EASY SOLUTIONS DETECTÓ NUEVA MODALIDAD DE FRAUDE EN LOS JUEGOS CON UN PROPÓSITO
Los Juegos de Computación Basada en Humanos, también
conocidos como Juegos con un Propósito (GWAP) ahora son el nuevo blanco de los
hackers.
Easy Solutions, la compañía de la Protección Total contra Fraude®, anunció hoy que su equipo de inteligencia
contra fraude, detectó el surgimiento de páginas web que incluyen piezas de
código que pretenden generar números de tarjetas de crédito de varias
instituciones bancarias. Una mirada más detallada a tales códigos condujo a
reconocer la presencia de cierto tipo de “Juegos con propósito de fraude”.
Los Juegos de Computación Basada en Humanos, también
conocidos como Juegos con un Propósito (GWAP), han sido usados por la industria
de software para cumplir tareas que aunque sean triviales para los seres
humanos, presentan un gran reto incluso para los mecanismos de cómputo más
avanzados. Los GWAP aprovechan la disposición de los humanos para colaborar o
simplemente divertirse con el fin de resolver colectivamente problemas de
cómputo a gran escala a través de juegos en línea.
Los GWAP han demostrado su valor al ayudar a
desarrollar áreas tan diversas como la seguridad, la visión por computador,
filtros de contenido para adultos y búsquedas en Internet. Uno de los ejemplos
más cercanos a la industria de seguridad son los reCAPTCHAs, los cuales son
usados para detener bots a la vez que digitalizan libros y convierten palabras
que no pueden ser leídas por computadores en CAPTCHAs resueltos con facilidad
por la gente.
Estas páginas invitan a que la gente se una a la
misión de adivinar colectivamente números de tarjetas de crédito. Ya sea, hacer
dinero fácil con tarjetas robadas, combatir el sistema al apoyar a una banda de
anarquistas o simplemente divertirse un poco tratando de adivinar números.
Bienvenido al Juego
La probabilidad de generar aleatoriamente un número de
tarjeta de crédito valido junto a una fecha de expiración válida y un CVV es
muy baja. Y si incluso, el usuario se siente lo suficientemente osado para
comenzar a adivinar números, aún tiene el problema de determinar si una TC
generada está activa o no. Históricamente, esto sólo pudo hacerse visitando el
comercio online y tratando de hacer una transacción con los datos de la
tarjeta, pero este ya no es el caso. (Ver ejemplos imágenes No.1 y 2)
(Imagen No.1)
(Imagen No.2)
Con la aparición de pagos móviles y en línea, la habilidad de configurar
un canal de pago para su aplicación ha sido demasiado simplificada. Compañías
como Stripe, Braintree y Paymil ofrecen portales de pago amigables con el
desarrollador que pondrán a probar el nuevo canal de pagos del usuario en
minutos sin costo.
“Todo lo que necesitas es una dirección de email, una cuenta bancaria y
no más de cinco minutos de creación de código. Esta es la evolución natural
para un mundo donde la gente podrá comprar y vender en línea lo que sea que
deseen”, afirmó Javier Vargas- Research Manager de Easy Solutions.
Ahora todos los estafadores están preparados. Todo lo que necesitan es
una cantidad considerable de cuentas registradas con un portal de pagos, para
empezar a probar sus suposiciones; esto ocurre cuando el criminal recurre a la
naturaleza humana y usa los GWAP para cumplir sus propósitos. El único
requisito para que los jugadores se unan, es abrir una cuenta con un portal de
pagos, así mismo, un video de YouTube los guiará por los pasos para configurar
una cuenta utilizando un email desechable, algunos datos falsos y estarán
listos para usar el portal de pagos como oráculo para las suposiciones.
Para jugar, la persona tiene que ingresar un BIN (Número de
Identificación Bancaria), el cual es usado como patrón para generar datos
aleatorios de tarjetas de crédito. Luego, cada combinación de tarjeta, CVV y
expiración es probada con una simple transacción de un dólar y el portal
aceptará o rechazará la transacción. Si la transacción es exitosa, hay un ganador.
El jugador gana parcialmente porque es entretenimiento barato y
eventualmente saldrá con una tarjeta robada. Pero técnicamente, el criminal es
el verdadero ganador. Tenga en cuenta que entre más gente entre al juego, mayor
es la oportunidad que tiene el estafador para encontrar una combinación válida.
En esa instancia, los dueños de las cuentas cuyas tarjetas son
adivinadas definitivamente no tienen suerte, aunque sus bancos pueden ser
forzados a responder por estos incidentes de fraude. Los proveedores de portales
de pago también pierden, considerando que su objetivo es facilitar los pagos,
así mismo están facilitando la vía en que se puede descubrir la información
válida de una tarjeta de crédito.
“Técnicamente hablando, están dando acceso libre a un oráculo en un
escenario en donde un ataque de fuerza bruta podría eventualmente ser muy
posible. El peor escenario es donde un jugador logra tomar fotos de tarjetas de
crédito y lo único que falta es la información del CVV. Si asumimos una tasa de
pruebas de una tarjeta por segundo, un atacante puede estar seguro de conseguir
una tarjeta válida dentro de quince minutos”, aseguró Javier Vargas- Research
Manager de Easy Solutions.
Resolver las Vulnerabilidades
Para los principiantes, este es el ejemplo perfecto de cómo las
tecnologías EMV no resolverán el fraude electrónico en cuanto las transacciones
sin tarjeta sigan siendo masivamente adoptadas y más tecnologías faciliten que
los pagos en línea estén disponibles. Además, sólo se necesita una buena
tarjeta para hacer que todo el esquema sea rentable para todos los
involucrados. El peor de los casos es que una tarjeta corporativa sea
descubierta y el impacto de eso podría ser devastador para cualquier
organización.
Si existe un factor de seguridad en todo esto, recae en la hipótesis de
que la creatividad de los criminales online es infinita. Para resolver esto,
los sistemas de pago necesitan trabajar juntos para superar estos retos.
Asegurar las partes sin pensar en el todo sólo abrirá la puerta a más
oportunidades para que los hackers aprovechen las desconexiones y así aumenten
las pérdidas por fraude para bancos, empresas y usuarios finales.
No hay comentarios:
Publicar un comentario