sábado, 18 de enero de 2014

Carding y Banking cibercrimen rentable (II de VII)

CARDING

Esta asociado a cualquier tipo de fraude que pueda realizarse con tarjetas de crédito o débito utilizando diversos vectores de ataque y distintos tipos de fraude.  

Publicación de información en redes sociales:
Algunos usuarios en la red, no tienen el conocimiento de los riesgo que puede traer el hecho de publicar ya sea tu documento de identidad personal o tu tarjeta  de crédito o débito, por lo general tienden a publicar estos datos en redes sociales, por diversas razones, como tener mas popularidad entre sus contactos de red. 

Figura 1: publicación de licencia de conducir y tarjeta visa

Y hay muchos cibercriminales que están acechando las redes en busca de usuarios que por negligencia estén publicando dicha información, para apropiarse de ella. Aunque esta técnica es usada por los cibercriminales que se inician en este tipo de fraude, ya que las ganancias que se pueden generar buscando publicaciones en redes sociales es muy baja y poco rentable.

Ataques de SQLInyection,Local File Inclusion y Remote File Inclusion:

Son otras técnicas utilizadas en el carding, que busca atacar sitios de e-commerce, que almacenen los datos de las tarjetas utilizadas por los clientes para efectuar las transacciones. Las tiendas online, pueden utilizar una pasarela de pago como PayPal o de alguna entidad bancaria para procesar dichos pagos y evitar tener que almacenar estos datos y que algún cibercriminal pueda obtenerlos desde la base de datos de la tienda online. Aunque también hay sitios que asumen los riesgos de almacenar esta información algunos con muchas medidas de seguridad y otros con pocas medidas fácilmente de saltar.     

Para todas esas tiendas online que quieren tomar el riesgo de almacenar la información de las tarjetas de los clientes deben de cumplir con el estándar Payment Card Industry Data Security Standard(PCI DSS), el cual busca garantizar la seguridad de los datos para la industria de las tarjetas de pago.

"Texto citado de Wikipedia: Requisitos y Objetivos de PCI DSS"

Los objetivos de control y sus requisitos son los siguientes:

  • Desarrollar y Mantener una Red Segura
    • Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
    • Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
  • Proteger los Datos de los propietarios de tarjetas.
    • Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.
    • Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.
  • Mantener un Programa de Gestión de Vulnerabilidades
    • Requisito 5: Usar y actualizar regularmente un software antivirus.
    • Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.
  • Implementar Medidas sólidas de control de acceso
    • Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
    • Requisito 8: Asignar una Identificación única a cada persona que tenga acceso a un computador.
    • Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.
  • Monitorear (Monitorizar) y Probar regularmente las redes
    • Requisito 10: Rastrear y monitorizar (monitorear) todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
    • Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
  • Mantener una Política de Seguridad de la Información
    • Requisito 12: Mantener una política que contemple la seguridad de la información
El hecho de que una tienda online aplique este estándar no implica que los datos estén almacenados seguros en su totalidad, pues cuando un atacante sabe realmente lo que busca, es 100% seguro que invertirá su tiempo y recursos para obtener su "premio", el hecho de aplicar el estándar ayuda a mitigar enormemente estos riesgos, y aleja a muchos cibercriminales que no cuentan con mucha experiencia en esto, pero habrá quien si se salte estas políticas de seguridad y pueda obtener toda la información. 

Saludos.
Lexer Pars.

******************************************************************************************************************************************************************************************************************************************************************************
Carding y Banking cibercrimen rentable (I de VII)
Carding y Banking cibercrimen rentable (II de VII)
Carding y Banking cibercrimen rentable (III de VII)
Carding y Banking cibercrimen rentable (IV de VII)
Carding y Banking cibercrimen rentable (V de VII)
Carding y Banking cibercrimen rentable (VI de VII)
Carding y Banking cibercrimen rentable (VII de VII)
******************************************************************************************************************************************************************************************************************************************************************************   
Publicado por en
Etiquetas: , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)