Muy interesante artículo el que publica Brian Krebs en su blog sobre los offline POS skimmers, terminales de pago falsas que clonan las tarjetas de crédito. Brian se ha encontrado en un foro de ciberdelincuentes profesionales con un vendedor de skimmers que ofrece terminales POS (point of sale) manipulados para simular la confirmación de las compras y clonar tarjetas.
Concretamente vende dos modelos inalámbricos de Verifone (vx510 y vx670) a partir de los 2.500 dólares. El precio puede parecer alto, pero en comparación con las ganancias que un delincuente puede obtener con ellos es una «inversión» mínima.
Estos dispositivos simulan procesar las compras imprimiendo tickets falsos, mientras que los datos de las tarjetas y los PINs son guardados en una memoria interna para posteriormente recuperarlos con un cable USB. Además, también pueden simular errores de conexión con la red.
En el siguiente video subido por Brian se puede ver el funcionamiento, la terminal se encuentra desconectada de la red y aún así al pasar una tarjeta se imprime un ticket como si todo estuviera bien:
Contramedidas para comprar tranquilos:
Lo ideal a la hora de pagar con tarjeta es nunca perderla de vista, pues cuando se la llevan podrían pasarla por un skimmer de bolsillo (dispositivo que clona la tarjeta) o simplemente copiar la información visible del plástico (número, vencimiento, nombre y código de seguridad), datos que son suficientes en muchos casos para realizar compras por internet.
Pero ante una terminal de pago manipulada todo sucede frente a nosotros, así que ¿qué se puede hacer?
Ingresar mal el PIN: cabe mencionar que el PIN nunca se lo debemos decir a la otra persona y de hecho a la hora de ingresarlo conviene tapar el teclado para que no se vea. Cuando lo solicitan, si lo ingresamos mal la primera vez y aún así la compra se confirma, entonces algo raro está sucediendo pues el aparato no lo está verificando con el banco.
Ticket extraño: si el ticket impreso es diferente al normal es una buena razón para sospechar. También si se imprime al instante de pasar la tarjeta, sin verificar nada.
Estado de cuenta: siempre es bueno estar al tanto de los estados de cuenta y verificar que los montos descontados sean los correctos. Si realizamos una compra y luego esta no figura, en un principio no es puede parecer algo bueno pero tal vez fuimos engañados y nuestros datos ahora están en manos de delincuentes.
Tarjeta secundaria: así como algunas entidades ofrecen tarjetas virtuales para realizar compras por internet, utilizar una tarjeta de débito o una extensión de la principal con un límite de saldo puede ser útil en caso de estafa, pues al menos perderíamos menos dinero.
Sin embargo, a pesar de estas contramedidas, es posible que la terminal POS aún manipulada pueda recibir la autorización del banco, confirmar la compra de forma normal y estar clonando la información. Así lo demostraron dos investigadores en la pasada Black Hat USA de Las Vegas.
¿Y esto sucede en latinoamérica?
Estas estafas ocurren en todo el mundo, de hecho hace poco comentaba que en un shopping de Argentina habían arrestado a un carder en plena acción mientras manipulaba terminales o simplemente las cambiaba por las falsas haciéndose pasar por un técnico (la prensa no dio muchos detalles del caso).
Y recientemente algo similar ocurrió en Chile, la policía arrestó a tres personas e incautó tarjetas clonadas, una base de datos con más de mil clientes bancarios y cuatro terminales de pago falsas. Se cree además que formarían parte de una banda que opera en varios países del cono sur:
Mas detalles sobre este caso en emol.com.