Una investigación de Kaspersky revela
un nuevo esquema criminal para robar datos de tarjetas y realizar compras como
si tuvieran la tarjeta física.

Kaspersky reveló en una reciente
investigación una nueva y sofisticada modalidad de fraude llamada “Toque
Fantasma”, que logra engañar a los pagos por proximidad, es decir, las
transacciones sin contacto que se hacen al acercar la tarjeta o el celular a una
terminal. En cuestión de segundos, los delincuentes utilizan aplicaciones
maliciosas para interceptar el token o código único de la operación y
retransmitirlo a otro teléfono, que completa la compra fraudulenta como si
fuera la tarjeta original de la víctima.

Brasil sobresale de forma negativa en
este panorama, al concentrar casi la mitad (47%) de los bloqueos de intentos de
este fraude a nivel global, seguido por India, China y España. Esta
investigación resulta especialmente importante en América Latina, donde
prácticamente todos los usuarios de tarjetas bancarias pueden realizar pagos
sin contacto.

Aunque el pago por proximidad es
seguro porque genera un token único que expira en segundos, la investigación de
Kaspersky reveló que los ciberdelincuentes encontraron la manera de explotar la
tecnología para cometer fraudes. La nueva estafa funciona de dos formas:

● Presencial: usando dos celulares de
los criminales para capturar y retransmitir los datos del pago en tiempo real.

● Remoto: mediante ingeniería social
(la famosa central falsa del banco o empresa de tarjeta) que hace que la
víctima instale la aplicación fraudulenta para robar los datos de la tarjeta.

¿Cómo funciona el fraude?

Presencial: En el fraude presencial,
los delincuentes aprovechan la rapidez del NFC para actuar sin ser notados en
lugares concurridos. Usando dos celulares, uno de los criminales se acerca lo
suficiente a la víctima —en una fila, concierto o incluso cuando el celular
está sobre una mesa en un café— para robar el token del pago por proximidad.

Ese código es enviado en tiempo real a
un segundo dispositivo, que se acerca de inmediato a una terminal de cobro para
finalizar la compra fraudulenta. El resultado: la víctima pierde dinero sin ser
infectada y, en la mayoría de los casos, sin percatarse de lo ocurrido.

Remoto: En esta modalidad, el fraude
comienza con ingeniería social: un criminal llama a la víctima haciéndose pasar
por un empleado del banco o de la compañía emisora de la tarjeta y la convence
de instalar una aplicación falsa para “validar” la tarjeta. Dentro de la app,
se le pide a la víctima acercar su tarjeta física al celular y, en ese
instante, ocurre la estafa.

La aplicación maliciosa intercepta el
token NFC generado por la tarjeta y lo retransmite en tiempo real al teléfono
del delincuente. Con ese token activo, el criminal sólo debe acercar su celular
a una terminal para concluir la compra. La estafa suele ser única por víctima,
ya que el token expira en segundos y no puede reutilizarse. Actualmente, el
ataque afecta principalmente a usuarios de Android, que permite la instalación
de apps fuera de tiendas oficiales.

https://ift.tt/8sPFfbT