Introducción al Carding: ¿Cómo nos la pueden liar?

Disclaimer: No me hago responsable de los datos que se revelan a continuación ni del uso que se les dé.

Como mi primera entrada al blog he decidido hablar del Carding, una técnica llena de misterios. Hablaremos de los tipos y explicaremos cómo se realiza cada uno de ellos. Finalmente daré una serie de contramedidas para protegerse.

¿Que es el carding?

El carding es el uso ilegítimo de tarjetas de crédito, una práctica que está creciendo como la espuma.

Hay muchas variantes. Como primer tipo, empezaríamos con los bins, el tipo más básico y simple, incluso no se considera carding como tal, pero no está de más mencionarlo.

BINS:

Los bineros son muy comunes, no roban tarjetas, solo se aprovechan del método de pago.

Un BIN (Bank Identification Number), son los 6 primeros números de una tarjeta de crédito, en estos dígitos se ve el banco, tipo de tarjeta, etc. Y, ¿para qué quiero un BIN?.

Lo puedes querer para colección, pero la opción más rentable es para engañar a la página donde quieres hacer una compra y hacer creer que has puesto tu tarjeta. Por ejemplo,  se puede hacer con spotify, netflix, y demás servicios online para tenerlos gratuitamente. Antes se podía llegar a hacer compras, pero actualmente es bastante más difícil.

¿Por qué funciona esto? Resulta que los bancos tienen algunos números de tarjeta generados, los cuales no están asignados a ningún cliente, es aquí donde entra el maravilloso azar, el cual nos ayudará a generar un número que exista, pero que no esté en uso.

Y bien, ¿cómo se hace eso?. Primero debemos conseguir algún bin (buscando en internet, grupos, amigos, o incluso cogiendo la tarjeta de tu compañero), y una vez lo tenemos simplemente generamos unas cuantas tarjetas, y de ellas, alguna será buena… Pero espera, ¿las genero a mano? ¡No!, es tan simple como acudir a un generador de tarjetas de crédito, y pedirle que nos haga el trabajo “sucio”.

  • Hola, quiero 50 tarjetas de crédito. Gracias.
https://namsoccgen.com/

Obviamente, de las tarjetas aleatorias generadas, no todas funcionarán correctamente. Para comprobar cuales se pueden utilizar, podemos usar un verificador de tarjetas, los cuáles abundan en los foros de carding.

http://ben10.esy.es/checador.php

Una vez tenemos una tarjeta verificada, solo falta ver de donde es y usar una VPN para simular que la conexión la hacemos desde tal lugar (recomendaciones: borrar caché, modo incógnito, etc.). Con un poco de suerte la web nos la validará.

CARDING:

Bueno, la práctica anterior es muy bonita, pero no es el carding que todos esperamos, el de aquellos que te roban la CC y te dejan la cuenta del banco llorando.

Dentro de este tipo hay dos: el carding virtual y el físico.

1. CARDING VIRTUAL:

En este, los beneficios crecen exponencialmente respecto al uso de BINS, justo igual que la pena de cárcel si te pillan, es un carding orientado a comprar artículos físicos por internet.

Para empezar necesitamos una tarjeta de crédito la cuál vamos a utilizar para las compras. Para ello hay muchos métodos, voy a explicar los más comunes:

1. Comprarlas en foros de carding:

No tiene mucho misterio. Buscas en algún foro y acuerdas un precio con el vendedor.

Quemadas significa que están gastadas, bloqueadas, etc.

2. Robar bases de datos de tiendas que almacenen CC o de bancos:

Seguimos sumando delitos… Deberíamos vulnerar tiendas que no utilicen pasarelas de pago. Es decir, que ellos mismos almacenen las CC.

3. Phishing:

Quizás la práctica más comun. Consiste en enviar una cantidad ingente de e-mails (usualmente haciendo mail spoofing para hacernos pasar por la sucursal de banco) de manera que sea el propio usuario el que nos de las credenciales creyendo que hace login en la URL de su entidad bancaria cuando realmente es una web preparada por nosotros.

Ejemplo de correo de phishing.

4. Shoulder surfing:

Es la más simple. Consiste en echar un vistazo a la tarjeta de crédito y memorizar el número de la misma y CVV.

5. Fake Shop:

Por último, pero no por ello menos importante, las fake shops, que como su nombre indica, son tiendas falsas. Estas, se quedan con tu CC cuando realizas el pago y el producto jamás llega.

Suelen tener precios muy asequibles para llamar la atención de los compradores.

Ya tenemos una tarjeta, ¿ahora qué?:

Cuando tenemos la CC necesitamos un DROP. ¿Qué es esto? Es una persona que se encarga de recibir el paquete y enviártelo. ¿Para qué? Para evitar tu detención, ya que cuando denuncian van a empezar buscando por el rastro que deja la CC.

Es por eso que lo mejor es que esta persona no tenga PC siquiera. Es un simple trabajador que ha recibido un paquete pagado y lo ha aceptado. ¡¿Quién puede rechazar una oferta así?!

La forma de pagar a esta persona es enviandole otro producto igual al tuyo.

Otra opción menos ética sería buscar portal por portal a alguien a quien explicarle que estás de viaje pero esperas un paquete… (echadle imaginación).

Lo más usual es que este tipo de compras ilegales se realicen a altas horas de la madrugada, para que en caso de denunciar, sea demasiado tarde para cancelar el pedido.

2. CARDING FÍSICO:

Aquí se entra en el terreno más pantanoso. Si bien se gana más dinero, el riesgo ya se termina de disparar. Además, se debe realizar una buena inversión para poder trabajar. Consiste en la fabricación de tarjetas de crédito.

Skimmer detectado

Para hacer todo esto, se utilizan una serie de aparatos llamados skimmer muy fáciles de conseguir. Estos, se pegan en los ATM justo encima del lector de tarjetas y pasan completamente desapercibidos. Así, cuando meten la CC graba sus datos. ¿Y ahora que nos falta? El PIN. Es por eso que todos tapamos el teclado al meter el PIN, pero es un poco inútil si además del lector hay instalado un falso teclado en el cajero…

https://saleskimmer.com

Otra manera es con Offline POS (Datáfono sin conexión). Este, es un tipo de datáfono en el que metes la tarjeta para realizar el pago como en uno ordinario, pero la transacción no llega. Sin embargo, tus datos si se han quedado guardados en este. ¿Nunca habéis metido la tarjeta en un datáfono, este no funcionaba y el empleado lo ha probado en otro diferente? Siento decirte que si es así, podrías haber sido víctima de este ataque.

También tenemos los lectores de tarjeta portátiles. Un pequeño aparato que podrían pasar en cafeterías, bares o cualquier otro establecimiento cuando les das la tarjeta. O incluso se puede utilizar para esto el lector de tarjetas del móvil (está la aplicación en Play Store), el cuál a través de NFC lee los datos de la tarjeta.

Por eso NUNCA hay que dejar tu tarjeta, ya que no es muy difícil memorizar un CVV de 3 dígitos. Este método es para compras online, ya que no tenemos PIN, solo CVV y datos de la CC, pero entra en el apartado de carding físico porque se realiza con aparatos cara a cara con la víctima.

Tenemos los datos, ¿ahora qué?

Una vez tenemos todo lo necesario de la CC, necesitamos una tarjeta virgen donde grabar todo lo recopilado anteriormente.

Y por último, una troqueladora para dar relieve y una impresora de tarjetas para darle color.

Con esto ya tendríamos nuestra tarjeta clonada. Solo faltaría armarse de valor, ir a una tienda y comprar el producto que queramos, ya sea para nosotros o para revenderlo.

¿Cómo nos protegemos de estas técnicas?

Para empezar, si decidimos pagar con tarjeta por internet, debemos asegurarnos de que es una tienda de confianza y de que usa una pasarela de pago bien configurada.

Otra opción a tener en cuenta es el uso de doble factor de autenticación en la CC.

Para el carding físico, la cosa cambia. Lo primero que podemos hacer es instalar una aplicación llamada skimmer scanner, disponible en el market. Lo que hace esta app es buscar por bluetooth un determinado módulo usado por skimmers, de manera que si lo detecta, se conecta con la contraseña ‘1234’ y le envía un paquete predeterminado P, el cuál si recibe una respuesta concreta, verifica que se trata de este tipo de dispositivos y nos alerta en el móvil. Pero claro, no detecta todas las variantes de skimmers que hay.

También debemos fijarnos en los ATM que no tengan restos de pegamento, algúna parte deformada, o similares, ya que esto son señales claras de que ha sido manipulado.

Por último, para el ataque en el que la persona memoriza tu CVV al pagar, la manera más efectiva es tapar estos 3 dígitos con una pequeña cinta y no dar tu tarjeta.

En el artículo no se ha hablado sobre otras técnicas de carding como el robo cuentas y tal porque he preferido centrarme en las que afectan directamente a la seguridad de las CC y no tanto en la seguridad informática de las plataformas.

Para finalizar, os dejo una serie de enlaces a foros de carding para quien quiera aprender más de este mundillo:

Happy learning 😉

Eduardo Pérez-Malumbres
@blueudp

Deja un comentario

diecinueve + 12 =