525 meneos

¿Te habrías dado cuenta del fraude? [ENG]

www.krebsonsecurity.com/2010/01/would-you-have-spotted-th... 
por stygyan el 16-01-2010 09:49 UTC publicado el 16-01-2010 13:30 UTC

En la foto podéis ver un Skimmer, un aparato hecho para unirse a la boca de un cajero automático y reunir datos de tarjetas de crédito y débito cuando los clientes usan los mismos para sacar dinero.

etiquetas: cajero automático, banco, seguridad, delito
negativos: 1   usuarios: 257   anónimos: 268  
compartir:  twitter  facebook  tuenti  
54 comentarios tecnología, seguridad karma: 641
  1. #1   :-( Pues la verdad es que no. La próxima vez que vaya a un cajero tiraré de la boca esa hacia mí a ver si se despega.
    85  votos: 9   link
    el 16-01-2010 10:01 UTC por IndividuoDesconocido IndividuoDesconocido
  2. #2   Pero no hay cámaras de seguridad en los cajeros? cómo pueden instalarlo sin que les vean?

    Desde luego si te roban con eso la culpa no es tuya, es del banco, que es el que debería haberse dado cuenta.
    557  votos: 70   link
    el 16-01-2010 10:22 UTC por Manolitro07 Manolitro07
  3. #3   A mi mi, me parece una currada bestial por parte de los ladrones. Serán malos (lo son), pero son unos artistas. Que tios
    162  votos: 19   link
    el 16-01-2010 10:27 UTC por Alberaan Alberaan
  4. #4   Pues... difícilmente la verdad. Pensé que este tipo de cacharros de notaban mas.
    18  votos: 1   link
    el 16-01-2010 10:44 UTC por RadL RadL
  5. #5   Yo por eso siempre tapo con la cartera u otro elemento el teclado cuando meto el pin.
    68  votos: 7   link
    el 16-01-2010 11:07 UTC por rastersoft rastersoft
  6. #6   #2 Hombre, supongo que los montarán al anochecer y los desmontarán de madrugada, antes de que abran la oficina. No esperes que se vigile cada cámara de seguridad en tiempo real.
    16  votos: 1   link
    el 16-01-2010 11:39 UTC por rar rar
  7. #7   o_o OMG!!
    6  votos: 0   link
    el 16-01-2010 11:48 UTC por nitachem nitachem
  8. #8   Supongo que existirán métodos para que no puedan piratearse los cajeros de esta manera pero seguro que es mas caro reponerlos todos que las perdidas que acumulan.
    12  votos: 1   link
    el 16-01-2010 12:17 UTC por Bath Bath
  9. #9   Como norma de seguridad, al ir a usar un trasto de estos comprobad que no haya "agujeros" apuntando hacia el teclado, tambien decir que los cajeros "tuneados" suelen ser los de exterior, los que estan incrustados en un muro. En España tambien se dan bastantes casos de estos, te das cuenta del asunto cuando empiezas a recibir cargos raros en la tarjeta.
    60  votos: 4   link
    el 16-01-2010 12:26 UTC por --74531-- --74531--
  10. #10   Que nivel, la cosa asusta.
    7  votos: 0   link
    el 16-01-2010 12:32 UTC por Naiyeel Naiyeel
  12. #12   En el artículo viene este otro sistema twitter.com/mikkohypponen/status/1725581579
    Ahora en cada cajero a tirar un poquito a ver si me llevo el móvil xD
    37  votos: 4   link
    el 16-01-2010 12:59 UTC por yogurt yogurt
  13. #13   manda huevos: que los estafadores mejoren la usabilidad y hasta pongan un rotulo en Braille
    538  votos: 64   link
    el 16-01-2010 13:34 UTC por --162502-- --162502--
  14. #14   A mí no me pillan que tengo la cuenta en rojos.
    31  votos: 3   link
    el 16-01-2010 13:40 UTC por Xenofanes Xenofanes
  15. #15   Yo no necesito estafadores, el otro día fui a sacar dinero, metí mi tarjeta y escuché una lejana voz que me dijo "no no no!!". Estaban reparando el cajero, sin ningún cartel de aviso ni nada de nada, y al meter mi tarjeta, se perdió en un limbo de cables y chips donde el técnico no llegaba. Luego una odisea para poder sacar dinero sin la libreta... No, no necesito estafadores, el banco ya me la lía solito.

    (Como anécdota comentar, que al decir mi fecha de nacimiento, el dato no coincidia con el que ellos tenía apuntado, resulta que tenían puesto como número de mes, el mismo que mi día, lo cual es imposible, ya que mi día de nacimiento es el 17 y que yo sepa los meses, por ahora, sólo llegan hasta el 12...)
    113  votos: 12   link
    el 16-01-2010 13:42 UTC por JonyBgood JonyBgood
  16. #16   #2 La camara de seguridad no puede estar grabando tu clave, entonces cuando las personas actuan para poner ese aparato cubren todo lo que hacen con el cuerpo, para la camara simplemente el tipo esta sacando dinero. El aparato es montable y desmontable a presion, por lo que no necesita mucha astucia.
    64  votos: 6   link
    el 16-01-2010 13:43 UTC por zerial zerial
  18. #18   El problema radica en que la tecnología de la banda magnética de las tarjetas es obsoleta.
    48  votos: 4   link
    el 16-01-2010 13:47 UTC por rube79 rube79
  19. #19   #17 sí, yo he visto más de un cajeron con el clásico pantallazo azul.
    34  votos: 3   link
    el 16-01-2010 13:47 UTC por JonyBgood JonyBgood
  20. #20   Yo si, soy un poco paranoico con esas cosas y le pego dos o tres tirones a cada ranura y tapo el teclado numerico. Mi novia se asusta cuando saca perras conmigo...
    19  votos: 1   link
    el 16-01-2010 13:48 UTC por Javiskaven Javiskaven
  21. #21   El lazo libanés. Qué gran invento.
    6  votos: 0   link
    el 16-01-2010 13:49 UTC por elzo elzo
  22. #22   La ventaja de haber trabajado unos meses como montador de cajeros (y migración de sistemas) es que estas cosas si las sabes distinguir, ya que todos los cajeros de un mismo fabricante son normalmente muy parecidos. En mi caso eran NCR, mayormente de BBVA y cajas de la red Euro6000, donde muchos ya incorporaban un cover verde transparente que sobresale (con el holograma de un candado) precisamente para evitar el acoplamiento de dispositivos como esos.

    Además de medidas como la anterior, muchos SCR (lector de tarjetas) disponen de LEDs que se iluminan al usar la tarjeta o al solicitarla, habitualmente de color verde. Por ejemplo: static.zooomr.com/images/7727995_61a75b23a4.jpg

    El tema de los teclados, si conoceis los del fabricante, no es difícil percatarse de que es falso o como mínimo sospechar. El EPP de los NCR modernos tiene esta pinta www.atmmarket.net/images/french-ncr-epp.jpg, todo un clásico en cajas de ahorros de la red Euro6000, BBVA, etc.

    Para el fascia, yo tengo la costumbre de darle unos "golpecitos" en su parte superior (donde la iluminación) antes de sacar el dinero, por si hubiera algo pegado como podría ser una minicámara. El fascia, para los que no lo sepan, es el soporte frontal de plástico del cajero (ver i.ebayimg.com/23/!B%28+LL1g!Wk~$%28KGrHgoOKikEjlLmeCmkBKfIqjWsig~~_35.)

    Y para acabar, algunas técnicas que usan en los cajeros para los fraudes se pueden leer aquí, en una guía con consejos para los usuarios de los mismos (PDF - Inglés): www.montecito.com/PDFs/ATM_awareness_072009.pdf
    537  votos: 66   link
    el 16-01-2010 13:55 UTC por jocantaro jocantaro
  23. #23   Culpa del banco por el diseño vulnerable de ranura. Deberán ingeniarselas para que no sea posible algo así, no es tan dificil.

    Por otra parte espero que cuando estos ladrones vuelvan a por su aparato esten dos patruyas esperandoles.
    23  votos: 2   link
    el 16-01-2010 13:57 UTC por --150388-- --150388--
  24. #24   Cuanta ingenieria (des)aprovechada, hasta skimmers con una micro camara que te mandan el codigo de las tarjetas y el pin por SMS, ya no tienes ni que ir a recogerlo si te esta la poli esperando a que lo recojas.
    El mas listo el vendedor, que los vende a $9000 la unidad :-O
    34  votos: 3   link
    el 16-01-2010 14:01 UTC por shine shine
  25. #25   #23 Culpa del banco por el diseño vulnerable de ranura. Deberán ingeniarselas para que no sea posible algo así, no es tan dificil.

    Si, los de Caja Madrid en los frontales de los cajeros han instalado un detonador acoplado a una bomba termonuclear de 10 kilotones que se activa si detecta que alguien ha obstruido el lector.
    16  votos: 3   link
    el 16-01-2010 14:09 UTC por sorrillo sorrillo
  26. #26   no :-S
    8  votos: 0   link
    el 16-01-2010 14:18 UTC por --104021-- --104021--
  27. #27   #18 Si claro, es mucho mejor lo que proponen todos ahora, el RFID.
    Vas en el metro y te sacas en un rato todas las tarjetas, abonos, etc sin que nadie se de cuenta
    72  votos: 7   link
    el 16-01-2010 14:43 UTC por andressis2k andressis2k
  28. #28   Lo más facil es que los bancos se gastasen algo más de dinero en estos soportes sin tener que llevar nada físico para sacar dinero. Si conjugasen la deteccion de retina junto con la huella dactilar y despues de estas dos comprobaciones te preguntasen una clave, estas cosas no pasarían. Y la tecnología sabemos que existe. De esta manera los ladrones no podrían copiar los datos de tarjetas ni asociarlas a las claves introducidas por el cliente.
    18  votos: 1   link
    el 16-01-2010 14:53 UTC por --163489-- --163489--
  29. #29   #1 Si te ven desde dentro toqueteando el cajero te puede caer una buena. Yo entraría y, bien amablemente o bien a lo "don erre que erre", le pediría a un empleado que viniera conmigo y comprobase el cajero delante de mí sin que yo toque nada.

    Sí, a veces soy un pesado inaguantable y tocapelotas. Pero lo he aprendido por las malas: aunque tengas la mejor intención y sea evidente, es mejor no tocar nunca un aparato a menos que sea delante del responsable.
    19  votos: 1   link
    el 16-01-2010 14:54 UTC por Gilgamesh Gilgamesh
  30. #30   #9 A mí me estafaron con un método como éste, y sólo me di cuenta cuando me llamaron de la caja de ahorros, extrañados de que hiciese varias "compras" seguidas desde Texas :-S
    Puse la denuncia y en la caja me devolvieron el dinero, pero de los malhechores nunca más se supo.

    Dicho sea de paso: me quedé muy tranquilo al ver que las cautelas de la caja de ahorros funcionan y que están ojo avizor con el tema. Desde entonces me han llamado un par de veces para asegurarse cuando he gastado grandes cantidades en Internet o en el extranjero. Y siempre que llaman aprovecho para darles las gracias, gesto que suelen recibir con sorpresa pero encantados, claro. Me siento más seguro con su vigilancia.
    34  votos: 3   link
    el 16-01-2010 14:59 UTC por Gilgamesh Gilgamesh
  31. #31   Por eso ahora implementan el chip en la tarjeta, tienen un generador de aleatoreidad que se añade a la lectura de la banda magnética y genera una clave de un solo uso que debe concidir con la clave habitual de la tarjeta. Es mucho mas difícil petar eso.
    Como comentan por ahí: los cajeros con el plastico verde son mucho mas seguros.
    9  votos: 0   link
    el 16-01-2010 15:00 UTC por --162502-- --162502--
  32. #32   #29 www.youtube.com/watch?v=b8qqWue7EEE
    16  votos: 1   link
    el 16-01-2010 15:07 UTC por IndividuoDesconocido IndividuoDesconocido
  33. #33   Ya que nadie lo dice lo digo yo gracias #22 por la informacion tio, nunca te acuestas sin aprender una cosa mas ;)
    30  votos: 3   link
    el 16-01-2010 15:13 UTC por --41062-- --41062--
  34. #34   Yo procuro no sacar dinero de los cajeros que estan en el "exterior".
    Aunque la mayoria de los bancos prefiere dejar los cajeros de esta forma, no se como no cambian la normativa, para que todos los cajeros sean de interior.
    8  votos: 0   link
    el 16-01-2010 15:14 UTC por JuanCa JuanCa
  35. #35   #5 a un familiar mio no hace mucho en un cajero además de copiarle la tarjeta le pillaron el código (él se tapa al escribirlo) imagino que tendría un teclado falso.
    Lo bueno es que el banco se percata enseguida de que algo raro está ocurriendo con tu tarjeta, ya que monitorizan nuestro movimientos y somos muy predecibles, si algo se sale de lo normal un sistema lo detecta. Y lo que es mejor es que le devolvieron el dinero.
    9  votos: 0   link
    el 16-01-2010 16:24 UTC por pari pari
  36. #36   #22 gracias, una de las mejores respuestas que haya leído jamás en meneame, informativa y de ayuda practica.
    gracias.
    18  votos: 1   link
    el 16-01-2010 16:35 UTC por lobosback1 lobosback1
  37. #37   #13 Pues ya que pusieron braille en el cartelito, podrían haberse molestado en poner algo con sentido, porque ahí no pone "Insert Card" ni nada parecido.

    El primer símbolo es el de cursiva, el segundo es una "s", el tercero es una "ñ", el cuarto es una "t".
    En la segunda palabra ponen primero una "c", luego una cierre de paréntesis ")" y luego una "d".

    o sea que pone... <sñt c)d

    Si alguien le encuentra sentido a eso, que me avise xD

    Edit: estoy viendo que en EEUU el Braille es un poco distinto, pero aun así no tiene sentido: en.wikipedia.org/wiki/Braille_ASCII
    48  votos: 5   link
    el 16-01-2010 17:04 UTC por heffeque heffeque
  38. #38   La solución es simple, pero a la gente le asusta. Mientras tanto, seguiremos sufriendo las tropelías de cualquier chorizo y realizando cursillos para reconocer los cajeros falsos y cualquier sistema de robo. Es lo que tiene mirar por el chorizo, que al final sientes empatía por él.
    6  votos: 0   link
    el 16-01-2010 17:29 UTC por zxc zxc
  39. #39   #31 Bueno... casi. Si se genera un número aleatorio útil solo para una sesión (y que, por cierto, no debe conincidir con la clave habitual...) pero no se "añade" a la lectura de la banda magnética. Cuando se utiliza el chip, se ignora por completo la banda, de hecho, la banda se mantiene únicamente por retrocompatibilidad con terminales anticuados que no tengan lector de chip.

    Afortunadamente, ahora se va implantando por normativa que las nuevas tarjetas sean con chip, lo que ahorrara muchos dolores de cabeza.
    24  votos: 2   link
    el 16-01-2010 18:11 UTC por Minos Minos
  40. #40   #22 Un ejemplo del cover de plástico verde transparente del que hablaba (con holograma de candado), en un cajero Caixagalicia perteneciente a la red Euro6000:

    farm5.static.flickr.com/4064/4279635676_855e0028a7_o.jpg

    A la izquierda se puede ver el teclado EPP Seguro usado en los NCR (similar al que comenté antes), y que se montan debajo del fascia.
    36  votos: 3   link
    el 16-01-2010 19:01 UTC por jocantaro jocantaro
  41. #41   No, no se trata de "piratear el cajero" al cajero lo dejan en paz y al banco tambien.
    Se trata de piratear TU TARJETA.
    Este dispositivo lo que hace es copiar tu banda magnetica de la tarjeta y tu mismo al introducir el pin este queda grabado en el dispositivo. Luego no tienen mas que hacer un replica de tu tarjeta (que ya tienen unas cuantas preparadas en "blanco") grabar la banda magnetica y vaciarte la cuenta con tu propio pin que tu has facilitado "amablemente".
    Es tecnologia algo avanzada pero asin funcionan.
    Hace algunos años en las propias autopistas de España (antigua A-7) se detuvo a unos cobradores de peaje que copiaban tarjetas cuando el cliente pagaba la autopista, las pasaban por estas bandas magneticas, lo que les faltaba era el pin y asi y todo las bandas organizadas pagaban muy bien por estas copias.
    Imaginate con la banda magnetica mas el pin de la tarjeta.
    En menos de 24 horas te habran vaciado la cuenta eso seguro aparte de todos los cargos que te puedan colar en la tarjeta y no solo en España.
    Asi funciona la cosa mas o menos (mas + que -)
    17  votos: 1   link
    el 16-01-2010 20:21 UTC por pecador pecador
  42. #42   #39 pues vaya, si implementan el chip pero dejan la banda magnetica por retrocompatibilidad con los chimes estos que las copian, vamos apañaos....

    Por otra parte, es para quitarse el sombrero la sofisticación del asunto.... por algun lado vi unos que copiaron TODO el frontal del cajero y lo superpusieron, y otros que directamente pusieron un cajero falso en un hotel... que evidentemente, a los trabajadores les parecio raro que eso apareciese alli sin haberlo pedido xD
    7  votos: 0   link
    el 16-01-2010 20:31 UTC por keo01 keo01
  43. #43   #42 Si, inicialmente parece algo raro, pero el caso es que se puede saber cuando una tarjeta con chip se está utilizando como tarjeta de banda para detectar posibles casos de fraude. Es decir, si una tarjeta que se sabe que lleva chip se utiliza siempre como si fuese una tarjeta de banda, se ponen en contacto con el titular para saber si hay algún problema.
    6  votos: 0   link
    el 16-01-2010 21:05 UTC por Minos Minos
  45. #45   #27 ¿Y con el cifrado que hacemos? ¿Y el numero de PIN tambien lo sacas en el metro?
    7  votos: 0   link
    el 16-01-2010 21:22 UTC por StuartMcNight StuartMcNight
  46. #46   #44 Contra el usuario o (mejor dicho) contra su torpeza es difícil luchar. Y contra la picaresca tampoco es fácil, en absoluto.

    Hay que recordar que la funcion de este añadido verde es evitar que te monten un lector de tarjetas adicional disimuladamente o, como mínimo, dificultar esa instalación. Si lo tuviesen todos los cajeros sería indudablemente más efectivo. Sino pasará eso mismo que tú dices, que monten uno falsificado donde no se use.

    Exactamente igual que ocurre con el fishing, a la gente se le enseña que con el candadito (SSL) están seguros, pero hay más cosas que deberían vigilar (y también lo anterior, a veces, lo 'falsifican')
    11  votos: 0   link
    el 16-01-2010 22:50 UTC por jocantaro jocantaro
  47. #47   #46 Si, de hecho lo de comprar un certificado para montar una web segura no es nada complicado salvo un poco de papeleo, y si vas a por los baratos pero te aseguras de que el certificado deriva, aunque sea en 3ª o 4ª generación (como si fuera un árbol genealógico o una cadena de subcontratas) de alguna empresa de confianza tipo VeriSign, los navegadores lo toman como seguro y ni se quejan.

    Y sin embargo entras a cualquier web de la administración y los navegadores se vuelven locos sacando avisos de que la web puede no ser segura, simplemente porque no reconocen la autoridad de certificación estatal.
    6  votos: 0   link
    el 17-01-2010 00:54 UTC por chaumo chaumo
  48. #48   #28 No, sólo te cortarían el dedo, te sacarían el ojo y te torturarían para que les dieras la clave :-/
    20  votos: 1   link
    el 17-01-2010 01:12 UTC por Wayfarer Wayfarer
  49. #49   #48, evidentemente el que quiere robar te va a robar de cualquier manera, pero no es lo mismo cometer un robo con violencia que cometer un robo con esa violencia. Tu crees que un ladrón de estos por 1000 o 2000 euros estaría dispuesto a hacer lo que tu acabas de decir? Yo lo dudo. De todas maneras este sistema basicamente se basa en que la clave no esta en un medio fisico, sino a traves de un reconocimiento digital dactilar y ocular, por lo que no te pueden copiar la clave como lo hacen hoy en día. Y segundo, como bien sabemos y el que no lo sabe qeu se lo apunte, si tu metes hoy en dia tu clave al reves, salta en el ordenador que es un atraco, por lo que por mucho que te obligasen a meter la clave, la metes al reves, el cajero sigue funcionando de la misma manera pero salta la alarma para que se pongan los medios necesarios para pillar a los tios. Con el sistema actual, te copian la clave que esta asociada al medio fisico, en este caso la tarjeta,por lo que ahi es cuando realmente tus cuentas estan jodidas.
    18  votos: 1   link
    el 17-01-2010 15:03 UTC por --163489-- --163489--
  50. #50   #48 se me habia olvidado poneros el enlace de lo del PIN,apuntarlo el que no lo sepa por si algun dia se encuentra con el desagradable momento.
    blog.azdream.es/2009/03/robo-en-cajeros-%C2%BFque-hacer-meter-el-pin-a
    6  votos: 0   link
    el 17-01-2010 15:05 UTC por --163489-- --163489--
  51. #51   Y noticia relacionada con lo del pin... meneame.net/story/pin-emergencia-caso-robo-cajero
    6  votos: 0   link
    el 17-01-2010 15:14 UTC por --163489-- --163489--
  52. #52   Me he tomado la libertad de hacer un poco de corta y pega y añadir unos pocos consejos:

    drl1982.blogspot.com/2010/01/como-prevenirse-ante-fraudes-en-los.html
    18  votos: 1   link
    el 17-01-2010 16:57 UTC por escandinabo escandinabo
  53. #53   #52 Si además añades al final las fuentes y referencias (el PDF, los twitt, los comentarios de menéame, etc) todavía mejor ;)

    PD.: Con eso puesto podría ser meneable :-P
    PD2.: Ahora que me fijo una de las fotos es la mía, hecha con mi propia cámara y gimpeada :-P
    23  votos: 1   link
    el 17-01-2010 17:21 UTC por jocantaro jocantaro
  54. #54   #50 Eso está desmentido desde hace la tira:
    blog.azdream.es/2009/06/otro-bulo-pin-al-reves-del-cajero/
    12  votos: 0   link
    el 17-01-2010 22:16 UTC por Wayfarer Wayfarer
comentarios cerrados

menéame