Skimmers 2021: el infierno llegó a las tarjetas con chip

Fácilmente, los dispositivos que usan los Skimmers más sofisticados hechos para piratear terminales en las líneas de auto pago de las tiendas minoristas son una nueva generación de teclado de PIN superpuesto.

Los Skimmers combinan esto con un dispositivo flexible y delgado que cabe dentro de la ranura del lector de chip del terminal.

¿Qué permite que estos skimmers sean tan delgados?

Extraen su energía de la corriente de bajo voltaje que se activa cuando se inserta una tarjeta con chip.

Como resultado, no requieren baterías externas y pueden permanecer en funcionamiento indefinida-mente.

Un dispositivo de rastreo de punto de venta que consta de una superposición de teclado de PIN (arriba) y un skimmer de tarjeta inteligente (también conocido como “shimmer”).

Todo el dispositivo se pliega sobre sí mismo, y el extremo inferior del brillo de la tarjeta flexible se introduce en la boca de la ranura de aceptación de la tarjeta con chip.

El que está en la parte superior es una superposición de teclado de PIN normal diseñada para registrar las pulsaciones de teclas cuando un cliente ingresa el PIN de su tarjeta de débito.

La superposición incluye un microcontrolador y una pequeña unidad de almacenamiento de datos.

El componente siguiente, que está conectado al skimmer añadido, es un skimmer de tarjetas flexible (habitualmente conocido como “shimmer”) que se mete en la boca de la ranura de aceptación de tarjetas con chip.

El lector técnico podrá ver que ninguno de los dispositivos contiene una batería, porque absoluta-mente no hay bastante espacio para acomodar una.

Habitualmente todos los terminales de tarjetas de pago en las líneas de auto pago ahora aceptan (inclusive la requieren) tarjetas con un chip para ser introducido en la terminal.

Cuando se inserta una tarjeta con chip, el terminal lee los datos almacenados en la tarjeta inteligente enviando una corriente eléctrica a través del chip.

Extraordinariamente, este aparato de skimming es capaz de capturar “on the fly” esa pequeña cantidad de energía para registrar cualquier dato trasferido por la transacción del terminal de pago y las pulsaciones del teclado PIN.

Cuando el terminal ya no está en uso, el dispositivo para “raspar los datos” permanece inactivo.

El skimmer que se muestra arriba no sobresale de la terminal de pago cuando se ha colocado correctamente para raspar datos.

Así es como se ven la superposición del teclado PIN falso y el skimmer de tarjetas cuando están completamente insertados en la ranura de aceptación de tarjetas y se ven de frente:

Skimmers Sofisticados

El skimmer de inserción completamente instalado dentro de la terminal de pago comprometida.

Skimmer superpuesto ¿cómo lo detecta?

Así es como se ve cuando se conecta a una terminal de pago orientada al cliente:

La superposición del teclado PIN y el skimmer, completamente asentados en un terminal de pago.

Tarjetas con Inteligencia +

No son pocos los analistas que inicialmente no logramos entender cómo los ladrones que colocan estos dispositivos y recuperan los datos robados por el skimmer.

Habitualmente, los skimmers superpuestos transmiten estos datos de forma inalámbrica mediante una placa de circuito bluetooth agregada .

Pero eso también requiere que el dispositivo tenga una fuente de alimentación interna sustancial, como una batería de teléfono celular que ocupa espacio, mucho espacio.

Los delincuentes rescatarían los datos robados revisando periódicamente los terminales comprometidos con una tarjeta inteligente espe-cializada que, cuando se inserta, le indica al skimmer que descargue toda la información guardada en la tarjeta.

Algunos lectores podrían estar preguntando razona-blemente por qué sería el caso de que la ranura de aceptación de la tarjeta en cualquier terminal de pago con chip sea lo suficientemente alta para acomodar tanto una tarjeta con chip como un dispositivo flexible como este.

Y creo que la respuesta, al igual que con muchos aspectos de los sistemas de seguridad que disminuyen en eficacia con el tiempo, tiene que ver con las concesiones hechas para propósitos de compatibilidad con versiones anteriores.

La mayoría de las tarjetas con chip modernas son significativamente más delgadas que la tarjeta de pago promedio hace unos años, pero las especificaciones de diseño para estos terminales establecen que deben poder permitir el uso de tarjetas más antiguas y altas, como las que aún incluyen relieve.

El grabado en relieve es un retroceso prácticamente de la edad de piedra a la forma en que se leían originalmente las tarjetas de crédito, mediante el uso de máquinas manuales de impresión de tarjetas y papel carbónico.

Los hackers se están aprovechando de eso, porque la mayoría de las tarjetas inteligentes son mucho más delgadas de lo que requieren las especificaciones de estas máquinas, de hecho, estas ranuras son tan altas que caben 2 plásticos.

El mundo de los pagos está boca abajo

La concurrencia con versiones antiguas es un tema importante para permitir muchos tipos de skimming de tarjetas, incluidos los dispositivos diseñados para comprometer los cajeros automáticos (ATM).

Prácticamente todas las tarjetas con chip todavía tienen muchos de los mismos datos almacenados en el chip codificados en una banda magnética en la parte posterior de la tarjeta.

Esta función de doble vía asimismo permite a los usuarios de tarjetas deslizar la banda si por alguna razón el chip de la tarjeta o el terminal habilitado para tarjetas inteligentes de un comerciante no se conecta correctamente.

Las tarjetas de crédito y débito basadas en chip están diseñadas para que no sea factible que los dispositivos de rastreo o el malware clone su tarjeta cuando paga por algo colocando el chip en lugar de deslizar la banda.

Pero los ladrones son expertos en explotar las debilidades en cómo ciertas instituciones financieras han implementado la tecnología para eludir las características clave de seguridad de las tarjetas con chip y crear efectivamente tarjetas falsificadas utilizables.

Mucha gente cree que los skimmers son principalmente un problema en los Estados Unidos, donde algunos cajeros automáticos todavía no requieren tarjetas basadas en chip más seguras que son mucho más caras y difíciles de clonar para los cibercriminales.

No obstante, es justamente porque algunos cajeros automáticos de Estados Unidos carecen de este requisito de seguridad por lo que el skimming sigue siendo tan frecuente en otras partes del mundo.

Especialmente por razones de concurrencia con versiones anteriores para acomodar a los turistas estadounidenses, una gran cantidad de cajeros automáticos fuera de los Estados Unidos.

Permiten insertar tarjetas sin chip en el cajero automático.

Es más, muchas tarjetas con chip emitidas por bancos estadounidenses y europeos todavía tienen los datos del titular de la tarjeta codificados en una banda magnética además del chip.

Cuando los cibercriminales roban los cajeros automáticos fuera de los Estados Unidos, Generalmente venden la tarjeta robada y los datos del PIN a los cibercriminales en Asia y América del Norte.

A su vez, esos cibercriminales codificarán los datos de la tarjeta en tarjetas falsificadas y retirarán efectivo en cajeros automáticos más antiguos en los Estados Unidos y en otros lugares, fundamentalmente de América Latina.

Curiosamente, incluso después de que la mayoría de los bancos de los Estados Unidos, instalen cajeros automáticos con capacidad para chips, la banda magnética seguirá siendo necesaria porque es una parte integral del funcionamiento de los cajeros automáticos: la mayoría de los cajeros automáticos condenan al usuario, ya que las que usan en la actualidad requiere una banda magnética para que se acepte la tarjeta el cajero.

La razón fundamental de esto es asegurarse de que los clientes coloquen la tarjeta en la ranura correctamente, ya que las letras y números en relieve que se encuentran en puntos extraños en el lector de tarjetas pueden afectar las lectoras con el tiempo.

Mucha gente usa tarjetas de débito para las compras diarias, pero nunca me ha interesado asumir el riesgo adicional y pagar todo en efectivo o con tarjeta de crédito.

Armados con su PIN y los datos de su tarjeta de débito, los cibercriminales pueden clonar la tarjeta y sacar dinero de su cuenta en un cajero automático.

Que su cuenta corriente se vacíe de efectivo mientras su banco soluciona la situación puede ser una gran molestia y crear problemas colaterales.

IT CONNECT LATAM

Información estratégica para los ejecutivos que tienen responsabilidades de negocios.

La próxima publicación de skimmer aquí examinará un dispositivo analógico ingenioso y económico que ayuda a los trabajadores minoristas a verificar rápidamente si sus terminales de pago han sido manipulados por los cibercriminales.

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, Skimmers, 

91 / 100