Incumplimiento de tarjetas de crédito en tiendas Buckle – Krebs on Security

la hebilla inc., una empresa de ropa que opera más de 450 tiendas en 44 estados de EE. UU., reveló el viernes que sus tiendas minoristas fueron atacadas por un software malicioso diseñado para robar datos de tarjetas de crédito de los clientes. La divulgación se produjo horas después de que KrebsOnSecurity contactara a la empresa con respecto a los informes de fuentes del sector financiero sobre una posible infracción en el minorista.

El viernes por la mañana, KrebsOnSecurity se puso en contacto con The Buckle después de recibir varios consejos de fuentes de la industria financiera sobre un patrón de fraude en las tarjetas de crédito y débito de los clientes que sugería una violación de los sistemas de punto de venta en las tiendas de Buckle en todo el país.

Más tarde el viernes por la noche, The Buckle Inc. lanzó una declaración diciendo que efectivamente se encontró malware de punto de venta instalado en cajas registradoras en las tiendas minoristas de Buckle, y que la compañía cree que el malware estaba robando datos de tarjetas de crédito de clientes entre el 28 de octubre de 2016 y el 14 de abril de 2017. The Buckle dijo que las compras realizadas en su tienda online no se vieron afectados.

Al igual que con la reciente brecha basada en malware POS en Kmart, The Buckle dijo que todas sus tiendas están equipadas con terminales de tarjetas compatibles con EMV, lo que significa que las máquinas de punto de venta pueden acomodar tarjetas de crédito y débito basadas en chips más nuevas y seguras. El malware copia los datos de la cuenta almacenados en la banda magnética de la tarjeta. Armados con esa información, los ladrones pueden clonar las tarjetas y usarlas para comprar mercancías de alto precio en tiendas de electrónica y grandes minoristas.

El problema es que no todos los bancos han emitido tarjetas con chip, que son mucho más caras y difíciles de falsificar para los ladrones. Los clientes que compraron en tiendas Buckle comprometidas usando una tarjeta basada en chip no estarían en peligro de que sus tarjetas fueran clonadas y utilizadas en otro lugar, pero los datos de la tarjeta robada aún podrían usarse para fraude de comercio electrónico.

Visa dijo en marzo de 2017 que había más de 421 millones de tarjetas Visa con chip en el país, lo que representa el 58 por ciento de las tarjetas Visa. Según Visa, el fraude por falsificación ha ido disminuyendo mes tras mes: un 58 % menos en los comerciantes habilitados para chips en diciembre de 2016 en comparación con el año anterior.

Estados Unidos es la última de las naciones del G20 en hacer el cambio a tarjetas basadas en chips. Visa ha dicho que generalmente tomó alrededor de tres años después de que los cambios de responsabilidad en otros países antes de que el 90% de las transacciones con tarjeta de pago fueran «chip-on-chip» o generadas por una tarjeta con chip utilizada en una terminal basada en chip.

Prácticamente todos los demás países que dieron el salto a las tarjetas basadas en chips vieron tendencias de fraude que cambiaron de fraude con tarjeta presente a fraude con tarjeta no presente (en línea, teléfono) a medida que se hizo más difícil para los ladrones falsificar tarjetas de crédito físicas. Datos recabados por buró de crédito al consumo Experian sugiere que el fraude de comercio electrónico aumentó un 33 por ciento el año pasado con respecto a 2015.