Mundial 2014: consejos para el uso de cajeros automáticos y evitar la clonación de tarjetas de crédito

¿Tiene previsto recorrer un poco de Brasil durante el Mundial? ¡Bienvenido! Esperamos que disfrute su estadía! ¿Cómo planea pagar sus cuentas mientrasš este aquí? ¿Con dinero en efectivo o tarjeta de crédito? ¿Está preocupado por la clonación de tarjetas de crédito? Debería estarlo.

Brasil tiene algunos de los criminales más creativos y activos especializados en la clonación de tarjetas de crédito – y, por desgracia, les encanta atacar a los extranjeros que no saben cómo proteger sus tarjetas de crédito al retirar dinero de un cajero automático o al pagar por sus “caipirinhas” en un restaurante.

En esta segunda parte de nuestra serie les mostraremos los ataques más comunes en los cajeros automáticos y TPVs en Brasil. Estos quieren clonar su tarjeta usando dispositivos “chupa-cabras”, cajeros falsos y claro, mucho malware.

Tarjetas de crédito, manera lo brasileño

Los terminales de punto de venta (TPV) son muy comunes en Brasil; usted los encontrará en restaurantes, supermercados, gasolineras, etc. De hecho, las tarjetas de crédito son la forma preferida para comprar bienes y pagar las cuentas – Segun el Banco Central de Brasil, las tarjetas representan el 70% de todos los pagos en el país:

Tarjetas con CHIP and PIN son aceptadas por casi todas las empresas, incluso por los conductores de taxi – a pesar de algunas noticias recientes acerca de fallos de seguridad en este protocolo, las tarjetas con chip y PIN son aún más seguras y más difíciles de clonar que las tarjetas magnéticas. Si aún no dispone de este tipo de tarjeta, pregunte en su banco si es posible conseguir una antes de viajar.

En Europa y América del Norte, muchas personas tienen la costumbre de entregarle sus tarjetas al personal en los restaurantes y tiendas. En Brasil, este es un hábito peligroso. Por favor, no haga esto – es una oportunidad de oro para que los estafadores clonen su tarjeta ya que la tentación es inevitable y demasiado dura de resistir. Tengo amigos extranjeros que han reportado que sus tarjetas fueron clonadas durante un viaje a Brasil – estos incidentes se realizaron exactamente bajo esta situación, por lo que nunca špierda de vista a su tarjeta de crédito.

En Brasil nunca haga esto…

En Brasil es normal pedirle al personal acompañarlos al terminal de pago electrónico. Esto es mucho más seguro, ya que la transacción se realiza justo en frente de usted. Tenga cuidado con encuentros casuales o accidentes que dejen a su tarjeta fuera de su alcance por un momento. Si esto ocurre, compruebe que la tarjeta que le vuelven es realmente la suya. Si usted tiene alguna duda, es necesario informarle al banco de inmediato.

¡Haga esto!

Malware de TPVs y PIN Pads

Ciberdelincuentes brasileños están exportando el malware de PoS (Point of Sales/ TPVs) de Europa del Este y utilizándolo a nivel local, infectando a computadoras y capturando números de tarjetas de crédito. Hemos reportado en detalles sobre el "malware Chupa Cabra", el Trojan-Spy.Win32.SPSniffer, una familia de malware con muchos variantes desarrollados en Brasil desde 2010.

Variantes del troyano “chupa cabra” en Brasil

Este troyano afecta a los dispositivos TPV y PIN Pads, los cuales son muy comunes en el país. Estos dispositivos están conectados a un computador mediante el puerto USB o serial para comunicarse con el software de transferencia electrónica de fondos (EFT). El troyano infecta el computador y captura los datos transmitidos.

Estos PIN Pads son equipados con recursos de protección para asegurarse de que las claves de seguridad se borren si alguien intenta manipular el dispositivo. El PIN se cifra tan pronto como se introduce, por lo general mediante el algoritmo 3DES. Pero el Track 1 (su número de tarjeta de crédito, fecha de caducidad, código de servicio y CVV) y los datos públicos del CHIP no están cifrados en el hardware de los dispositivos viejos y obsoletos. Estas son enviadas en texto plano a la PC a través de los puertos seriales o USB. La captura de estos datos es suficiente para clonar su tarjeta de crédito.

Los operadores están conscientes del problema y promovieron una actualización de firmware masiva en estos dispositivos, con el objetivo de detener los ataques. Sin embargo, la continua aparición de nuevos variantes de este malware demuestra que estos ataques siguen siendo eficaces.

No hay mucho que uno pueda hacer para evitar ser víctima de estos ataques, así que por favor mantenga su tarjeta de crédito bajo una estrecha vigilancia- verificar todas las transacciones e infórmele al banco de inmediato si ve algo sospechoso. Siempre que sea posible, trate de pagar con un dispositivo inalámbrico – que son un poco más seguros.

Los Chupa Cabras, cajeros falsos y malware ‘jackpot’

Brasil está entre los países que tienen el mayor número de cajeros automáticos a nivel mundial, según el Banco Mundial. Así que hay más de 120 mil oportunidades para que los criminales instalen šun “chupa cabras”. Los criminales hacen esto todo el tiempo. Incluso, durante el día se pueden ver vestidos con ropa de playa y sandalias, con un estado de ánimo muy relajado, mientras instalan skimmers en un banco muy bien transitado:

El utilizar sus manos para cubrir el teclado mientras introduce el PIN es una gran manera de frustrar la mayoría de los “chupa cabras”, que tienden a depender de cámaras ocultas. Pero hay algunos criminales que llevan esta técnica a otro nivel e instalan un cajero automático completamente falso:

Los datos de la tarjeta y su contraseña son capturados y enviados al criminal usando un modem 3G:

Algunos bancos han implementado la autenticación biométrica, y los bancos brasileños han sido pioneros en la aplicación de esta tecnología. Pero como extranjero, probablemente estas medidas no lo ayuden mucho ya que requiere un registro previo con los bancos locales, y tiende a estar disponible sólo para los brasileños y los residentes de larga duración.

Existen cajeros automáticos basados ​​en biometría, pero es poco probable que los extranjeros puedan usarlos

Según lo sugerido por Brian Krebs, su mejor protección en este caso es un buen ojo – si nota algo raro, notifiquele al banco o al propietario de la máquina, e ir a otro lugar para retirar su dinero en efectivo.

La Federación de Bancos Brasileños (FEBRABAN) tiene algunos otros consejos muy útiles sobre el uso de los cajeros automáticos en Brasil:

• Nunca acepte o pida ayuda a extraños al usar los cajeros automáticos, incluso si no parecen sospechosos;
• Sea consciente de la presencia de personas sospechosas o curiosos a su alrededor. En caso de alguna duda, no comience su transacción; tenga especial cuidado al salir de la sucursal bancaria, usted podría ser víctima de la “saidinha de banco”;
• Si su tarjeta de crédito o débito se conserva en un cajero automático, pulse los botones "Cancela" o "Anula" para cancelar la operación y entre en contacto con el banco inmediatamente. Trate de llamar šal número de teléfono de la línea de ayuda del banco. Si el número de teléfono no funciona, puede ser un intento de robarle a los clientes. En estos casos nunca acepte ayuda de extraños, incluso si dicen que trabajan para el banco. No ingrese su PIN en la máquina tampoco.

Otra tendencia interesante en Brasil y en América Latina es el malware "jackpot". Recientemente vimos Ploutus en México y en algunos casos se registraron en Brasil también. En estos casos los ciberdelincuentes infectan el cajero automático utilizando una memoria USB – casi todos ellos siguen corriendo el sistema operativo Windows XP. El malware permite retirar todo el dinero del cajero automático. Esta táctica no afecta directamente al usuario, pero puede significar que el cajero automático no tendrá dinero para dispensárselo cuando lo necesite.

Estos son algunos consejos de un residente en Brasil, con la esperanza de ayudarle a que disfrute de nuestra hospitalidad durante su visita. Manténgase seguro mientras utilice los cajeros automáticos o pague con su tarjeta de crédito. Como consejo final, le comparto este enlace, una lista de sugerencias muy útil sobre cómo mantenerse sano y salvo durante el Mundial.

En nuestro próximo blog mi colega Dmitry Bestuzhev le explicará los riesgos del uso de las redes Wi-Fi šy los cargadores públicos y la forma de conectarse a Internet de forma segura.