Empleado de pizzería clonaba tarjetas de crédito de clientes

Enviado por admin el 6. Octubre 2008 - 17:40.

A todos se nos ha pasado por la cabeza alguna vez: ¿Y si el camarero del restaurante al que acabas de dar tu tarjeta de crédito aprovecha ese par de minutos de ausencia para copiar la banda magnética y luego hacer compras en tu nombre?

Varios centenares de ciudadanos de Filadelfia (EE.UU) acaban de comprobar en sus cuentas que se trata de una posibilidad que va bastante más allá de una leyenda urbana, sobre todo desde que los aparatos que permiten extraer la información de las tarjetas son tan diminutos y relativamente económicos como este TA32, que además se vende libremente por Internet.

Estos clientes pagaron con tarjetas de varias firmas distintas (American Express, Discover, Visa y MasterCard) las pizzas que consumieron en un popular establecimiento de California Pizza Kitchen en Filadelfia, entre julio y agosto pasados. Un empleado (que ya había sido despedido, pero aún no ha sido detenido) aprovechaba para hacerse con copias de las tarjetas de los clientes, utilizando la conocida técnica denominada "skimming"...

Cuando American Express comenzó a recibir reclamaciones por cargos injustificados localizó el nexo común y denunció el caso a la policía.

Comprar por Internet sin duda tiene sus riesgos, pero los pagos en la vida real tampoco están exentos de peligros. Cuidadín.

 

Referencias:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Habrá que cambiar a las smartcards

Enviado por anónimo el 6. Octubre 2008 - 17:46.

En UK ya casi no puedes utilizar una tarjeta que tenga únicamente banda magnética, solo aceptan las tarjetas-chip.

Algunas entidades bancarias también las estan entregando en España, y he visto que algunos supermercados estan cambiando sus lectores para aceptar este tipo de tarjetas.

¿Alguien sabe si son más difíciles de clonar?

smartcards? otro tanto

Enviado por anónimo el 6. Octubre 2008 - 18:38.

Visto lo visto aquí:

http://freeworld.thc.org/thc-epassport/

me parece a mi que la cosa va a ir por el mismo camino.

Un poco de luz...

Enviado por anónimo el 7. Octubre 2008 - 22:15.

En primer lugar, respecto al clonning de pasaportes electrónicos, podéis leer una opinión fundamentada aquí: http://www.riscure.com/tech-corner/blog/blog-item/archive/82...

En segundo lugar, respecto a smart cards, no es ni mucho menos tan fácil como clonar una banda magnética. Una smart card es mucho más que una simple memoria. Es un procesador (o microcontrolador) con acceso a la memoria, y generalmente con algoritmos criptográficos implementado en el mismo (ya sea en hardware o en software).

Generalmente una smart card llevará una clave propia o algún certificado que permita a los terminales saber que es una tarjeta correcta, y además contará con métodos para comprobar que los terminales también estén autenticados. Y por otra parte las claves privadas nunca deberían abandonarla.

Los ataques que más daño hacen normalmente a las smart cards son ataques laterales tipo Differential Power Analysis o puede que a veces inyecciones de fallos. Pero para ello no basta con un pequeño dispositivo que copie la información leida de la tarjeta: hay que realizar múltiples cifrados, almacenar medidas de potencia y realizar cálculos estadísticos sobre ellas en el caso de DPA; y en el caso de fault injections, hay que disponer de dispositivos para ello (puede ser un simple 'pico negativo' de tensión que baje de 5V a 0V la línea de alimentación en un momento dado, puede ser por laser, puede ser manipulando el reloj...) y estudiar cómo responde la tarjeta concreta a esos fallos.

También hay ataques físicos 'abriendo' el chip, quitando epoxy y esas cosas... pero es obvio que eso queda fuera en este caso puesto que el cliente se daría cuenta de inmediato xD

En fin, que no es tan fácil...

Ah, y que no todos los RFID son tags con un simple numerito. Los hay que realizan funciones criptográficas tal y como hacen las smart cards. Aquí tenéis un análisis de uno de los que más han dado de hablar últimamente, el chip MIFARE Classic de NXP usado en la Oyster Card de Londres o la OV Chipkaart holandesa:
http://www.sos.cs.ru.nl/applications/rfid/2008-esorics.pdf

Yo creo que si

Enviado por anónimo el 6. Octubre 2008 - 18:53.

Yo creo que si que son más difíciles de clonar. Ten en cuenta que el interior de una tarjeta inteligente (o tarjeta-chip, como la llamas) no se puede (o no debería poderse) leer directamente. De hecho, las tarjetas inteligentes son un minúsculo microprocesador con una memoria ROM. Cuando quieres extraer un dato, debes pedírselo a la tarjeta y es la tarjeta la que lo lee de su memoria y te lo devuelve.

Por supuesto, si el firmware de la tarjeta está mal hecho, podrás hacerle lo que quieras, pero no es un simple código escrito sobre un soporte fácil de leer, como las bandas magnéticas o las etiquetas RFID.

De todas formas, los que tengan experiencia con el eDNI podrán informarte mucho mejor.

Saludos.

Depende

Enviado por anónimo el 6. Octubre 2008 - 21:30.

Más difíciles de clonar seguro no son. La diferencia, radica en el tipo de chip. En el caso de RFID, se facilita un poco la cosa, ya que si la tarjeta no está en una billetera blindada, pueo clonar la tarjeta simplemente acercandome a ella. Es decir, me siento en la mesa contigua a la del cliente, y listo. RFID puede ser una solución excelente para control de stock, o de ganado (como en mi país, Uruguay). Pero debería mantenerse alejado de cualquier cosa que implique seguridad.

No va por ahí

Enviado por anónimo el 7. Octubre 2008 - 8:27.

Cuando hablamos de una smartcard no estamos hablando de RFID necesariamente, pues aunque pueden haber implementaciones híbridas (es decir comunicación por radiofrecuencia y proceso de la información) estamos hablando de conceptos distintos.

Las smartcard son (o deberían ser) infinitamente más seguras que las etiquetas RFID, puesto que tienen la capacidad de procesar la información y, por ende, aplicar técnicas criptográficas. Las hay que incluso se autodestruyen si intentan ser abiertas por la fuerza (desmontar el circuito). De hecho RFID es aun más inseguro que las tarjetas con banda magnética al no requerir el acceso físico a las mismas.

Saludos
LlamameX

El problema

Enviado por anónimo el 6. Octubre 2008 - 21:24.

El problema tanto en America como UK es que no piden DNI y claro cualquiera puede usar tu tarjeta en tu nombre sin problemas.

Lo mismico

Enviado por anónimo el 6. Octubre 2008 - 21:35.

Lo mismico que la internet esa, hoygan ;)

No, peor

Enviado por anónimo el 7. Octubre 2008 - 8:29.

Por internet das sólo el número de tarjeta, la fecha de caducidad y los dígitos de control. Al dar la tarjeta física además les das el contenido de la banda magnética, tu nombre, la entidad que la emite y la imagen de tu firma.

Casi nada.

LlamameX

Hoyga

Enviado por anónimo el 6. Octubre 2008 - 22:55.

Y en España falsificar un DNI es dificilísimo, hoyga. Si no me equivoco los viejos valen bastante baratos en el mercado de documentos falsos (hoyga, sí, con impresión codificada made in FNMT y todo) y los nuevos un poco más caros, hoyga. ¿Sabe lo que es muy difícil de falsificar? Usted. Los documentos de identificación no se crearon para facilitarla, sino para poder adulterarla (cuando al poder le convenía) con más facilidad. Por cierto, en USA y UK, hoyga, montañas de tarjetas llevan foto del titular (ignoro exactamente el porcentaje pero va in crescendo). Y poco falta para que lleven huella dactilar, retícula del iris y secuencia de DNA, hoyga. Y verá usted como sigue habiendo robos y fraudes lo mismo, hoyga, eso sí, el banco cada vez se hará más el avión a la hora de reconocerlo.

123siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
3 + 7 =
Resuelve esta sencilla operación e introduce el resultado.