Skimmers invisibles en los cajeros automáticos

Los delincuentes responsables de la campaña de infección de cajeros automáticos empiezan a usar skimmers invisibles.

Si ya sabes qué son los skimmers de los cajeros automáticos (y en el caso de que no lo sepas deberías leer antes esta entrada), probablemente sabrás cómo reaccionar para mantener a salvo tu tarjeta bancaria. En los cajeros automáticos debes buscar añadidos sospechosos y evitar su uso si no te dan buena espina. Pero, ¿y si no hubiera nada añadido? ¿Y si el skimmer fuera totalmente invisible?

¿Es eso posible?

Me temo que la respuesta es sí. De hecho, este es exactamente el caso de un grupo de cibercriminales que infectan cajeros automáticos que ha descubierto nuestro equipo GReAT junto a nuestro equipo de Pruebas de Penetración. Los miembros de este cibergrupo de habla rusa pueden convertir el cajero automático en un skimmer.

El premio gordo

Al parecer, a los ciberdelincuentes les encanta la idea de compartir la economía: ¿por qué añadir dispositivos skimmer al cajero si este ya dispone del hardware necesario? Lo único que tienen que hacer es infectar un cajero con un malware especial llamado Skimmer y ya podrán usar su propio lector de tarjetas y su teclado para robar todas las credenciales bancarias necesarias de una tarjeta.

Y eso no es todo cuando se trata de compartir: si han infectado un cajero, pueden ir más allá y no controlar solo el teclado y el lector de tarjetas, sino también el dispensador de efectivo. Así que además de robar las credenciales de las tarjetas, también pueden enviar una orden para que el cajero expenda todo el dinero que tiene en su interior.

Los delincuentes responsables de esta cibercampaña cubren su rastro con mucho cuidado. De hecho, por eso usan estas tácticas dobles. Aunque puedan retirar todo el dinero cuando quieran ordenando a todos los cajeros infectados que expulsen el dinero, no lo hacen porque levantarían sospechas y se abriría una larga investigación. Por eso prefieren que el malware pase desapercibido en el cajero y recolectar en silencio la información robada de las tarjetas, dejando la opción de la retirada de dinero para el futuro.

¿Cómo operan los causantes de la infección de cajeros?

Como ya hemos comentado en otra publicación reciente, aunque la protección de los cajeros parece impresionante desde el punto de vista físico, muchas de estas máquinas blindadas son más vulnerables en el ciberespacio. En este caso en particular, los delincuentes infectan cajeros ya sea a través de un acceso físico o a través de la red interna del banco.

Tras instalarse en el sistema, el malware Skimmer infecta el núcleo informatizado del cajero, lo que da control total a los delincuentes, convirtiéndolo en skimmers. Tras ello, el malware se mantiene a un rendimiento bajo hasta que los causantes decidan utilizar la máquina infectada.

Para despertar el malware de un cajero, el hacker debe insertar una tarjeta en concreto que contenga ciertos registros en su banda magnética. Tras leer estos registros, el malware podrá ejecutar parámetros fijos o contestar a parámetros a través del menú especial que la tarjeta activa.

Si el delincuente saca la tarjeta y en menos de 60 segundos introduce la clave de sesión correcta mediante el teclado, la interfaz gráfica del malware aparecerá en pantalla. Con la ayuda de dicho menú, el delincuente podrá activar veintiún comandos diferentes, entre los que se incluyen:

– dispensar dinero (40 billetes de la bandeja determinada).

– recolectar los datos de las tarjetas ingresadas.

– autoborrado.

– actualizarse (desde el código actualizado del malware en el chip de la tarjeta).

– guardar el archivo con la información de las tarjetas y los códigos en el chip de la tarjeta.

– imprimir los datos de las tarjetas que ha registrado en los recibos del cajero.

Cómo protegerse

En el blog de Securelist, nuestros especialistas dan recomendaciones para que los bancos sepan qué archivos deberían buscar en sus sistemas. El artículo completo de la campaña de infección de cajeros automáticos ha sido previamente compartido con un público cerrado: agencias de seguridad, la división CERT, instituciones financieras y los servicios de protección inteligente de Kaspersky Lab .

Para gente corriente como tú o yo, la infección de cajeros automáticos es mucho más alarmante, pues no hay modo de saber si una máquina ha sido infectada o no y dado que a simple vista funciona con normalidad, se debe escanear el contenido del ordenador para detectar el malware.

Para los bancos, la introducción del código PIN es una prueba de que la transacción se llevó a cabo por el propietario de la tarjeta o de que este es el responsable de que el código se haya visto comprometido. Sería difícil argumentar en contra de la decisión del banco y seguramente nunca te devolverán el dinero.

En resumen, no puedes proteger al 100 % tu tarjeta de la infección de cajeros, pero aun así hay una serie de consejos que te ayudaran a salvar, al menos, la mayor parte de tu dinero.

  1. Aunque no puedas identificar los cajeros infectados, puedes minimizar el riesgo utilizando aquellos cuya ubicación no sea sospechosa. La mejor opción es usar cajeros en sucursales bancarias, pues es más difícil infectarlo y seguramente se inspeccionen con más frecuencia.
  1. Comprueba con frecuencia los cargos de tu tarjeta. El mejor modo para ello es usar las notificaciones por mensaje de texto: si tu banco ofrece este servicio, deberías usarlo sí o sí.
  1. Si ves una transacción que no has efectuado nunca, llama a tu banco de inmediato y bloquea la tarjeta en cuestión. En serio, hazlo DE INMEDIATO. Cuánto más rápida sea tu reacción, más probabilidades tendrás de salvar la mayor parte de tu dinero.
Consejos