados altamente organizados y bien dirigidos. Comprometer estas tarjetas es inevitable. Entendiendo estos mercados negros, nuestra esperanza es que al proveerles a las organizaciones la capacidad de identificar rápidamente cuáles tarjetas están comprometidas y reducir el tiempo de contención y remplazo, éstas serán capaces de protegerse mejor a sí mismas y a sus usuarios finales del fraude cada vez más sofisticado, finaliza el ejecutivo.
CIO, Perú