Según un informe de la Oficina de Justicia y Estadísticas de Víctimas de Robo de Identidad, alrededor de 16,6 millones de estadounidenses mayores de 16 años han sido víctimas de al menos un incidente de robo de identidad en 2012. Las pérdidas económicas directas por robo de identidad fueron alrededor de $ 1.000 por persona y las pérdidas totales directas e indirectas fueron de aproximadamente $24.7 mil millones.
La reventa de los datos de tarjetas de crédito robadas se ha convertido en un gran negocio, y por desgracia las medidas contra los delincuentes han sido lentas. Muchos empresarios ocultos ya habían operado desde hace meses en YouTube antes de que su actividad fuera descubierta. Aunque cada número de tarjeta se puede vender solo por $10 o $15, la base de datos de un negocio de tamaño medio puede alcanzar decenas de miles de dólares. La cadena de suministro de esta economía oculta en el mercado negro es la más lucrativa para los que forman parte de ella.
Symantec ha analizado este fenómeno y entrega un panorama de cómo están operando y quienes se benefician gracias al fraude.
Existen tres formas principales en las que la información de las tarjetas de crédito puede ser recopilada por los hackers en Internet: la minería de información por medio de Troyanos, ataques a datos/ dispositivos en el Punto de Venta (POS) y correos electrónicos fraudulentos o phishing. El método más utilizado es la minería de información a través de Troyanos que hibernan en un sistema local, esperando a que el usuario introduzca su número de tarjeta de crédito en un sitio de comercio electrónico, la dirección completa del usuario, el número de CVV y cualquier otra información de seguridad adicional.
Menos frecuentes que los ataques de Troyanos, pero más devastador si tiene éxito, es el ataque contra un dispositivo de punto de venta (POS), como una caja registradora en línea. Al infiltrarse en un dispositivo de punto de venta, el hacker puede tomar miles de números de tarjetas de crédito a la vez. En estos ataques, una simple inyección de SQL en el sitio web de la tienda puede permitir a los hackers obtener acceso a la base de datos y a la copia de las tablas con todos los números de las tarjetas de crédito.
Por último, los ataques de mensajes fraudulentos o phishing son cada vez más raros debido a su baja tasa de éxito, pero todavía existen. En ataques de este tipo, las personas reciben un correo electrónico que parece ser de su banco o de su compañía de tarjeta de crédito y se les pide que confirmen su identidad o cuenta. Lo que el destinatario no sabe es que al hacer clic en el enlace del correo electrónico en realidad se están dirigiendo a un sitio web de phishing que envía la información proporcionada a un hacker.
A pesar de la imagen popular del hacker, solitario y escondido en un rincón oscuro, la recopilación de datos de tarjetas de crédito, su uso y reventa son en realidad el resultado de una cadena de suministro del mercado negro. Del mismo modo, todos los actores involucrados existen porque obtienen beneficios financieros de un ataque, de ahí su continua popularidad. Quién se beneficia depende del método del ataque; a continuación hay varias partes que se benefician como resultado de un ataque. Tomemos por ejemplo el ataque estándar a una tarjeta de crédito:
1. Los programadores de código malicioso y exploit kit que crearon las herramientas que se venden a individuos o grupos que llevan a cabo el ataque. En las recientes violaciones a minoristas, un kit de código malicioso llamado BlackPOS se ofreció a la venta en el mercado negro y se utilizó en esos ataques.
2. Los principales atacantes luego se dirigen a la organización y trabajan para robar en realidad los datos de las tarjetas de crédito y otra información valiosa. Una vez robada, buscan vender esos registros en foros clandestinos y en otros canales incluso a otro grupo de delincuentes.
3. Luego, otro grupo de delincuentes cibernéticos compra los registros con el objetivo de utilizarlos para cometer fraude y robo de identidad. Este grupo trabaja generalmente para producir tarjetas fraudulentas que se pueden utilizar en persona o para hacer compras por Internet que luego pueden ser vendidas.
4. Servicios de “Cash-Out” son contratados por los atacantes que compraron los registros para hacer de mediadores en el lavado de dinero obtenido fraudulentamente o incluso ir a las tiendas para comprar cosas que luego son vendidas por dinero en efectivo.
Esta sofisticación y especialización en el mercado negro de los hackers ayuda a los atacantes a ser más eficientes en sus acciones, en definitiva esto pone más presión en las empresas que tratan de mantener su información segura. Esto es un claro indicio de que las empresas deben permanecer vigilantes en su defensa.