Tarjetas

--Prologo.
Este documento trata sobre el manejo de la información confidencial, que en este caso se ve representado por una simple tarjeta de plastico, que absurdamente limita al dueño de la misma, a visualizar su dinero virtualmente real.
Este no es un clasico texto sobre las vulnerabilidades en los sistemas de comercio electronico, o como hacerse una grabadora de bandas magneticas.
Simplemente es una explicación de las fallas tanto humanas, como de las empresas proveedoras del servicio de “hosting” de plata.

Vale aclarar que todo este movimiento de información que circula a traves de las tarjetas de plastico, en el ambito del underground se le llama “Carding”. Para ser mas especifico, el carding es usar tarjetas no propias para hacer propio todo lo que se compre con ellas. Parece cruel, tal vez injusto y verdaderamente… lo es.

--Introducción teorica.

Las tarjetas de credito se dividen fundamentalmente en dos categorías : La principal diferencia entre las dos tarjetas(debito y credito)es, que la de credito es un metodo de financiacion, ya que se pueden hacer pagos a plazos, mientras que la de debito no ofrece esta posibilidad y el dinero se extrae inmediatamente.
--Introduccion practica.

Supongamos que quien les escribe(Slyping), va a comprar el ultimo disco de “the secret garden”.

---Comienzo de la interactividad humana-
Slyping:- Buenos dias, quisiera llevarme este cd.
Vendedor:- Muy bien, va a abonar en efectivo?
Slyping:- No, lo voy a hacer con tarjeta de credito.(se la entrego)
Vendedor:- Tiene algun tipo de verificación?
Slyping:- Oh, si perdon (le entrego mi documento nacional de identidad)
/Lo que hace el vendendor es constatar que el nombre que figura en la tarjeta, sea el mismo que figura en el documento, y por ende que quien este frente suyo lo sea./
Vendedor:- Muchas gracias(me entrega el documento)
---Final de la interactivdad humana-
Ahora viene la parte de interactividad tecnologica
---Comienzo de la interactividad tecnologica---
El vendedor pasa la tarjeta por la terminal de venta electronica(POSNET) y en dicho artefacto le pide que ingrese los siguientes datos, que varian según el modelo o la circunstancias del pais(dolares, etc).

“Ingrese los ultimos cuatro numeros de la tarjeta”.-enter
”Cual es el monto?”-enter
”Cuantas cuotas?”-enter
”Numero de factura? 00000-xxxxx”(Esto figura en el programa de facturación)-enter

A continuación, el Posnet se comunica via telefono hacia VISA, ya que la tarjeta de Slyping es de susodicha empresa. El posnet le pasa antes que los datos que el vendedor ingreso, algunos datos vitales para la identificación del comercio, que el mas importante es el numero de comercio.

El numero de comercio es un numero especial que se le asigna a cada moneda por cada comercio. En el caso de American Express(AMEX) y en el de Diners, tienen un numero por cada cuenta como si fueran independientes. Osea : Un numero para cuenta en pesos y otro para cuenta en dolares. Hoy en dia en Argentina, esto casi ni esta en vigencia.
Ej :

((Nota : En este ejemplo no he puesto los ultimos dos numeros de cada comercio, ya que estos existen en la actualidad, luego en la ultima parte de este documento explicare una aclaracion sobre esto))

Hasta ahora va todo perfecto : El posnet esta imprimiendo el comprobante. Por mas que haya un error, el posnet imprime los datos y se queda esperando la ultima autorizacion. Si esta todo en orden continua terminando de imprimir.
Ahora bien, eso fue en el caso de Slyping, pero si fuera otro el caso si por ejemplo fuese una tarjeta de debito el vendedor debe ingresar menos datos, y ademas uno nuevo que es “tipo de cuenta”, que pueden ser 4. Los que se usan actualmente es : 1-Cuenta corriente en pesos, y 2-Caja de ahorro.(Esto se teclea desde la extensión) Luego pide Pin, que debe poner el cliente en la extensión.
La extensión es un cable que sale del posnet que sostiene un aparatito que contiene los numeros del 0 al 9 y un “enter” . Porque como es una tarjeta de debito y la plata se retira automáticamente del banco, se necesita un pin(un numero personal) que solo sabe el cliente: Son 4 cifras.

Si por alguna razon en todo este trayecto hubiese un error tanto en debito como en credito, luego en la pausa de impresión el posnet hace 3 pitidos seguidos y a continuación continua de imprimir pero esta vez, con el error.
Los errores suelen ser :
-Pin incorrecto
-Pida autorización.
-Retenga y llame
-Fondos insuficientes
-Cuenta incorrecta
-Reintente
Y otros mas.Pero para que Slyping no pierda mas tiempo esperando su disco, seguiremos explicando. Como en este caso todo fue perfecto, en la comprobación de tarjeta sale “aprobada”.Ahora bien, el vendedor ahora tiene que imprimir el ticket por la controladora fiscal y lo que hace es poner algunos datos que la empresa crea que son importantes y listo. Ahora esta el cliente esperando y el vendedor entregandole dos papeles(el comprobante de tarjeta y el ticket) El vendedor le dice :

Vendedor:- Por favor, firme aquí, ponga su documento y un telefono(exluyente)
Slyping:- Con mucho gusto…Listo. Ahora misteriosamente el vendedor corta en dos el comprobante de tarjeta en donde el cliente firmo y una parte se lo queda el, y otra se lo da a Sly. Vale aclarar que no es que lo corto en dos, sino que viene por duplicado pero como vienen pegado parece uno, esto es para que cuando escriba se pueda traspasar ya que el papel carbonico se dejo de usar.Ahora si, nuestro amigo se va del local pero se dio cuenta de algo.
Slyping:-Perdon, me olvide del cd!
Vendedor:-Si y no solo eso, sino que su tarjeta!
Slyping:- Que cabeza la mia
Vendedor:- Mucha computación.
Slyping:- Debe ser.. debe ser… bueno sera hasta la proxima, adios.
Vendedor:- Adios.
Nota : Si fuese una de debito no es obligatorio firmar
Nota2: En el comprobante de tarjeta estan los siguientes datos : “Razon social del local”, “cuit”, “numero de tarjeta de credito”, “vencimiento”, “monto”, “numero de ticket”, “nuestro nombre y apellido(impreso, si)”. Y por si fuera poco, nuestro telefono, nuestro documento y nuestra firma. La copia nos la quedamos y el original es para la empresa.

Ahora bien, hay tres cosas importantes.

La primera es que hace Slyping con su comprobante de tarjeta.:
Obviamente lo tira, no se sabe si ese mismo dia, a lo mejor dentro de una semana, pero es efectivo que lo va a tirar porque dudo que lo plastifique y lo ponga debajo de la almohada. Ese es el punto. Esa es la gravedad inevitable. Porque el ticket es el que prueba a la empresa por si hay algun daño o si por algun motivo tiene que reclamar o cambiar y no el comprobante de tarjeta.(en el caso extremista lo pueden llegar a pedir como ultimo recurso de prueba, pero en el 99% de los casos no es asi.)

Una vez que el cliente se deshizo de su copia, quedo en ese papel, su numero de tarjeta, su tipo de tarjeta(amex, visa, master, etc), el vencimiento, nombre y apellido, la firma, el documento y el telefono.

Ahora bien, supongamos que Slyping lo tira cuando llega a su trabajo, aca pueden haber varios perjudicadores.

Atacantes externos :
A) Cartoneros
B) Hackers usando el trashing, que es la tecnica de revisar la basura en busca de datos delicados, como por ejemplo este.
C) Hackers vestidos de cartoneros
D) Cartoneros vestidos de hackers ;)

Y mires de factores que pueden hacer que alguien encuentre un papel semejante caminando por la calle sin querer o queriendo.

Atacantes Internos :
A) Compañeros de trabajo
B) Servicio de limpieza
C) Hackers vestidos de compáñeros
D) Hackers vestidos de tacho de basura ;)

Mas alla de la pizca de broma, es muy serio este tema ya que es información muy sensible y si uno quiere va a encontrar estos datos y si no quiere los va a encontrar igual, porque personalmente en mi caso he encontrado muchos papeles en el tacho de basura, en la calle o en otras epocas justamente, en alguna basura cerca de oficinas(principalmente en once).(Ahora esta la competencia de los cartoneros, pero es mas desafiante)

Procedimiento del ataque:
Si la tarjeta es de debito y se necesita el numero de pin :
-Ingenieria social :

Hacker:-“Buenos dias Sr. Slyping, lo llamo de Visa Argentina, lamento molestarlo a esta hora, pero surgio un problema con su tarjeta de credito.”

Slyping :- Recien acabo de comprar un cd y no hubo problema.

Hacker:- “ Efectivamente, nuestras computadoras registraron un cd por un monto a 22 pesos y es ahí cuando surgio el inconveniente..
El sistema duplico la compra por un error y para rectificarlo necesitamos que nos de el numero de pin de la siguiente tarjeta” : (se le informa los datos).

Slyping:- Pero yo pague con tarjeta de credito.

Hacker:- Ya lo sabemos, pero este es un ejemplo de muestra para elportal.info

Slyping:- Ha ok, entonces mi pin es 1980.

Hacker:- Listo, ya hemos solucionado el problema, lamento haberlo molestado, que tenga un buen dia.

Slyping:- No me va a llegar otro monto en el resumen de mes?

Hacker:- No quedese tranquilo, ya esta todo solucionado

Slyping:- Ha bueno, listo entonces, voy a seguir escribiendo un articulo sobre tarjetas de credito.

Hacker:- Oh, mire que interesante yo voy a seguir ejemplificando para usted. Adios.

Slyping:- Gracias, y adios.

(Mas alla del humor esto es real, funciona y es 90% efectivo.)

-Internet:
Con un poco de imaginación se puede descubrir el pin, averiguando mas datos sobre la persona o empleando el mecanismo anteriormente descripto, por E-mail, o bien, este puede ser un paso introductorio, para la ingenieria social

-Vendedor:

Algunos individuos ponen su pin detrás de la tarjeta, y asi el vendedor puede verlo, o bien el mismo vendedor puede escabullir la mirada cuando el cliente escribe el numero o bien puede decirle a alguien complice que lo mire por detrás o llendo mas al extremo puede poner un sniffer en el cable que va del posnet a la extensión pero con este criterio si se toma el trabajo de esto es mas probable que se haya tomado el trabajo de poner una grabadora de bandas. Igual todo es relativo, ya que si no alcanza a ver todos los digitos se puede deducir. Por ejemplo si logramos ver los dos primero y eran “19”, es muy probable que sea la fecha de nacimiento, o si es “24”, y cuando averiguamos mas vemos que su direccion es 2463, ya sabemos nuevamente. Y luego las tipicas 1234, etc, etc. Actualmente las empresas les dicen a sus empleados que cambien su clave cada tres meses, y la mayoria ponen los numeros al reves.(Esta excusa puede ser para ing social, del tipo “Buenos dias estamos renovando las claves de pin”).

Nota : No confundir el numero de seguridad(que esta detrás de la tarjeta o delante depende la tarjeta y son 3 digitos) con el pin. El numero de seguridad lo usan las empresas para confirmar que tienes la tarjeta fisica . Ya que este codigo te lo piden, cuando uno llama para hacer una consulta sobre la misma.

Ahora bien, suponiendo que el atacante tiene todos los datos necesarios ¨que puede hacer?”

No mucho, simplemente hacer propio algo que le regalo alguien sin saberlo.

Por ejemplo :

A) Tarjetas de creditos gemelas.
Hay tres tipos de tarjetas gemelas(nombres imaginarios a cargo de Slyping)

Las “anonimas”:
Son tarjetas de plastico, que mas que nunca se pueden llamar de “plastico”, ya que en su parte delantera no tiene ningun dibujo nada, simplemente el esquema del circuito o alguna imagen o algo que le quieran poner, pero en su parte de atrás, en su banda magnetica se encuentran los datos reales. Osea lo esencial de los datos esta, si se pasa por el posnet funciona pero en la parte visible se sabe que es trucha, es por eso que este tipo de tarjeta se usa en algun negocio complice.

Las “narcizas”:
Son las tarjetas que tienen la parte visual, exactamente iguales a las originales, esto incluye : El logo, el relieve de la tarjeta(de credito, ya que la de debito no lo tienen), el numero, etc, etc.
Pero la banda magnetica no tiene información.
Esto se usa y pasa desapercibido ya que, a veces una tarjeta esta gastada o el posnet se desmatectiza y hay que usar una opcion llamada “tarjeta manual”, que es todo igual, pero sin pasarla. Solamente te pide todos los numero de la tarjeta y el codigo de seguridad. Luego sale impreso todo con un espacio en el medio para que el vendedor con un lapiz le pase por arriba para que se marque y demuestre que la tarjeta es real.

Las “nacidas”.
Son las tarjetas que tienen rostro y que tienen el codigo en la banda magnetica, es por eso que no hay diferencia con una real.

B) Por internet.

Los atacantes teniendo los datos pueden comprar cosas por internet, ya sean servicios, o bien productos. Hay muchos mecanismo de fachada para poder recibir paquetes sin correr peligro, hoy en dia funcionan y mucha gente que se dedica al robo de información, puede tener todo a domicilio.

Vale aclarar que hay dos tipos de paginas que venden servicios. Las que estan conectadas directamente al banco, o las que solo verifican si la tarjeta es valida y suponen que es real. Si el segundo es el caso, entonces no hace falta tener una tarjeta real, ya que la cuenta matematica es simple y hay muchos programas que la hacen. Los numeros de tarjetas son 16, entonces se separan los de casillero impar : Ej: 1234 4567 7890 1234. Se separan 1-3-4-6-7-9-1-3 Luego cada uno de estos se multiplica por dos, y si supera el valor de 9 de suman entre ellos, ej : Teniamos 1-3-4-6-7-9-1-3 entonces seria 2-6-8-3-5-9-2-6(Osea, 7 por 2 es 14, como es mayor que 9 se suma el 1 con el 4), Por ultimo estos numeros se remplazan a los anteriores y se suma todo :
(2)+2+(6)+4+(8)+5+(3)+7+(5)+8+(9)+0+(2)+2+(6)+4. El resultado tiene que ser multiplo de 10 para ser valido como tarjeta.. En nuestro caso la suma da 73 osea que no.

Y para terminar habia dicho que habia tres cosas importantes.. la primera es lo que hace el cliente con su copia, ahora comento que se hace con el ticket original :
Sirve de comprobante a la empresa por si alguna razon el banco se equivoco al depositar la plata, o si no la deposito. Igualmente si la empresa ve que todo fue perfecto a fin de mes… adivinen que hacen?, si!, tiran el papel, y volvemos a lo mismo… Imaginensen por mes cuantos ticket tiraran tanto las empresas como las personas.

Y la tercera es que escuchen “The secret Garden” ;)

Nota personal :

Respecto a los datos que di sobre los numeros de comercio paso lo siguiente :
Netbios es el bug mas conocido, mas facil y el mas divulgado en las maquinas gracias a Microsoft, pero bien, si uno empieza a recorrer enbusca de cosas importante, algo parecido al “trashing” pero por internet puede encontrar cosas interesantes. Entre esos datos encontre los numeros reales de comercio y esto me sirve para si quisiese :
Llamar a alguna entidad ya sea visa master, o cualquiera y preguntarle e usar ing social para sacar datos. Ya que sin numero de comercio valido no se puede ni decir “hola”, ya que es todo por maquina. O para averiguar si es valida una tarjeta, su saldo, etc. Me paso siendo un dia “Vendedor”, que tuve que llamar porque hubo un error, ya que donde tenia que estar el codigo de seguridad salio mal impreso y no me lo dejaba ver, asi que hablando con la señorita, me dijo ella el numero de seguridad para que pudiese hacer la tarjeta manual, ya que para colmo estaba gastada la banda magnetica.

Ahora bien, espero que les haya interesado el tema y que se hayan instruido en la materia ya que un dia de estos, a lo mejor no hoy ni mañana pero algun dia tendran una tarjeta de credito en la mano, lo unico que espero es que sea de ustedes ;).

Cualquier tipo de comentario, inquietud, sugerencia o si me he equivocado en algo, pueden comunicarse conmigo via mail Esta dirección de correo electrónico está protegida contra los robots de spam, necesita tener Javascript activado para poder verla
Muchos me preguntan del porque no uso pgp o algun tipo de encriptación y mi respuesta es sencilla. No tengo nada que ocultar, todo lo que sepa de apoco se va a saber.

/Este material puede ser distribuido UNICAMENTE si no se altera/

+++++++++++

Ten cuidado que me han dicho que afuera hay algo llamado "realidad", y no es broma. Seguramente es un mito, pero quien sabe.. "a lo mejor existe".

+++++++++++