Symantec publica una noticia que puede resultar chocante en un principio. Los estafadores en Internet donan parte del dinero conseguido con sus fraudes a proyectos de caridad. Es una tendencia que se está observado y que, aunque parezca extraño, tiene una explicación razonable.
La industria del malware y la estafa en Internet mueve un volumen importante de números de tarjetas de crédito, con los que trafican y de los que se benefician directa o indirectamente. En los ambientes adecuados, no es complicado conseguir números de tarjetas de crédito por algunas decenas de dólares. El «excedente» de información de algunas mafias es tal que, aparte de usarlos en beneficio propio, pueden permitirse el vender algunos números de tarjeta (con sus pins y códigos de seguridad adicionales), robados a través de phishing o malware.
La pregunta es: ante tanto número de tarjeta comprado y vendido, ¿cómo saber cuál es válido? ¿cuál se mantiene operativo y permite comprar realmente a través de la red? Comprobar la validez de los códigos de una tarjeta comprando cualquier producto puede hacer saltar las alarmas. Para un atacante que necesita pasar lo más inadvertido posible, las donaciones de caridad se han convertido en buenas aliadas
Los poseedores de los códigos robados traspasan pequeñas cantidades de dinero a páginas de caridad como por ejemplo, la Cruz Roja. Con esto se aseguran que, si la operación se realiza con éxito, la tarjeta puede volver a ser usada en compras más «lucrativas» o revendida. Existen otras ventajas, según Symantec. Los bancos pueden llegar a monitorizar las transacciones habituales de una tarjeta, y obtener un perfil de actuación «habitual» de su dueño. Donar cantidades a instituciones sin ánimo de lucro no es un movimiento «normal» para la mayoría de las personas, y precisamente ese carácter extraordinario lo hace pasar por movimiento perfectamente posible y ocasional para muchos. Sería complicado determinar si una donación concreta es «sospechosa» tanto en un usuario que la realice a menudo como para quien no lo tenga por norma.
Además, con este tipo de donaciones, voluntarias, pueden donar cantidades ridículas (desde algunos céntimos a un dólar) sin necesidad de comprar realmente nada y optimizar así los recursos invertidos en la comprobación real de la validez de la tarjeta.
El Washinton Post no opina que esto sea una nueva tendencia, y recuerda algunas situaciones similares anteriores. Hace dos años, las páginas que recolectaban donaciones para los damnificados por el Huracán Katrina ya obtuvo una buena inyección de dinero a través de este sistema. También recuerda que un administrador de una campaña presidencial en 2004 recibió durante varios días miles de pequeños pagos voluntarios (de cinco centavos) realizados con números de tarjeta distintos y automatizados a través de sistemas situados en Europa del este. Gracias a este «efecto colateral», recolectaron hasta 60.000 dólares que finalmente no pudieron quedarse.
Al menos, entre tanto tráfico de datos y dinero ganado de forma fraudulenta, reconforta saber que algunas ONG e instituciones de caridad sacan algún partido de esta «necesidad» de los estafadores… aunque a los dueños legítimos de las tarjetas seguro que no les hace ninguna gracia.
ssantos@hispasec.com
Más información:
Scammers make friends with charities
http://www.symantec.com/enterprise/security_response/weblog/2007/07/scammers_make_friends_with_cha.html
Scammers Play Robin Hood to Test Stolen Credit Cards
http://blog.washingtonpost.com/securityfix/2007/07/odd_charity_donations_could_pr.html?nav=rss_blog
Deja una respuesta