Criminales en Europa Oriental se han dirigido a docenas de de bancos americanos en los últimos años con un esquema de phishing elaborado diseñado para capturar los datos de tarjetas de pago de las víctimas.

Según PhishLabs, una empresa de prevención de delitos informáticos de Charleston, Carolina del Sur, los estafadores están comprometiendo actualmente hasta 400 tarjetas por día a través de ataques de vishing, una técnica de ingeniería social que suplanta a personas mediante la tecnología VoIP.

En la campaña, los estafadores utilizan interfaces para enviar correos electrónicos a través de mensajes de texto (SMS) y hacerse pasar como una institución financiera legítima mediante el envío de spam a clientes de bancos con SMS, dijo John LaCour CEO de PhishLabs en una entrada de su blog.

El contenido de los mensajes decía que había que comunicarse al banco para reactivar su tarjeta de pagos, las víctimas que llaman son redirigidas a un sistema de respuesta de voz interactiva (IVR) creado por los atacantes, que solicita el número de tarjeta y PIN. Con los datos robados de la tarjeta, los estafadores hacen compras en línea o por teléfono o retiran dinero en efectivo de cajeros automáticos utilizando tarjetas falsificadas, reveló la empresa.   

En una entrevista el martes con SCMagazine.com LaCour dijo que los atacantes se han dirigido sobre todo a bancos pequeños o cooperativas de crédito, afectando aproximadamente a 50 instituciones financieras en los últimos tres años.

"Nosotros creemos que los atacantes han hecho esto por muchos años", dijo LaCour. "Los ataques siguen en curso y han cambiado de bancos en las últimas 24 horas. Los bancos anteriores pueden haber solucionado el problema de seguridad o los atacantes pueden pensar que han conseguido todas las tarjetas que pudieron".

"Es común que estos atacantes dirijan el ataque por unos días y luego cambian a otro", continuó.

LaCour estimó que alrededor de 120 mil dólares en retirosde cajeros automáticos, pueden robarse por día bajo este esquema, dado el número de tarjetas comprometidas y el retiro de 300 dólares como limite por día en muchos de los cajeros.

Después del descubrimiento de una caché de los datos robados de tarjetas de pagos, PhishLabs inicialmente determinó que el grupo estaba robando datos de 250 tarjetas por día, sin embargo, a partir del martes LaCour reveló a SCMagazine.com que el número incremento a 400 tarjetas por día.

Para evitar ataques potenciales de vishing, PhishLabs aconsejó a los bancos solicitar CVV1 (Card Validation Value) o CVC1 (Card Validation Codes) para ser validados mediante procesadores de tarjetas, ya que los datos se almacenan en las bandas magnéticas de las tarjetas y no están disponibles para que los clientes los revelen a los estafadores.