‘Replay’ ataca los cargos falsos de tarjetas con chip – Krebs on Security

Un nuevo patrón extraño de fraude con tarjetas de crédito que emana de Brasil y tiene como objetivo a las instituciones financieras de EE. UU. podría significar problemas costosos para los bancos que recién comienzan a emitir a los clientes tarjetas de crédito y débito basadas en chips más seguras.

emv azul Durante la semana pasada, al menos tres instituciones financieras de EE. UU. informaron haber recibido decenas de miles de dólares en transacciones fraudulentas con tarjetas de crédito y débito provenientes de Brasil y haber atacado cuentas de tarjetas robadas en atracos minoristas recientes, principalmente tarjetas comprometidas como parte de la brecha en Home Depot.

¿El aspecto más desconcertante de estos cargos no autorizados? Todos fueron presentados a través de Visa y tarjeta MasterCardlas redes de como transacciones habilitadas por chip, a pesar de que los bancos que emitieron las tarjetas en cuestión aún no han comenzado a enviar a los clientes tarjetas con chip.

¿El aspecto más frustrante de estos cargos no autorizados? Son mucho más difíciles de disputar para el banco. Los bancos generalmente terminan absorbiendo el costo del fraude de transacciones no autorizadas cuando los estafadores falsifican y usan tarjetas de crédito robadas. Aun así, un banco puede recuperar parte de esa pérdida a través de los mecanismos de disputa establecidos por Visa y MasterCard, siempre que el banco pueda demostrar que el fraude fue el resultado de una infracción en un comerciante específico (en este caso, Home Depot ).

Sin embargo, los bancos son responsables de todos los costos de fraude que se produzcan por el uso fraudulento de las tarjetas de crédito/débito con chip de sus clientes: incluso cargos fraudulentos disfrazados de estas transacciones de pseudo-chip.

¿TARJETAS CHIP CLONADAS O TRANSACCIONES CLONADAS?

El banco del que escuché por primera vez sobre este fraude, una pequeña institución financiera en Nueva Inglaterra, luchó contra unos $120,000 en cargos fraudulentos de tiendas brasileñas en menos de dos días a partir de la semana pasada. El banco logró bloquear $80,000 de esos cargos fraudulentos, pero el procesador del banco, que aprueba las transacciones entrantes cuando los sistemas centrales del banco están fuera de línea, dejó pasar los otros $40,000. Todas las transacciones fueron cargos de débito, y todas se cruzaron con la red de MasterCard buscando a MasterCard como transacciones con chip sin PIN.

El experto en fraudes del banco de Nueva Inglaterra dijo que la institución había decidido no volver a emitir tarjetas de clientes que se vieron potencialmente comprometidas en la filtración de cinco meses en Home Depot, principalmente porque eso significaría volver a emitir una parte considerable de la base general de tarjetas del banco y porque el banco hasta ese momento no había visto prácticamente ningún fraude en las cuentas.

“Observamos índices de penetración muy bajos en nuestras tarjetas de Home Depot, por lo que no hicimos una reemisión masiva”, dijo el experto. «Y luego, en un día, igualamos el fraude de un mes en esas tarjetas gracias a estos cargos de Brasil».

Una tarjeta con chip.  Imagen: Primeros Datos

Una tarjeta con chip. Imagen: Primeros Datos

El banco de Nueva Inglaterra inicialmente consideró la posibilidad de que los perpetradores de alguna manera hubieran descubierto cómo clonar tarjetas con chip y codificaron las tarjetas con los datos de las tarjetas de sus clientes. En teoría, sin embargo, no debería ser posible clonar fácilmente una tarjeta con chip. Las tarjetas con chip son sinónimo de un estándar llamado EMV (abreviatura de Europay, MasterCard y Visa), un sistema de pago global que ya ha sido adoptado por todas las demás naciones del G20 como una alternativa más segura a las tarjetas que simplemente almacenan los datos del titular de la cuenta en la banda magnética de una tarjeta. Las tarjetas EMV contienen un microchip seguro que está diseñado para hacer que la tarjeta sea muy difícil y costosa de falsificar.

Además, existen varios controles que los bancos pueden utilizar para validar la autenticidad de las transacciones con tarjeta con chip. El chip almacena datos encriptados sobre la cuenta del titular de la tarjeta, así como un «criptograma» que permite a los bancos saber si una tarjeta o transacción ha sido modificada de alguna manera. El chip también incluye un mecanismo de contador interno que se incrementa con cada transacción secuencial, de modo que un valor de contador duplicado o que se salta puede indicar copia de datos u otro fraude al banco que emitió la tarjeta.

Y esto es exactamente lo que tiene a los luchadores contra el fraude bancario rascándose la cabeza: ¿Por qué los perpetradores se tomarían todas las molestias de tomar tarjetas con banda magnética viejas y simples robadas en la brecha de Home Depot (y aparentemente compradas en la clandestinidad del cibercrimen) y hacer que se vean como EMV? ¿actas? ¿Por qué los estafadores no harían lo que normalmente hacen los estafadores con estos datos, que es simplemente crear tarjetas falsificadas y usarlas para comprar tarjetas de regalo y otras mercancías de alto precio de los grandes minoristas?

Más importante aún, ¿cómo estas supuestas transacciones EMV en tarjetas que no son EMV se colocaron a través de la red de Visa y MasterCard como transacciones EMV en primer lugar?

El banco de Nueva Inglaterra dijo que MasterCard inicialmente insistió en que los cargos se realizaron utilizando tarjetas físicas con chip, pero el banco protestó porque aún no había emitido ninguna tarjeta con chip a sus clientes. Además, el procesador del banco aún no había sido certificado por MasterCard para manejar transacciones con tarjeta con chip, entonces, ¿por qué MasterCard estaba tan segura de que las transacciones falsas estaban basadas en chip?

¿ATAQUES DE ‘REPRODUCCIÓN’ EMV?

MasterCard no respondió a múltiples solicitudes de comentarios para esta historia. Visa también se negó a comentar sobre el registro. Pero el banco de Nueva Inglaterra le dijo a KrebsOnSecurity que en una conversación con los funcionarios de MasterCard, la compañía de tarjetas de crédito dijo que la explicación más probable era que los estafadores estaban impulsando transacciones regulares de banda magnética a través de la red de tarjetas como compras EMV utilizando una técnica conocida como ataque de «repetición».

Según el banco, los funcionarios de MasterCard explicaron que los ladrones probablemente tenían el control de una terminal de pago y tenían la capacidad de manipular los campos de datos para las transacciones realizadas a través de esa terminal. Después de capturar el tráfico de una transacción real con tarjeta con chip basada en EMV, los ladrones podían insertar datos de la tarjeta robada en el flujo de la transacción, mientras modificaban la cuenta bancaria del comerciante y del adquiriente sobre la marcha.

Aviva litánun analista de fraude con gartner inc., dijo que los bancos en Canadá vieron los mismos ataques de suplantación de EMV provenientes de Brasil hace varios meses. Uno de los bancos allí sufrió una pérdida bastante grande, dijo, porque el banco no estaba revisando los criptogramas o los contadores de las transacciones EMV.

«Los [Canadian] banco en este caso tomaría cualquier criptograma antiguo y no estaban revisando ese código único porque no lo tenían implementado correctamente”, dijo Litan. «Si vieron una transacción EMV y no vieron el código, simplemente autorizarían la transacción».

Litan dijo que los estafadores probablemente sabían que el banco canadiense no estaba revisando el criptograma y que no estaba buscando el código de contador dinámico.

“Los malos sabían que si codificaban estas transacciones como EMV, los bancos aflojarían otros controles de detección de fraude”, dijo Litan. “Parece que con estos ataques los delincuentes no están rompiendo el protocolo EMV, sino que se están aprovechando de las malas implementaciones del mismo. Hacer EMV correctamente es difícil, y hay muchas formas de no romper la criptografía, sino de alterar la implementación de EMV”.

Los ladrones también parecen estar jugando con los códigos de transacción y otros aspectos del flujo de transacciones EMV. Litan dijo que es probable que los perpetradores de este ataque tuvieran sus propios terminales de pago y de alguna manera pudieran manipular los campos de transacción en cada cargo.

“Recuerdo cuando fui a Brasil hace un par de años, su mayor problema era que los comerciantes se llevaban a casa los sistemas de punto de venta y luego pasaban tarjetas robadas a través de ellos”, dijo. “Estoy seguro de que podrían recablearlos para hacer lo que quisieran. Ese fue el mayor problema en ese momento”.

El banco de Nueva Inglaterra compartió con este autor una lista de las transacciones fraudulentas impulsadas por los estafadores en Brasil. El banco dijo que MasterCard se encuentra actualmente en el proceso de verificar con los comerciantes brasileños para ver si tenían transacciones físicas que coincidieran con las transacciones que se muestran en papel.

Mientras tanto, parece que la mayor parte de esas transacciones falsas se realizaron mediante un sistema de pago llamado Paylevenun servicio de pago móvil popular en Europa y Brasil que es similar en operación a Cuadrado. La mayoría de las transacciones fueron por montos crecientes, que casi se duplicaron con cada transacción, lo que indica que los estafadores estaban realizando cargos de débito para ver cuánto dinero podían extraer de las cuentas comprometidas.

Litan dijo que ataques como este ilustran la importancia de que los bancos configuren EMV correctamente. Señaló que si bien el banco de Nueva Inglaterra pudo marcar las aparentes transacciones EMV como fraudulentas en parte porque aún no había comenzado a emitir tarjetas EMV, el resultado podría ser diferente para un banco que hubiera emitido al menos algunas tarjetas con chip.

“Va a habrá mucha confusión cuando los bancos implementen EMV, y una cosa que he aprendido de los clientes es lo difícil que es implementarlo correctamente”, dijo Litan. “Muchos bancos aflojarán otros controles de fraude de inmediato, incluso antes de verificar que implementaron EMV correctamente. No esperarán que los estafadores manipulen los códigos de punto de venta. Esa es la ironía: creemos que EMV resolverá todos nuestros problemas de fraude con tarjetas, pero hacerlo correctamente llevará mucho más tiempo de lo que pensábamos. No es así de fácil.»

Deja un comentario