Los piratas informáticos comparten formas de evitar 3D Secure para las tarjetas de pago
Los ciberdelincuentes exploran y documentan constantemente nuevas formas de eludir el protocolo 3D Secure (3DS) utilizado para autorizar transacciones con tarjeta en línea.
Las discusiones en foros clandestinos ofrecen consejos sobre cómo eludir la última variante de la función de seguridad combinando ingeniería social con ataques de phishing.
Las personas en varios foros de la web oscura comparten sus conocimientos sobre cómo realizar compras fraudulentas en tiendas que han implementado 3DS para proteger las transacciones de los clientes.
3DS agrega una capa de seguridad para las compras en línea con tarjetas de crédito o débito. Requiere confirmación directa del titular de la tarjeta para autorizar un pago.
La funcionalidad ha evolucionado desde la primera versión donde el banco solicitaba al usuario un código estático o contraseña para aprobar la transacción. En la segunda versión (3DS 2), diseñada para teléfonos inteligentes, los usuarios pueden confirmar su compra autentificándose en su aplicación bancaria utilizando sus datos biométricos (huella digital, reconocimiento facial).
A pesar de las funciones de seguridad avanzadas proporcionadas por 3DS 2, la primera versión todavía se distribuye ampliamente, lo que brinda a los ciberdelincuentes la capacidad de usar sus habilidades de ingeniería social y engañar a los usuarios para que proporcionen el código o la contraseña para aprobar la transacción.
La ingeniería social obtiene el código 3DS
en un entrada en el blog hoy, los analistas de la firma de inteligencia de amenazas Gemini Advisory comparten algunos de los métodos discutidos por los ciberdelincuentes en los foros de la web oscura para realizar compras fraudulentas en tiendas en línea que han implementado 3DS.
Todo comienza con la información completa del titular de la tarjeta, incluido al menos el nombre, número de teléfono, dirección de correo electrónico, dirección física, apellido de soltera de la madre, número de identificación y número de licencia de conducir.
Los ciberdelincuentes utilizan estos datos para hacerse pasar por un empleado del banco que llama al cliente para confirmar su identidad. Al ofrecer información de identificación personal, se ganan la confianza de la víctima y requieren la contraseña o el código para completar el proceso.
La misma táctica podría funcionar en variantes posteriores de 3DS y realizar compras en tiempo real. Un hacker describió el método en una publicación en un foro clandestino de alto nivel.
Usando los detalles completos del titular de la tarjeta, un cambiador de voz y una aplicación de suplantación de número de teléfono, el estafador puede iniciar una compra en un sitio y luego llamar a la víctima para obtener la información necesaria.
"En el paso final, el pirata informático notifica a la víctima que recibirá un código de confirmación para la verificación de identidad final, momento en el que el ciberdelincuente debe realizar el pedido en la tienda; cuando se le solicite ingresar el código de verificación que se envió a la teléfono, el estafador debe recuperar ese código de la víctima "Gemini Advisory
La obtención del código 3DS es posible a través de otros medios, como el phishing y la inyección. Cuando la víctima realiza una compra en el sitio de phishing, los delincuentes pasan todos los detalles a la tienda legítima para obtener su producto.
Según los hallazgos de Gemini Advisory, algunos ciberdelincuentes también agregan información de tarjetas de crédito robadas a una cuenta de PayPal y la utilizan como método de pago.
Otro método es clásico e implica comprometer el teléfono de una víctima con malware capaz de interceptar el código de seguridad y pasarlo al estafador.
Alternativamente, muchas tiendas no requieren el código 3DS cuando las transacciones están por debajo de cierto límite, lo que permite a los estafadores realizar múltiples compras más pequeñas.
La mayoría de estas técnicas funcionan donde existen versiones anteriores de 3DS. Con 3DS 2, todavía está muy lejos de ser ampliamente adoptado. Europa está liderando la transición hacia el estándar más seguro (regulación PSD2 - autenticación fuerte de cliente cumplida con 3DS 2), mientras que en los Estados Unidos la protección de responsabilidad por fraude para los comerciantes que usan 3DS 1 vence el 17 de octubre de 2021.
Sin embargo, Gemini Advisory cree que los ciberdelincuentes también probarán el 3DS 2 más seguro a través de la ingeniería social.
Deja una respuesta