Kaspersky ha descubierto nuevas versiones del malware Prilex, responsable de fraudes con tarjetas de crédito. Estas variantes bloquean los pagos «sin contacto» en PDVs, lo que obliga al usuario a usar la tarjeta física y así exponerlo a una estafa de transacción «fantasma».
Este hallazgo revela que las modificaciones recientes convierten a Prilex en el primer malware del mundo capaz de bloquear pagos de aproximación (a través de NFC) en dispositivos infectados.
Prilex es un notorio agente de amenazas brasileño que ha evolucionado gradualmente a partir de un malware enfocado en los cajeros automáticos (ATMs). Este permite realizar fraudes con tarjetas de crédito, incluso cuando estas están protegidas con la tecnología CHIP y PIN.
Los sistemas de pago sin contacto como tarjetas de crédito y débito, llaveros y otros dispositivos inteligentes, han incluido tradicionalmente identificación por radiofrecuencia (RFID). Samsung Pay, Apple Pay, Google Pay, Fitbit Pay y las aplicaciones bancarias móviles han implementado tecnologías de comunicación de campo cercano (NFC) para respaldar transacciones sin contacto seguras.
- Kaspersky patenta nuevo método para bloquear anuncios en dispositivos móviles
- Tramitadores, una nueva modalidad de estafa cibernética
Las tarjetas de crédito sin contacto ofrecen una cómoda y segura forma de realizar pagos sin necesidad de tocar, insertar o deslizar físicamente la tarjeta. Sin embargo, Prilex ha aprendido a bloquear dichas transacciones.
Debido a que las transacciones basadas en NFC generan un número de tarjeta único que es válido para una sola transacción, Prilex aprovecha ese detalle para detectar este tipo de transacción y la bloquea. Después del bloqueo, el teclado PIN del PDV mostrará el mensaje “Error de aproximación. Inserte la tarjeta”.
El objetivo de los ciberdelincuentes es obligar a la víctima a usar su tarjeta física insertándola en el lector de PIN, para que el malware pueda capturar los datos provenientes de la transacción.
“Los pagos sin contacto ahora son parte de nuestra vida cotidiana… Tales transacciones son extremadamente convenientes y particularmente seguras, por lo cual es lógico que los ciberdelincuentes creen malware para bloquear los sistemas relacionados con NFC. Como los datos de la transacción que se generan durante el pago sin contacto son inútiles desde la perspectiva de un ciberdelincuente, es comprensible que Prilex necesite evitar ese pago sin contacto para obligar así a las víctimas a insertar la tarjeta en la terminal de PDV infectada.”, comenta Fabio Assolini, director del Equipo investigación y análisis para América Latina en Kaspersky.
Cabe resaltar que Prilex opera en Latinoamérica desde 2014. Durante el carnaval de Río (Brasil) en 2016, este agente capturó más de 28,000 tarjetas de crédito y vació más de 1,000 cajeros automáticos de un banco brasileño. Ahora, ha ampliado sus ataques a escala mundial.
En este contexto, Kaspersky recomienda lo siguiente para no caer en las nuevas formas de fraude con tarjetas de crédito:
-Utilice una solución de varios niveles que ofrezca una selección óptima de capas protectoras para proporcionar el mejor nivel de seguridad posible en dispositivos de diferentes potencias y escenarios de implementación.
-Implemente Kaspersky SDK en los módulos de PDV para evitar que el código malicioso altere las transacciones que manejan esos módulos.
-Proteja los sistemas más antiguos con una protección actualizada, de manera que estén optimizados para ejecutar con funcionalidad completa las versiones anteriores de Windows y la suite más reciente de Microsoft. Esto garantiza que su empresa contará con un soporte total para las familias de MS más antiguas en el futuro previsible y le brinda la oportunidad de actualizarse cuando lo necesite.
-Instale una solución de seguridad, como Kaspersky Embedded Systems Security, que proteja los dispositivos contra diferentes vectores de ataque. Si el dispositivo tiene especificaciones extremadamente bajas para el sistema, esa solución de Kaspersky le protegería con un escenario de Denegación predeterminada.
-Para las instituciones financieras que son víctimas de este tipo de fraude, Kaspersky recomienda el Threat Attribution Engine, que ayuda a los equipos de IR a buscar y detectar archivos de Prilex en los entornos atacados.
