¡Cuidado! Un programa maligno es capaz de bloquear los pagos sin contacto

/en /por

Kaspersky ha descubierto tres nuevas variantes del malware Prilex, creado por un grupo de ciberdelincuentes, que recibió su nombre del malware de punto de venta (PoS) más avanzado en 2022. Las modificaciones descubiertas de Prilex ahora pueden bloquear la comunicación NFC en transacciones de dispositivos infectados, lo que obliga a los clientes a usar sus tarjetas de crédito físicas, lo que permite a los ciberdelincuentes robar dinero.

Utilizado para atacar TPV, la última versión del malware Prilex es capaz de bloquear transacciones NFC.

 

El grupo Prilex anda detrás de las organizaciones dedicadas a la venta al por menor; es decir, las que usan TPV. En concreto, centran su interés en los dispositivos que funcionan en los concurridos centros comerciales de las grandes ciudades, por donde pasan miles de tarjetas al día. Por el momento, estas nuevas versiones del programa maligno se han detectado en Brasil, pero los especialistas de Kaspersky señalan que pueden extenderse a otros países y regiones.

Los sistemas de pago sin contacto (tarjetas de crédito y débito, llaveros y otros mecanismos inteligentes, incluidos los dispositivos móviles) han incluido tradicionalmente identificación por radiofrecuencia y, con posterioridad, algunas firmas han implementado tecnologías de comunicación de campo cercano o NFC para respaldar ese tipo de transacciones en aplicaciones como Samsung Pay, Apple Pay, Google Pay, Fitbit Pay o apps de bancos.

Al evitar el pago sin contacto, los atacantes intentan convencer al cliente de que coloque la tarjeta en el dispositivo.

Prilex ha aprendido a bloquear las transacciones mediante un archivo que decide si capturar o no la información de una tarjeta de crédito, tras lo cual el terminal del punto de venta infectado muestra el mensaje «error de aproximación. Inserte la tarjeta». Cuando la víctima introduce la tarjeta, este programa maligno es capaz de capturar los datos provenientes de la transacción y tener información sobre aspectos como si el límite de pagos es alto o no.

Ejemplo de tipo de mensaje de error que puede mostrar un terminal TPV infectado por Prilex.

Por supuesto, el objetivo aquí es obligar a la víctima a usar su tarjeta física insertándola en el lector de PIN, por lo que el malware podrá capturar los datos provenientes de la transacción utilizando todas las técnicas descritas en nuestra publicación anterior, como manipular criptogramas y realizar un ataque GHOST. Otra novedad añadida en las últimas muestras de Prilex es la posibilidad de filtrar tarjetas de crédito según segmento y crear reglas diferentes para cada segmento. Por ejemplo, estas reglas pueden bloquear NFC y capturar datos de la tarjeta solo si la tarjeta es Black/Infinite, Corporate u otro nivel con un límite de transacción alto, que es mucho más atractivo que las tarjetas de crédito estándar con un saldo/límite bajo.

¿Cómo funcionan los pagos contactless?

Las smartphones y wearables cuentan con un chip que actúa sobre un lector en una terminal de punto de venta. Los pagos sin contacto se realizan en una proximidad física cercana, a diferencia de otros tipos de pagos móviles que usan redes móviles o Wi-Fi de área amplia y no requieren una proximidad física cercana.

Así es como funcionan:

  • Para realizar un pago con una tarjeta de crédito sin contacto, el titular de la tarjeta simplemente sostiene la tarjeta cerca de la terminal de pago habilitada para la tecnología sin contacto (generalmente a unas pocas pulgadas).
  • El terminal envía una señal de radiofrecuencia (RF) a la tarjeta, activando el chip RFID integrado en la tarjeta.
  • El chip RFID en la tarjeta envía un número de identificación (ID) único e información de transacción a la terminal. Los datos de la transacción no son reutilizables, por lo que incluso si los ciberdelincuentes los roban, no pueden robar el dinero usándolos. Tampoco pueden acceder al chip RFID para manipular los procesos de generación de datos.
  • El terminal envía la información de la transacción a la red de procesamiento del emisor de la tarjeta para su autorización.
  • Si se aprueba la transacción, la terminal generalmente muestra un mensaje de confirmación y se procesa el pago.