Huellas Digitales: La llave maestra para el Carding y otros delitos informáticos

Iniciado por AXCESS, Febrero 19, 2020, 02:52:58 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El "Carding" es el nombre que usan los hackers  y especialistas en seguridad, para denominar al fraude de tarjetas de crédito, haciendo uso y extracción no autorizados e ilegítimos de sus fondos, así como de la información de su propietario.

El fraude de tarjetas de crédito, ocurre todos los días y supone pérdidas financieras de unos 24 mil millones de dólares al año, y está previsto que crezca considerablemente.

En teoría, el Carding se ha complicado gracias a las medidas de seguridad implementadas por los bancos y las plataformas de pago de manera reciente. Pero, por desgracia, los sistemas contra el fraude no funcionan a la perfección y los servicios especiales, herramientas y tiendas necesarios para robar dinero de las tarjetas de crédito de otros, están a disposición de cualquiera.

Huella Digital: comprar una identidad para robar los fondos a una tarjeta de crédito


Una Huella Digital o Máscara de un usuario, hace referencia a su información en conjunto de los distintos apartados que lo caracterizan e identifican: historial web, el Sistema Operativo, la información del navegador, los complementos instalados y demás; así como la información sobre su comportamiento: qué hace online y cómo lo hace.

Las máscaras digitales se utilizan en los sistemas antifraude para verificar a los usuarios.

Si la máscara digital coincide con la que ha mostrado anteriormente el usuario, el sistema antifraude considerará que la actividad es legítima. Por tanto, en el caso de muchos bancos, ni siquiera requerirán un código 3D Secure por SMS, ni notificarán al usuario para confirmar la transacción.

Por tanto, si un hacker consiguiera robar su máscara digital y sus credenciales de la banca online, el sistema antifraude pensará que es ese usuario y no disparará ninguna alarma. De esta forma, el atacante puede vaciar todo el dinero de su cuenta sin ser detectado.

Existe una tienda en la Darknet llamada Genesis que se utiliza para vender máscaras digitales, extraídas de dispositivos de usuarios. Otros compran esta información, que puede costar entre 5 y 200 dólares estadounidenses, dependiendo de la cantidad de datos y de las credenciales incluidas, y la utilizan para hacerse pasar por el propietario de la máscara digital.

Para ello, utilizan un complemento de navegador, gratuito, desarrollado por las personas responsables de Genesis y llamado Genesis Security. Este complemento les permite utilizar la máscara digital para recrear la identidad virtual del usuario legítimo y, por consiguiente, engañar a los sistemas antifraude. En resumen, modifica los parámetros que analiza el sistema antifraude para que coincidan con los del dispositivo de la víctima y reproduce su comportamiento.

Recopilación de Huellas Digitales

Los datos que se venden en Genesis son extraídos a partir de varios tipos de malware.

No todos los malware intentan cifrar datos para pedir un rescate o robar dinero al acceder a un dispositivo. Otros permanecen en silencio, recopilando todos los datos a su alcance y elaborando esas máscaras digitales que posteriormente se venden en Genesis.

Otras formas de evadir los Sistemas Antifraude

El primer método para esquivar los Sistemas Antifraude es resultar familiar, pero el otro es parecer completamente nuevo. Y hay un servicio en Internet para ello también.

Completamente nuevo significa que casi no hay parámetros coincidentes entre la máscara digital utilizada y cualquier otra máscara digital que el servicio tenga en cuenta. Es decir, el hacker no podrá iniciar sesión en un servicio con un Sistema Antifraude, aunque instale un nuevo navegador en su ordenador, si algunos de los parámetros (como el hardware, la resolución de pantalla y demás información del ordenador) son los mismos a los de la máscara digital utilizada anteriormente.

Pero un servicio llamado Sphere permite a los cibercriminales crear una nueva identidad digital y personalizar todos los parámetros para que el Sistema de Prevención de Fraude las conciba como algo completamente nuevo. Y no tenga motivos para desconfiar de esa nueva persona.

El problema es que no importa el sistema de prevención, las técnicas siguen funcionando, ya que los algoritmos de estos sistemas que determinan si el usuario tiene permiso a acceder a los fondos dependen de los mismos datos que recopilan los cibercriminales.

Protegerse contra el fraude de tarjetas


En cuanto a los bancos, habría que introducir de forma obligatoria la autentificación de doble factor, utilizando incluso la biometría, como el lector de huellas (real, no digital), el análisis de iris o el reconocimiento facial. Además, estar al tanto de los distintos tipos de fraude que emergen.

Desde la perspectiva del usuario, para protegerse, solo tiene que asegurarse de que nadie recopile su máscara digital. Y, para ello, tiene que instalar una solución de seguridad de confianza que eliminará todo rastro de malware que intente falsificar sus datos.

Otros Servicios que usan las Huellas Digitales

Son muchas las compañías que usan este sistema.
Google, Facebook, y sin fin de servicios, tienen en su fundamento de seguridad básico, el registro de Huellas Digitales de sus usuarios.
Uno de los servicios más comúnmente usados y que hace gala del mismo, es el sistema de seguridad reCAPTCHA de Google.
Este detecta la Identidad Digital del usuario (a través de su Huella Digital) que previamente se ha logueado en una de las cuentas de su ecosistema: e-mail, PlayStore, etc.
Abarca aspectos como: e-mail, IP, navegador, Sistema Operativo, etc., siendo determinante para legitimar la autenticidad del usuario, y su aceptación en el sistema de seguridad, con solo un clic.

Fuentes:
Varias sobre internet; en especial: Blog de Kaspersky: Huellas Digitales.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta