Target, millones de tarjetas de crédito comprometidas

Cuando todo el mundo en Estados Unidos aprovechaba el fin de semana del pasado Black Friday para hacer compras con increíbles rebajas, y desgastar sus tarjetas de crédito...otros obtenían los datos de dichas tarjetas de crédito, comprometido así uno de los comercios americanos más importantes, con más de 2000 tiendas físicas, Target.

En este caso los usuarios que realizaron compras a través de su portal online o en tiendas de Canada no están afectados, pero sí todos aquellos que realizaron pagos con tarjetas de crédito entre el 27 de Noviembre y el 15 de Diciembre podrían haberse visto afectados.

Hasta ahora, tras varias comunicaciones publicadas por la propia empresa, se conoce que la información robada por estos ladrones digitales correspondería con los siguientes datos:

• Nombre completo del cliente
• Número de tarjeta de crédito o débito
• Fecha de caducidad
• Código de seguridad CVV

Básicamente se ha obtenido la información que reside en las tracks de las tarjetas magnéticas, datos más que suficientes para poder reproducir su funcionalidad y poder realizar compras totalmente ajenas, suplantando por completo la identidad de las víctimas. 

No es el primer caso de robo importante de información referente a tarjetas de crédito. Contábamos por aquí en Abril del año pasado la intrusión sobre Global Payments, sobre el cual también se conoció el acceso a información raíz de las tarjetas que procesaba.

Caída de las acciones de Target Corp (TGT) tras el anuncio del compromiso a sus clientes

Por desgracia, todavía no tenemos detalles técnicos acerca de lo ocurrido, únicamente que parece que la intrusión se realizó sobre los propios puntos de venta. Esperamos que en los próximos días podamos conocer algo más. A fecha de hoy, la investigación sigue en pie.

Otro de los casos relevantes y similares a este, tal y como recuerda Brian Krebs en este post, es el de TJX en el año 2007, sobre la cual se comprometieron también más de 40 millones de tarjetas de crédito. En este caso, la intrusión se llevó a cabo a través de la red inalámbrica de una de sus tiendas, a través de la cual se accedió a la red de la sede central.

Referencias:

[+] Sources: Target Investigating Data Breach - Krebsonsecurity.com

[+] Target Says Data for 40 Million Shoppers Was Stolen - nytimes.com

Leer más...

Recursos antifraude: Bases de datos BIN (Bank Identification Number)

A la hora de implementar un sistema antifraude para transacciones por Internet, lo que se suele hacer es analizar los parámetros de dicha transacción y validar que no haya nada raro.

Por ejemplo, una IP TOR, sin tener porque ser per se un riesgo de fraude, si que debería subir el nivel de alerta.

Otro de los puntos a tener en cuenta es analizar la fisonomía de la tarjeta de crédito empleada en la transacción. Y para eso, es necesario obtener tantos datos como sea posible de ella.

Muy útil resulta conocer el emisor de esa VISA y el país de origen. Conseguir esa información no es excesivamente fácil ya que es un tema un tanto oscuro. En este post me gustaría recopilar un listado de organizaciones / empresas / recursos para obtener dicha información:

Primero las opciones de pago (lamentablemente las más completas):

BinDB ofrece una base de datos con más de 290.000 registros a un precio de 2500$ al año, en la base de datos se puede obtener país y entidad emisora. Ofrecen una interface gratuita para 'lookups' manuales

BinBASE ofrece su base de datos desde 499$ y afirman tener unos 234.000 registros, disponen de interface online para consultas manuales

Fraudassets dispone de más de 352.000 registros y el precio de su bd es de 1200$, igualmente ofrece una interface online para consultas manuales.

Exactbins dice tener 160.000 registros y el precio de la base de datos es de 450$, se pueden hacer consultas manuales desde su interface online

Bindataset se moja totalmente y dice tener exactamente 352942 registros en su base de datos, su precio 475$, se pueden hacer consultas desde aquí

Y ahora las opciones gratuitas (y realmente pobres):

Wikipedia mantiene un listado de emisores de tarjetas de crédito bastante poco completo, solo basta con hacer un search por 'Banesto' para ver que le falta mucho contenido, además el contenido te lo tienes que parsear tu mismo y crearte la bd, nada difícil con un poco de Perl/Python kun fu !

Finalmente, Alberto Rodríguez me hizo llegar este enlace donde alguien ha colgado un listado independiente, igualmente se queda muy corto y requiere parseado, al final uno se puede hacer una bd low-cost con ambos registros si se entretiene parseando.

Si alguien conoce mas bases de datos -especialmente libres- ¡¡ que las ponga en comentarios !!

Leer más...

Pagos con tarjeta. Identificación obligatoria ¿es necesaria?

Si digo que el fraude con tarjetas de crédito está a la orden del día, no creo que le cuente a alguien nada nuevo. Sin embargo, muchas veces nos resulta molesto cierto tipo de medidas que se toman para evitar que den lugar a efectos colaterales. Existe la creencia popular de que las únicas personas con autoridad para pedirnos nuestra identificación son los miembros de los Cuerpos y Fuerzas de Seguridad del Estado. Esto es 100% cierto; sin embargo, cuando queremos efectuar un pago con tarjeta físicamente, se nos exige una identificación mediante un documento oficial (en general, sólo es válido el DNI) argumentando que es por nuestra propia seguridad (en realidad si un pago se realiza en un establecimiento y el dueño de la tarjeta denuncia el mismo, quien asume el coste es el establecimiento).

Una de las cosas que realmente sí son por mi seguridad, y que sí que me debería preocupar, es el saber qué hace el camarero con mi tarjeta cuando desaparece y vuelve con un papelito enrrollado para que lo firme. Es decir, el DNI me lo pides para cubrirte tú, pero, ¿quién me cubre a mí que no clonas mi tarjeta cuando la pierdo de vista? Quizá la medida de las tarjetas con chip EMV que obligan al camarero a traer un lector especial que requieran un PIN para poder efectuar el pago solucionen el problema en algunas ocasiones, pero mientras siga siendo híbrida (teniendo banda magnética y chip) de poco valdrá. Esto lo comprobé esta semana en una conocida cadena de restaurantes de comida rápida: el camarero (que apenas entendía español) pidió mi DNI, hizo como que comprobaba que coincidían los nombres de ambos plásticos, se llevó la tarjeta y la pasó por el lector (esta vez se veía más o menos desde mi posición), me trajo el recibo a firmar, yo lo firmé con una firma que era la primera vez que hacía, no comprobó que la firma coincidía ni con la de la tarjeta (que no la tengo firmada) ni con la del DNI y se fue más que contento.

Entonces ¿Cuánto hay de cierto en la obligación de presentar el DNI? He buscado en google un contrato de solicitud de tarjeta de crédito (por ejemplo éste). Buscando en las condiciones que uno mismo firma en el contrato se indica claramente:

5.1 - El usuario deberá firmar la Tarjeta en el espacio destinado a tal fin, tan pronto como la reciba así como acreditar su identidad cuando sea requerido para ello por el tercero ante quien pretenda hacer uso de la Tarjeta mediante exhibición del Documento Nacional de Identidad, cuando así se solicite, o mediante otros sistemas de identificación o claves que previamente le haya notificado Iberia Cards.

Parece claro entonces que cuando queramos realizar un pago con tarjeta, si nos piden que nos identifiquemos, hemos aceptado y firmado en un contrato de solicitud que lo haremos.

Pero, ¿qué sucede con las compras online? Nadie nos exige nada. Se pueden hacer cargos a una tarjeta de crédito robada desde Internet de una forma libre, de manera que nuestro único amparo sea la ley (y los seguros anti-fraude de las entidades de las tarjetas de crédito), siempre y cuando el fraude se cometa desde un país con relativos medios.

Cuando la compra online involucra unos billetes de avión o la reserva de un hotel por ejemplo, se nos exige además que introduzcamos la fecha de caducidad y el código CVV de la tarjeta. Si alguien comprometiera el servidor de transacciones de la tienda online, se contaría con el conjunto de datos completo para llevar a cabo cuantas compras se deseen (o al menos cargos indebidos).

Pongamos un ejemplo práctico de NO autenticación en servicios online y SÍ en compras físicas. Como tantos viernes, se nos ocurre a Yago y a mí quedar para ir al cine. Al llegar a la taquilla, y pagar con tarjeta, se nos exigirá presentar el DNI del titular. ¿Qué potestad tiene la alegre taquillera para exigirme la identificación? En cambio, si Yago o yo fuéramos previsores y las compráramos/reserváramos a través de Internet, llegaríamos con toda tranquilidad al cajero automático de reservas que está a la vuelta de la taquilla y, al insertar la misma, las entradas se imprimirán sin necesidad de identificaciones previas. En ninguno de los dos casos hemos cometido fraude, sino que hemos realizado una compra usando nuestra tarjeta, en un caso siendo requerida una autenticación con un documento oficial, y en el otro caso, simplemente la posesión de la tarjeta (que podía haber sido robada y no denunciada perfectamente).

Supongo que la integración de una identificación electrónica (en España el DNI-E) aún no ha calado lo suficiente en el comercio, y sus capacidades y usos actuales están aún muy verdes de implementar. La utilización de este tipo de autenticación podría llevar asociada un mecanismo de pago a una cuenta bancaria que realmente permita asegurar que la persona que realiza la reserva, compra, o recepción de un pedido es quien dice ser (o al menos de pistas claras y no repudiables de ello). El problema es la internacionalidad de este tipo de pagos; y es que crear una PKI o una identidad digital única y válida en todo el Mundo sería demasiado complicado e inmantenible al menos para esta década. Veremos en la siguiente!

Leer más...