Desde el Observatorio de Delitos Informáticos de Canarias somos conscientes de las nuevas tendencias respecto a los distintos fraudes bancarios que van apareciendo continuamente a través de los servicios de pago digital y de tarjetas de crédito. Al mismo tiempo, queremos advertir sobre las diversas técnicas usadas donde el cibercriminal aprovecha para hacerse con la información sensible de sus víctimas. Hoy hablaremos del carding: qué es, tipos de carding, metodología, prevención, …
¿Qué es el Carding?
El Carding es una técnica delictiva donde el cibercriminal hace un uso no autorizado de la tarjeta de crédito, cuenta bancaria y cualquier otra información financiera referente a la víctima a la que se ha sustraído datos privados sensibles por medio de diversas metodologías. Frecuentemente, el principal método usado para robar la información de la tarjeta de crédito, datos financieros u otros detalles sensibles están relacionados con el malware, tratándose de un programa espía que recopila información de una computadora y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario de la computadora. También hay otras formas de robar información personal a la víctima y es con la ayuda del phishing. Este engaño está basado en falsas páginas webs que pretenden hacerse pasar por instituciones legítimas, tales como bancos, universidades, tiendas online y similares a empresas.
Metodologías del Carding
Hay muchas clases de Metodologías del Carding, a continuación, enumeraremos algunos de estos tipos:
- Carding Físico
También conocido como Skimming. Se trata del robo de información de tarjetas de crédito empleado en el momento de la transacción, con la finalidad de reproducir o clonar la tarjeta de crédito o de débito con el propósito de poder usarla fraudulentamente más adelante. Consiste en el copiado de la banda magnética de una tarjeta.
Habitualmente, este método delictivo es realizado en restaurantes, bares, gasolineras o en cajeros automático donde un cómplice del criminal está en posesión de la tarjeta de crédito de la víctima o en un lugar en el que se ha instalado un dispositivo que puede copiar la información contenida en dicha tarjeta. En el caso de un cajero automático, el criminal que realiza el fraude pone un lector de tarjetas (Para poder copiar las bandas magnéticas de las tarjetas), un teclado conectado al lector (Obtención del PIN de la tarjeta) junto con una cámara que visualiza la transacción financiera que se está realizando en el cajero automático. Es difícil detectar “insitu” el Skimming, por lo general, alguien en un cajero automático o en un local comercial utiliza un pequeño dispositivo para copiar y robar datos de la banda magnética de una tarjeta de crédito o de débito. Luego la información sensible obtenida, ilegalmente, se duplicará en una tarjeta falsificada con intención de hacer compras fraudulentas.
- Carding Virtual.
El método más usado para robar información sensible de las tarjetas de crédito o de débito, datos financieros u otros detalles sensibles están relacionados con el malware. Actualmente, el Carding incluye distintas categorías de malware, tales como, troyanos, rootkits, backdoor, … Cada uno de esos virus pueden ser instalados en el sistema sin consentimiento alguno del usuario, con el fin de obtener acceso al sistema. Estos virus pueden camuflarse en el sistema todo el tiempo que necesiten para reunir información y los datos personales requeridos, inclusive, pueden grabar las pulsaciones del teclado de la víctima o tomar capturas de pantalla del escritorio mientras usan Internet. Una vez recopilada la información financiera y otros datos sensibles, la envían a servidores remotos.
Del mismo modo, algunos cibercriminales usan páginas web fraudulentas con el objetivo de hacer Phishing para engañar a los usuarios y recibir información financiera. Estas páginas webs tratan de suplantar a páginas webs reales con el mismo diseño corporativo (suelen usar URLs similares a las páginas webs reales, de la misma forma, intentan publicar el mismo contenido gráfico corporativo en la página web fraudulenta). Las víctimas también reciben emails falsos parecidos a los de compañías legítimas. Buscan hacer que las víctimas revelen números de tarjeta de crédito, fecha de expiración y similar información sensible.
- BINS
Un BIN son los seis primeros números de una tarjeta de crédito, lo cual identifica al banco y al tipo de tarjeta que es. Los BINS nos permite crear tarjetas de crédito y de débito. Los BINS se utiliza para generar tarjetas basada en patrones que la podemos utilizar en distintas aplicaciones y páginas web. Para que la tarjeta funcione es necesario un código de seguridad (CCV) y fecha de expiración.
Estos BINS son generados a través de otra tarjeta, de la tarjeta madre se podría decir, a partir de la cual se pueden crear miles de tarjetas donde siempre los BINS tendrán el mismo CVV y fecha de expiración que la tarjeta madre. Cada página aceptara un BIN diferente, o tarjetas generadas a partir de un bin con mismo cvv y Fecha de expiracion. A veces dos páginas pueden ser vulnerables a la misma vez por un mismo bin, que querrá decir que tienen la misma seguridad o método de pago.
- Cash-Out
Consiste en el robo de cuentas Paypal, cuentas bancarias en línea, saldos de tarjetas de regalo e importes de Western Union. Cuando el cibercriminal cuenta con estos datos, simplemente recibirá dinero en efectivo.
¿Cómo protegerse del Carding?
- Ante todo, si tu negocio se ha visto afectado por el ciberataque del Carding, no deberías perder tiempo y contactar con tu banco para hacerles saber que has sufrido un delito cibernético. Al mismo tiempo, será mucho mejor que sus clientes tengan conocimiento de ello. Esto es aconsejable porque, de ese modo, puedes pedirles a tus clientes que cambien sus contraseñas y cualquier otra información de autentificación referente a los datos privados financieros de los mismos.
- Deberías instalar en el sistema un anti spyware de confianza así evitarás la presencia de cualquier tipo de malware que pueda robar cualquier información sensible guardada en el ordenador.
- No te olvides actualizar el software de inmediato en cuanto haya una nueva versión, para garantizar la seguridad, ampliar funciones o mejorar otras. De esa manera, trata de cerrar agujeros de seguridad importantes para que no puedan ser usados por los malwares en tu ordenador. Así evitarás el acceso al sistema y no roben los datos personales del mismo.
- En caso de sospechar de alguna página web y de mensajes de email de remitentes desconocidos, lo más recomendable, será no acceder a dicho contenido del cual se desconfía. Cada uno de ellos puede conducirte a la pérdida de información sensible, incluyendo datos financieros.