Cuando se introdujeron las tarjetas contactless, y sobre todo en España, empezamos a sospechar sobre la seguridad de éstas, ya que no necesitan autenticación para pagos de menos de 20 euros, y con estar en contacto cerca de un TPV, se puede ejecutar un pago sin nuestro permiso. Hemos visto rumores y ciertas fotos en el metro con ladrones usando estos dispositivos. Sólo tienen que pegarse a la cartera de la víctima, y adquirir los datos. También se puede utilizar en cualquier aglomeración de gente, como los conciertos.
El grupo criminal que actúa bajo el nombre de CC Buddies está vendiendo en la Dark Webel dispositivo llamado Contactless Infusion X5, y que es capaz de robar hasta 15 tarjetas de este tipo en tan sólo 1 segundo. Puede funcionar con hasta 8 centímetros de distancia, lo cual es demasiado y pone en serio peligro la seguridad de nuestras tarjetas.
Se puede adquirir por 1.2 Bitcoins, que al precio que está ahora son unos 763 euros. Se envía a domicilio (seguridad a tope) e incluye el dispositivo, el cable USB para cargar el dispositivo y transferir los datos, y 20 tarjetas vacías para utilizar los datos robados. Es compatible con USB 3.0 y necesita 3 horas de carga para obtener unas 10 horas de uso constante. Está diseñado “sólo” para robar tarjetas bancarias, y están trabajando en una actualización que permitirá al dispositivo robar los datos de otros tipos de tarjetas que usen esta tecnología contactless.
El método de utilización es sencillo. El Infusion X5 está diseñado para copiar los datos RFID de las tarjetas contactless gracias al chip de radio que llevan estas tarjetas. Los datos que obtiene este dispositivo están encriptados, y para poder descifrarlos y obtenerlos, sólo basta con enchufarlo al ordenador vía USB, y, con un software que proveen también los criminales con la compra del dispositivo, descifrar los datos y permitir un acceso ilícito a la tarjeta para realizar compras.
Con los datos robados, los criminales pueden obtener todos tus datos, y utilizarlos para crear una tarjeta de débito falsa con la que poder operar. El X5 recoge todos los datos de la tarjeta, como el número, CV2, fecha de caducidad, y todos los que tengas almacenados en ella, como fecha de nacimiento, nombre completo, dirección de tu casa, etcétera.
Os recomendamos tener vuestras tarjetas en lugares seguros, e incluso utilizar una funda inhibidora de RFID/NFC, que cuestan 6 euros, para evitar estos robos, y tomar las precauciones adecuadas.
Fuente:https://www.adslzone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad