Symantec publica una noticia que puede resultar chocante en un principio. Los estafadores en Internet donan parte del dinero conseguido con sus fraudes a proyectos de caridad. Es una tendencia que se está observado y que, aunque parezca extraño, tiene una explicación razonable.
La industria del malware y la estafa en Internet mueve un volumen
importante de números de tarjetas de crédito, con los que trafican y de
los que se benefician directa o indirectamente. En los ambientes
adecuados, no es complicado conseguir números de tarjetas de crédito por
algunas decenas de dólares. El "excedente" de información de algunas
mafias es tal que, aparte de usarlos en beneficio propio, pueden
permitirse el vender algunos números de tarjeta (con sus pins y códigos
de seguridad adicionales), robados a través de phishing o malware.
La pregunta es: ante tanto número de tarjeta comprado y vendido, ¿cómo
saber cuál es válido? ¿cuál se mantiene operativo y permite comprar
realmente a través de la red? Comprobar la validez de los códigos de una
tarjeta comprando cualquier producto puede hacer saltar las alarmas.
Para un atacante que necesita pasar lo más inadvertido posible, las
donaciones de caridad se han convertido en buenas aliadas
Los poseedores de los códigos robados traspasan pequeñas cantidades de
dinero a páginas de caridad como por ejemplo, la Cruz Roja. Con esto se
aseguran que, si la operación se realiza con éxito, la tarjeta puede
volver a ser usada en compras más "lucrativas" o revendida. Existen
otras ventajas, según Symantec. Los bancos pueden llegar a monitorizar
las transacciones habituales de una tarjeta, y obtener un perfil de
actuación "habitual" de su dueño. Donar cantidades a instituciones sin
ánimo de lucro no es un movimiento "normal" para la mayoría de las
personas, y precisamente ese carácter extraordinario lo hace pasar por
movimiento perfectamente posible y ocasional para muchos. Sería
complicado determinar si una donación concreta es "sospechosa" tanto en
un usuario que la realice a menudo como para quien no lo tenga por
norma.
Además, con este tipo de donaciones, voluntarias, pueden donar
cantidades ridículas (desde algunos céntimos a un dólar) sin necesidad
de comprar realmente nada y optimizar así los recursos invertidos en la
comprobación real de la validez de la tarjeta.
El Washinton Post no opina que esto sea una nueva tendencia, y recuerda
algunas situaciones similares anteriores. Hace dos años, las páginas que
recolectaban donaciones para los damnificados por el Huracán Katrina ya
obtuvo una buena inyección de dinero a través de este sistema. También
recuerda que un administrador de una campaña presidencial en 2004
recibió durante varios días miles de pequeños pagos voluntarios (de
cinco centavos) realizados con números de tarjeta distintos y
automatizados a través de sistemas situados en Europa del este. Gracias
a este "efecto colateral", recolectaron hasta 60.000 dólares que
finalmente no pudieron quedarse.
Al menos, entre tanto tráfico de datos y dinero ganado de forma fraudulenta, reconforta saber que algunas ONG e instituciones de caridad sacan algún partido de esta "necesidad" de los estafadores... aunque a los dueños legítimos de las tarjetas seguro que no les hace ninguna gracia.
Más información:
Scammers make friends with charities
http://www.symantec.com/enterprise/security_response/weblog/2007/07/scammers_make_friends_with_cha.html
Scammers Play Robin Hood to Test Stolen Credit Cards
http://blog.washingtonpost.com/securityfix/2007/07/odd_charity_donations_could_pr.html?nav=rss_blog
Sergio de los Santos
ssantos@hispasec.com
Fuente: http://www.hispasec.com/unaaldia/3180/
No hay comentarios:
Publicar un comentario