Esta es la razón por la cual el fraude con tarjetas de crédito sigue existiendo: Krebs on Security

Hace años, la mayor parte del mundo civilizado pasó a requerir chips de computadora en las tarjetas de pago, lo que hace que sea mucho más costoso y difícil para los ladrones clonarlos y usarlos para cometer fraudes. Una excepción notable es Estados Unidos, que todavía se tambalea hacia este objetivo. Aquí hay un vistazo a los estragos que ha causado el retraso, como se ve a través de los patrones de compra en una de las tiendas clandestinas de tarjetas robadas más grandes que fue pirateada el año pasado.

En octubre de 2019, alguien hackeó BriansClub, un popular bazar de tarjetas robadas que utiliza la imagen y el nombre de este autor en su comercialización. Quienquiera que comprometió la tienda extrajo datos de millones de cuentas de tarjetas que se adquirieron durante cuatro años a través de varios medios ilícitos de negocios legítimos y pirateados en todo el mundo, pero principalmente de comerciantes estadounidenses. Esa base de datos se filtró a KrebsOnSecurity, que a su vez la compartió con múltiples fuentes que ayudan a combatir el fraude con tarjetas de pago.

Esta es la razon por la cual el fraude con

Un anuncio de BriansClub ha estado usando mi nombre y mi imagen durante años para vender millones de tarjetas de crédito robadas.

Entre los destinatarios se encontraba damon mccoyprofesor asociado en Escuela de Ingeniería Tandon de la Universidad de Nueva York [full disclosure: NYU has been a longtime advertiser on this blog]. El trabajo de McCoy al investigar los sistemas de tarjetas de crédito utilizados por algunos de los mayores proveedores de correo electrónico no deseado del mundo enriqueció enormemente los datos que informaron mi libro de 2014 Nación de spamy quería asegurarme de que él y sus colegas también tuvieran acceso a los datos de BriansClub.

McCoy y otros investigadores de la NYU descubrieron que BriansClub obtuvo cerca de $104 millones en ingresos brutos desde 2015 hasta principios de 2019, y puso a la venta más de 19 millones de números de tarjetas únicos. Alrededor del 97% del inventario eran datos de banda magnética robados, comúnmente utilizados para producir tarjetas falsificadas para pagos en persona.

“Lo que más me sorprendió fue que todavía hay muchas personas que deslizan sus tarjetas para realizar transacciones aquí”, dijo McCoy.

En 2015, las principales asociaciones de tarjetas de crédito instituyeron nuevas reglas que hicieron que fuera más riesgoso y potencialmente más costoso para los comerciantes de EE. UU. continuar permitiendo a los clientes deslizar la banda en lugar de sumergir el chip. Para complicar esta transición, muchos bancos estadounidenses emisores de tarjetas tardaron años en reemplazar las existencias de tarjetas de sus clientes con tarjetas habilitadas para chip, e innumerables minoristas se demoraron en actualizar sus terminales de pago para aceptar tarjetas basadas en chip.

De hecho, tres años más tarde, la Reserva Federal de EE. UU. estimado (PDF) que el 43,3 por ciento de los pagos con tarjeta en persona todavía se procesaban mediante la lectura de la banda magnética en lugar del chip. Esto podría no haber sido un gran problema si las terminales de pago en muchos de esos comerciantes no estuvieran también comprometidas con software malicioso que copiaba los datos cuando los clientes pasaban sus tarjetas.

Después del cambio de responsabilidad de 2015, se vendió más del 84 % de las tarjetas sin chip anunciadas por BriansClub, frente a solo el 35 % de las tarjetas con chip durante el mismo período.

“Todas las tarjetas sin chip tenían una demanda mucho mayor”, dijo McCoy.

Quizás sorprendentemente, McCoy y sus colegas investigadores de la NYU descubrieron que los clientes de BriansClub compraron solo el 40 % de su inventario general. Pero lo que compraron respalda la noción de que los delincuentes generalmente se inclinan hacia las tarjetas emitidas por instituciones financieras que se perciben como menos o más laxas en la protección contra el fraude.

Esta es la razon por la cual el fraude con

Fuente: Universidad de Nueva York.

Si bien los 10 emisores de tarjetas más grandes de los Estados Unidos representaron casi la mitad de las cuentas puestas a la venta en BriansClub, solo se vendió el 32 por ciento de esas cuentas, y a aproximadamente la mitad del precio medio de las emitidas por pequeñas y medianas empresas. instituciones de tamaño mediano.

En contraste, más de la mitad de las tarjetas robadas emitidas por pequeñas y medianas instituciones fueron compradas en la tienda de fraude. Esto fue cierto a pesar de que a finales de 2018, el 91 % de las tarjetas a la venta de instituciones medianas estaban basadas en chips, y el 89 % de bancos más pequeños y cooperativas de crédito. Casi todas las tarjetas emitidas por los diez principales emisores de tarjetas de EE. UU. (98 por ciento) estaban habilitadas para chip en ese momento.

BLOQUEO DE REGIÓN

Los investigadores encontraron que los clientes de BriansClub preferían tarjetas emitidas por instituciones financieras en regiones específicas de los Estados Unidos, específicamente Colorado, Nevada y Carolina del Sur.

“Por alguna razón, se percibía que esas regiones tenían sistemas antifraude más bajos o que no eran tan efectivos”, dijo McCoy.

Las tarjetas comprometidas de comerciantes en Carolina del Sur tenían una demanda especialmente alta, y los estafadores estaban dispuestos a gastar el doble en esas tarjetas per cápita que en cualquier otro estado: aproximadamente $ 1 por residente.

Esa tendencia de ventas también se reflejó en los tickets de soporte presentados por los clientes de BriansClub, a quienes con frecuencia se les informó que las tarjetas vinculadas al sureste de los Estados Unidos tenían menos probabilidades de estar restringidas para su uso fuera de la región.

1664203882 49 Esta es la razon por la cual el fraude con

Imagen: Universidad de Nueva York.

McCoy dijo que la falta de bloqueo regional también hizo que las tarjetas robadas emitidas por bancos en China fueran un producto de moda, a pesar de que estas tarjetas exigían precios mucho más altos (a menudo más de $ 100 por cuenta): los investigadores de la NYU encontraron que prácticamente todas las tarjetas chinas disponibles se vendieron poco después se pusieron a la venta. Lo mismo ocurre con las relativamente pocas tarjetas corporativas y de negocios a la venta.

La falta de bloqueos regionales también puede haber causado que los ladrones de tarjetas graviten hacia la compra de tantas tarjetas como pudieran. Estados UnidosA, una caja de ahorros que atiende a miembros activos y ex militares y sus familias inmediatas. Más del 83 por ciento de las tarjetas USAA disponibles se vendieron entre 2015 y 2019, encontraron los investigadores.

Aunque las tarjetas Visa representaron más de la mitad de las cuentas puestas a la venta (12,1 millones), solo se vendió el 36 por ciento. Las tarjetas MasterCard fueron las segundas más abundantes (3,72 millones) y, sin embargo, más del 54 por ciento de ellas se vendieron.

American Express y Descubrirque, a diferencia de Visa y MasterCard, son las llamadas redes de «bucle cerrado» que no dependen de instituciones financieras de terceros para emitir tarjetas y administrar el fraude en ellas, vio el 28.8 por ciento y el 33 por ciento de sus tarjetas robadas compradas, respectivamente.

PREPAGOS

Algunas personas preocupadas por el flagelo del fraude con tarjetas de débito y crédito optan por comprar tarjetas prepagas, que generalmente disfrutan de las mismas protecciones del titular de la tarjeta contra transacciones fraudulentas. Pero el equipo de NYU descubrió que las cuentas prepagas comprometidas se compraron a una tasa mucho más alta que las tarjetas de crédito y débito regulares.

Varios factores pueden estar en juego aquí. Para empezar, relativamente pocas tarjetas prepagas a la venta estaban basadas en chips. McCoy dijo que había algunos datos que sugerían que muchos de estos prepagos se emitían a personas que cobraban beneficios del gobierno, como desempleo y asistencia alimentaria. Específicamente, la información del «código de servicio» asociada con estas tarjetas prepagas indicaba que muchas estaban restringidas para su uso en lugares como licorerías y casinos.

“Este fue un hallazgo bastante triste, porque si no tienes un banco, probablemente así es como obtienes tu salario”, dijo McCoy. “Estas tarjetas fueron atacadas de manera desproporcionada. Lo desafortunado y sorprendente fue la gran demanda y la falta de [chip] soporte para tarjetas prepago. Además, estas tarjetas probablemente eran más atractivas para los estafadores porque [the issuer’s] las contramedidas antifraude no estaban a la altura, posiblemente porque saben menos sobre sus clientes y su historial de compras típico”.

BENEFICIOS

Los investigadores de la NYU estiman que BriansClub obtuvo aproximadamente $24 millones en ganancias durante cuatro años. Calcularon este número tomando los más de $ 100 millones en ventas totales y restando las comisiones pagadas a los ladrones de tarjetas que suministraron a la tienda productos nuevos, así como el precio de las tarjetas que se reembolsaron a los compradores. BriansClub, como muchas otras tiendas de tarjetas robadas, ofrece reembolsos en ciertas compras si el comprador puede demostrar que las tarjetas ya no estaban activas en el momento de la compra.

En promedio, BriansClub pagó a los proveedores comisiones que oscilaban entre el 50 y el 60 por ciento del valor total de las tarjetas vendidas. Las cuentas sin tarjeta (CNP, por sus siglas en inglés), o aquellas robadas de minoristas en línea y compradas por estafadores principalmente para defraudar a otros comerciantes en línea, generaron una comisión de proveedor mucho más elevada del 80 por ciento, pero principalmente porque estas tarjetas tenían una gran demanda y suministro bajo

El equipo de la NYU descubrió que las ventas sin tarjeta representaban solo el 7 por ciento de todos los ingresos, aunque los ladrones de tarjetas claramente ahora tienen incentivos mucho más altos para dirigirse a los comerciantes en línea.

Una historia aquí el año pasado observó que este tira y afloja exacto de la oferta y la demanda había ayudado a aumentar significativamente los precios de las cuentas sin tarjeta presente en múltiples tiendas de tarjetas de crédito robadas en la clandestinidad. No hace mucho tiempo, el precio de las cuentas CNP era menos de la mitad que el de las cuentas con tarjeta presente. En estos días, esos precios son más o menos equivalentes.

uno probable La razón de ese cambio es que Estados Unidos es la última de las naciones del G20 en hacer una transición completa a tarjetas de pago basadas en chips más seguras. En todos los demás países que hace mucho tiempo hicieron la transición de las tarjetas con chip, observaron la misma dinámica: a medida que les dificultaban a los ladrones falsificar tarjetas físicas, el fraude no desapareció, sino que se trasladó a los comerciantes en línea.

La misma progresión está ocurriendo ahora en los Estados Unidos, solo que la demanda de datos CNP robados aún supera con creces la oferta. Lo que podría explicar por qué hemos visto un aumento tan grande en los últimos años en los sitios de comercio electrónico que son pirateados.

“Todos apuntan a este efecto de desplazamiento del fraude de tarjeta presente a tarjeta no presente”, dijo McCoy. “Pero si el suministro no está allí, no hay mucho espacio para que ocurra ese desplazamiento”.

Sin duda, la epidemia de fraude con tarjetas se ha beneficiado enormemente de las cadenas minoristas pirateadas, en particular los restaurantes, que aún permiten a los clientes deslizar tarjetas basadas en chips. Pero como veremos en una publicación que se publicará mañana, una nueva investigación sugiere que los ladrones están comenzando a implementar métodos ingeniosos para convertir datos de tarjetas de ciertas transacciones comprometidas basadas en chips en tarjetas físicas falsificadas.

Una copia del trabajo de investigación de la NYU está disponible aquí (PDF).

Deja un comentario