Aquí; s Por qué el fraude con tarjetas de crédito sigue siendo una cuestión; Krebs sobre seguridad

Aquí; s Por qué el fraude con tarjetas de crédito sigue siendo una cuestión; Krebs sobre seguridad
Author:
13 enero, 2021

Investigación y noticias de seguridad en profundidad

He aquí por qué el fraude con tarjetas de crédito sigue siendo un problema

La mayor parte del mundo civilizado hace años pasó a requerir chips de computadora en las tarjetas de pago, lo que hace que sea mucho más costoso y difícil para los ladrones clonarlos y usarlos para el fraude. Una excepción notable es Estados Unidos, que todavía avanza dando bandazos hacia este objetivo. Aquí hay un vistazo a los estragos que ha causado el retraso, como se ve a través de los patrones de compra en una de las tiendas de tarjetas robadas más grandes del metro que fue pirateada el año pasado.

En octubre de 2019, alguien pirateó BriansClub , un popular bazar de tarjetas robadas que utiliza la imagen y el nombre de este autor en su marketing. Quienquiera que haya comprometido la tienda extrajo datos de millones de cuentas de tarjetas que se adquirieron durante cuatro años a través de diversos medios ilícitos de empresas legítimas y pirateadas de todo el mundo, pero principalmente de comerciantes estadounidenses. Esa base de datos se filtró a KrebsOnSecurity, que a su vez la compartió con múltiples fuentes que ayudan a combatir el fraude con tarjetas de pago.

Un anuncio de BriansClub ha estado usando mi nombre y semejanza durante años para vender millones de tarjetas de crédito robadas.

Entre los destinatarios se encontraba Damon McCoy , profesor asociado de la Escuela de Ingeniería Tandon de la Universidad de Nueva York [divulgación completa: NYU ha sido anunciante desde hace mucho tiempo en este blog]. El trabajo de McCoy al sondear los sistemas de tarjetas de crédito utilizados por algunos de los mayores proveedores de correo electrónico no deseado del mundo enriqueció en gran medida los datos que informaron mi libro de 2014 Spam Nation , y quería asegurarme de que él y sus colegas también tuvieran una ruptura con los datos de BriansClub. .

McCoy y sus colegas investigadores de la NYU encontraron que BriansClub ganó cerca de $ 104 millones en ingresos brutos desde 2015 hasta principios de 2019, y enumeró más de 19 millones de números de tarjetas únicos a la venta. Alrededor del 97% del inventario eran datos de banda magnética robados, comúnmente utilizados para producir tarjetas falsificadas para pagos en persona.

“Lo que más me sorprendió fue que todavía hay mucha gente deslizando sus tarjetas para transacciones aquí”, dijo McCoy.

En 2015, las principales asociaciones de tarjetas de crédito instituyeron nuevas reglas que hicieron más riesgoso y potencialmente más costoso para los comerciantes estadounidenses continuar permitiendo que los clientes pasen la raya en lugar de sumergir el chip. Para complicar esta transición, estuvo el hecho de que muchos bancos estadounidenses emisores de tarjetas tardaron años en reemplazar las existencias de tarjetas de sus clientes con tarjetas con chip, e innumerables minoristas se esforzaron por actualizar sus terminales de pago para aceptar tarjetas con chip.

De hecho, tres años después, la Reserva Federal de EE. UU. Estimó (PDF) que el 43.3 por ciento de los pagos con tarjeta en persona todavía se procesaban leyendo la banda magnética en lugar del chip. Esto podría no haber sido tan importante si los terminales de pago en muchos de esos comercios no estuvieran comprometidos con software malicioso que copiaba los datos cuando los clientes pasaban sus tarjetas.

Tras el cambio de responsabilidad de 2015, se vendieron más del 84 por ciento de las tarjetas sin chip anunciadas por BriansClub, frente a solo el 35 por ciento de las tarjetas con chip durante el mismo período de tiempo.

“Todas las tarjetas sin chip tenían una demanda mucho mayor”, dijo McCoy.

Quizás sorprendentemente, McCoy y sus compañeros investigadores de la NYU encontraron que los clientes de BriansClub compraron solo el 40% de su inventario general. Pero lo que compraron respalda la noción de que los delincuentes generalmente gravitan hacia las tarjetas emitidas por instituciones financieras que se perciben con menos o más laxas protecciones contra el fraude.

Si bien los 10 principales emisores de tarjetas de Estados Unidos representaron casi la mitad de las cuentas puestas a la venta en BriansClub, solo el 32 por ciento de esas cuentas se vendieron, y aproximadamente a la mitad del precio medio de las emitidas por pequeñas y medianas empresas. Instituciones de gran tamaño.

Por el contrario, más de la mitad de las tarjetas robadas emitidas por instituciones pequeñas y medianas se compraron en la tienda de fraudes. Esto fue cierto a pesar de que a fines de 2018, el 91 por ciento de las tarjetas a la venta de instituciones medianas estaban basadas en chips y el 89 por ciento de bancos y cooperativas de crédito más pequeños. Casi todas las tarjetas emitidas por los diez principales emisores de tarjetas de EE. UU. (98 por ciento) tenían chip habilitado en ese momento.

BLOQUEO DE REGIÓN

Los investigadores encontraron que los clientes de BriansClub preferían las tarjetas emitidas por instituciones financieras en regiones específicas de los Estados Unidos, específicamente en Colorado, Nevada y Carolina del Sur.

“Por alguna razón, se percibía que esas regiones tenían sistemas antifraude más bajos o que no eran tan efectivos”, dijo McCoy.

Las tarjetas comprometidas de los comerciantes en Carolina del Sur tenían una demanda especialmente alta, y los estafadores estaban dispuestos a gastar el doble en esas tarjetas per cápita que en cualquier otro estado, aproximadamente $ 1 por residente.

Esa tendencia de ventas también se reflejó en los tickets de soporte presentados por los clientes de BriansClub, a quienes con frecuencia se les informó que las tarjetas vinculadas al sureste de los Estados Unidos tenían menos probabilidades de estar restringidas para su uso fuera de la región.

McCoy dijo que la falta de bloqueo regional también hizo que las tarjetas robadas emitidas por bancos en China se convirtieran en un producto de moda, a pesar de que estas tarjetas exigían precios mucho más altos (a menudo más de $ 100 por cuenta): los investigadores de la NYU encontraron que prácticamente todas las tarjetas chinas disponibles se vendieron. poco después de que se pusieran a la venta. Lo mismo ocurre con las relativamente pocas tarjetas corporativas y de visita a la venta.

La falta de bloqueos regionales también puede haber provocado que los ladrones de tarjetas se inclinen hacia la compra de tantas tarjetas como pudieron en USAA , una caja de ahorros que atiende a miembros del servicio militar activo y anterior y a sus familias inmediatas. Más del 83 por ciento de las tarjetas USAA disponibles se vendieron entre 2015 y 2019, encontraron los investigadores.

Aunque las tarjetas Visa representaron más de la mitad de las cuentas puestas a la venta (12,1 millones), solo se vendió el 36 por ciento. Las MasterCards fueron las segundas más abundantes (3,72 millones) y, sin embargo, se vendieron más del 54 por ciento de ellas.

American Express y Discover , que a diferencia de Visa y MasterCard son las llamadas redes de “circuito cerrado” que no dependen de instituciones financieras de terceros para emitir tarjetas y gestionar el fraude en ellas, vieron el 28,8 por ciento y el 33 por ciento de sus tarjetas robadas compradas. respectivamente.

PREPAGOS

Algunas personas preocupadas por el flagelo del fraude con tarjetas de débito y crédito optan por comprar tarjetas prepagas, que generalmente gozan de las mismas protecciones para los titulares de tarjetas contra transacciones fraudulentas. Pero el equipo de NYU descubrió que las cuentas prepagas comprometidas se compraron a una tasa mucho más alta que las tarjetas de débito y crédito normales.

Aquí pueden estar en juego varios factores. Para empezar, relativamente pocas tarjetas prepagas a la venta estaban basadas en chips. McCoy dijo que había algunos datos que sugirieron que muchos de estos prepagos se emitieron a personas que recibían beneficios del gobierno, como desempleo y asistencia alimentaria. Específicamente, la información del “código de servicio” asociada con estas tarjetas prepagas indicó que muchas estaban restringidas para su uso en lugares como licorerías y casinos.

“Este fue un hallazgo bastante triste, porque si no tienes un banco probablemente así es como recibes tu salario”, dijo McCoy. “Estas tarjetas fueron dirigidas de manera desproporcionada. Lo desafortunado y sorprendente fue la gran demanda y la falta de soporte [chip] para tarjetas prepagas. Además, estas tarjetas probablemente resultaron más atractivas para los estafadores porque las contramedidas antifraude [del emisor] no estaban a la altura, posiblemente porque saben menos sobre sus clientes y su historial de compras típico “.

BENEFICIOS

Los investigadores de la NYU estiman que BriansClub obtuvo aproximadamente $ 24 millones en ganancias durante cuatro años. Calcularon este número tomando los más de $ 100 millones en ventas totales y restando las comisiones pagadas a los ladrones de tarjetas que abastecían la tienda con productos frescos, así como el precio de las tarjetas que se reembolsaban a los compradores. BriansClub, como muchas otras tiendas de tarjetas robadas, ofrece reembolsos en ciertas compras si el comprador puede demostrar que las tarjetas ya no estaban activas en el momento de la compra.

En promedio, BriansClub pagó a los proveedores comisiones que oscilaban entre el 50 y el 60 por ciento del valor total de las tarjetas vendidas. Las cuentas de tarjeta no presente (CNP), o aquellas robadas de minoristas en línea y compradas por estafadores principalmente para defraudar a otros comerciantes en línea, obtuvieron una comisión de proveedor mucho más alta del 80 por ciento, pero principalmente porque estas tarjetas tenían una demanda tan alta y baja oferta.

El equipo de NYU descubrió que las ventas sin tarjeta representaban solo el 7 por ciento de todos los ingresos, aunque los ladrones de tarjetas claramente ahora tienen incentivos mucho más altos para apuntar a los comerciantes en línea.

Una historia aquí el año pasado observó que este tira y afloja exacto de la oferta y la demanda había ayudado a aumentar significativamente los precios de las cuentas sin tarjeta en varias tiendas de tarjetas de crédito robadas en el metro. No hace mucho, el precio de las cuentas CNP era menos de la mitad que el de las cuentas con tarjeta. En estos días, esos precios son aproximadamente equivalentes.

Una razón probable de ese cambio es que Estados Unidos es la última de las naciones del G20 en realizar una transición completa a tarjetas de pago basadas en chips más seguras. En todos los demás países que hace mucho tiempo hicieron la transición de las tarjetas con chip, vieron la misma dinámica: a medida que dificultaban que los ladrones falsificaran tarjetas físicas, el fraude no desapareció, sino que se trasladó a los comerciantes en línea.

La misma progresión está sucediendo ahora en los Estados Unidos, solo que la demanda de datos de CNP robados aún supera con creces la oferta. Lo que podría explicar por qué hemos visto un aumento tan grande en los últimos años en los sitios de comercio electrónico que han sido pirateados.

“Todo el mundo señala este efecto de desplazamiento del fraude con tarjeta presente al fraude con tarjeta no presente”, dijo McCoy. “Pero si el suministro no está ahí, hay mucho espacio para que ocurra ese desplazamiento”.

Sin duda, la epidemia de fraude con tarjetas se ha beneficiado enormemente de las cadenas minoristas pirateadas, especialmente los restaurantes, que aún permiten a los clientes pasar tarjetas con chip. Pero como veremos en una publicación que se publicará mañana, una nueva investigación sugiere que los ladrones están comenzando a implementar métodos ingeniosos para convertir los datos de las tarjetas de ciertas transacciones comprometidas basadas en chips en tarjetas físicas falsificadas.

Una copia del trabajo de investigación de la NYU está disponible aquí (PDF).

Esta entrada se publicó el miércoles 29 de julio de 2020 a las 3:46 p.m. y está archivada bajo A Little Sunshine, Data Breaches. Puede seguir cualquier comentario a esta entrada a través del feed RSS 2.0. Ambos comentarios y pings están actualmente cerrados.