Un grupo de expertos de la Universidad de Newcastle han descubierto cómo funciona el método que le ha costado al banco Tesco 2,5 millones de libras el mes pasado. Los fallos en el sistema de pagos de tarjetas de Visa permiten descubrir el número de tarjeta de crédito/débito, fecha de caducidad y código de seguridad, y hacerlo además en tiempo récord: seis segundos.
Los criminales que llevaron a cabo este robo aprovecharon un método "terroríficamente sencillo" para desvelar esa información: el llamado Distributed Guessing Attack permitía aprovechar el hecho de que el sistema de Visa no detecta que los cibercriminales hacían múltiples intentos de conseguir los datos de las tarjetas, y al combinar todos los intentos fallidos iban logrando la información deseada.
Visa echa balones fuera
Como explicaba Mohammed Ali, uno de los responsables del estudio, explicaba cómo esos intentos fallidos se sumaban al hecho de que cada sitio web de compras online pregunta por datos distintos para validar esas compras. Toda esa información acaba siendo útil para completar el puzzle y lograr la información de las tarjetas de crédito.
"El número de intentos ilimitados", apuntaba Ali, "combinado con las variaciones en los campos de datos de pagos hacen terroríficamente sencillo para los atacantes lograr generar todos los detalles de la tarjeta campo por campo". Cada campo generado de la tarjeta puede ser usado en sucesión para generar el siguiente campo, y ese ciclo se repite hasta que se logra toda esa información.
En el estudio revelaban que incluso si únicamente tenemos los primeros seis dígitos de la tarjeta (que solo revelan el banco y el tipo de tarjeta) "un hacker puede obtener las tres partes esenciales de información para hacer una compra online en tan solo seis segundos".
Visa no parece haber reconocido la validez del estudio, y sus responsables indicaron que "la investigación no toma en cuenta las múltiples capas de prevención de fraude que existen en los sistemas de pago, cada una de las cuales debe ser validada para poder hacer una transacción en el mundo real", y apuntaban a que los comercios y los emisores de tarjeta pueden tomar distintas medidas para evitar ataques por fuerza bruta como estos.
Vía | The Guardian
Más información | Distributed Guessing Attack
Ver 12 comentarios
12 comentarios
sanchezua
Lo increíble es que aún se permitan en algunas web y bancos el pago con esos datos. Hay mil maneras de hacer los pagos por Internet mucho más seguros. Yo no puedo pagar nada sin introducir un código que me manda el banco al móvil.
lex10s
Desde luego Visa tendrá su parte de culpa pero yo pienso que este tipo de cosas ocurren por desgana de los bancos.
Y es que tanto visa como las demás principales empresas proveedoras de tarjetas tienen varias capas de seguridad, yo no se como funcione el tema exactamente, pero apostaría a que es responsabilidad del banco implementar una o varias de esas capas.
Sin que sirva de precedente a mi me parece que la banca española lo hace bastante bien en este sentido, en cuanto viajas un poco te das cuenta de que hay lugares donde no solo no implementan medidas de seguridad efectiva en las tarjetas, si no que te cobran por hacerlo de mala manera.
Miquel Alfonso
No es exactamente esto pero lo comento para que lo sepáis que cosas pasan por el mundo.
Hace cosa de mes y medio me duplicaron una tarjeta con chip. esa tarjeta era nueva, me la habían entregado ese mismo día y el único movimiento que llegué a efectuar con ella fue el de la propia activación en el cajero de mi sucursal, así que está clarísimo dónde ocurrió.
Según Caixabank, es imposible duplicar una tarjeta con chip y conseguir un PIN así que no me lo cubren ya que dicen que la culpa es mía. Según la policía, esta ya hasta las narices de decirle a los bancos que hace mas de año y medio que llega gente con las tarjetas duplicadas en sus propios cajeros. (Ponen una cámara o un teclado falso. para obtener el PIN). (Hay que poner la mano para cubrir el PIN, algo que no hacía hasta ahora , aunque en caso de tener un teclado falso no hay forma de protegerse).
Me vaciaron la cuenta y el banco no se hace cargo porque el que duplicó la tarjeta no solo fue cabrón en duplicarla sino que sacó el dinero en cajeros automáticos utilizando mi PIN. (Insisto, la tarjeta fue duplicada, la mía se la quedó la policía)..
El tío que hizo esto se paseo por tres cajeros sacando dinero en montos de 160 euros, una y otra vez, y ningún sistema de seguridad le llego a bloquear (Es cojonudo, porque tengo otra tarjeta, una Amex, que si sacas 2 veces 20 euros del mismo cajero se bloquea. Caixabank no ve necesario instalar sistemas de seguridad tan estrictos pero tampoco ve necesario devolverte el dinero cuando su mierda de sistemas falla).
Tuve toda la mala suerte del mundo. me acababa de abrir esa cuenta y la tarjeta era nueva. No tenía los servicios on-line activados aún (Por culpa de mi oficina ya que el día anterior los había intentado activar pero el servicio aún no estaba disponible), y para colmo no se me ocurrió mirar el límite de la tarjeta, en mi otro Banco en el BBVA las tarjetas de debito salen ir con límite bajo, en cambio Caixabank tiene un limite mas que generoso.
Hay que tener los sistemas on-line con los servicios de aviso encendidos, pues al menos si hacen algún movimiento extraño se puede bloquear la tarjeta de inmediato.
Ayer me llamó la policía y el tipo que hizo esto tiene una orden de detención pero está en Argelia: Le explique al agente lo que me había pasado con el banco y me comentó que no era el primero ese mismo en mes en tener ese problema, que prácticamente no hay un solo banco que este cubriendo esto.
Según el director de la oficina y según la oficina del sindico de Greuges (Suerte de defensor del pueblo de Catalunya), cobrar voy a cobrar: La oficina del Sindic de Greuges dice que los casos que pasan por allí todos han cobrado pero que los bancos tardan de media casi un año en pagar.
jlmartin
Esto no es cierto, en un pago en una tienda me equivoque varias veces seguidas con el numero de seguridad y me bloquearon el pago por Internet, tuve que llamar a visa para que me lo volvieran a activar, así que en el mundo real es bastante mas difícil.
Aun así siempre que puedo prefiero usar paypal, mucho mas seguro.
alons0
Me encantan las noticias tipo "hackers consiguen/logran.....".
Son interensantes y nos ponen en alerta sobre cuantas vulnerabilidades existen en las plataformas digitales que usamos a diario.
Pero tambien hay que ser objetivo y saber que todos estos descubrimientos se dan en escenarios preparados y donde las variables se reducen al minimo para demostrar que la vulnerabilidad existe.
En otras palabras: que estos hackers pueden sacar toda la informacion de una tarjeta en 6 segundos, si. Pero habria que ver si están facil en un escenario menos controlado (en el dia a dia). Porque como ya han comentado mas abajo, a mí mi banco no me deja pagar sin la vereficacion en dos pasos (el famoso SMS con el codigo de confirmacion).
sathwan
y ahora se dan cuenta???
isagar
Genial noticia. Gracias