La policía sueca advierte sobre terminales de tarjetas de crédito manipuladas

La policía sueca está desentrañando un plan en el que los delincuentes roban detalles de tarjetas de crédito manipulando terminales de punto de venta (POS) en una tienda Toys R Us en Malmö.

Se descubrió que una terminal estar equipado con una superposición de teclado falso que podría registrar PIN (números de identificación personal) así como detalles en la banda magnética de la tarjeta, dijo el inspector jefe Harald Runge.

El caso es similar al revelado a principios de este año que afecta a varios minoristas del Reino Unido, donde los dispositivos de punto de venta fueron pirateados para registrar detalles de tarjeta de débito y crédito para su uso en fraudes. También demuestra el conocimiento técnico cada vez mayor que los cibercriminales han ganado para perpetuar el fraude con tarjetas.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Es la segunda vez que la policía descubre un TPV manipulado en Toys R Nosotros, dijo Runge. Hace tres meses, se encontraron dos terminales comprometidos, equipados con transmisores Bluetooth para enviar detalles de la tarjeta, dijo.

En ese caso, al menos 500 a 600 tarjetas se vieron comprometidas. El caso salió a la luz luego de que la gente reportara retiros fraudulentos en sus tarjetas, dijo Runge. Los retiros se hicieron en Rumania, un país conocido como un refugio para ciberdelincuentes

"Sabemos que generalmente las personas que cometen estos crímenes en Suecia suelen ser de Rumania", dijo Runge.

Con la ayuda de los bancos suecos, se determinó que todas las cartas habían sido utilizadas en Toys R Us, dijo Runge. La policía sueca ahora lleva a cabo una investigación técnica sobre cómo las terminales POS se vieron comprometidas, dijo. En Rumania, las autoridades tienen fotos de personas que estaban realizando retiros fraudulentos, dijo.

Los números de tarjetas suecas y los detalles registrados en Toys R Us ya pueden aparecer en sitios web ilegales donde se venden los detalles de las tarjetas, dijo Frank. Engelsman, un experto en fraude con Ultrascan Advanced Global Investigations, una compañía con sede en Holanda. Runge dijo que las personas que compraron en Toys R Us deberían pedirle a su banco que les expida nuevas tarjetas. Parece que los ciberdelincuentes ya están tratando de vender esos detalles. Cuatrocientos números de tarjetas suecos han aparecido en una de las bases de datos clandestinas cibernéticas que se encuentra en Rusia, dijo Engelsman. Los detalles de la tarjeta se venden por US $ 1 a $ 6, dijo.

Engelsman dijo que Ultrascan ha visto un fuerte repunte en el número de detalles de tarjetas de crédito que se están probando. Para vender un registro de tarjeta de crédito, el comprador a menudo quiere asegurarse de que el número de tarjeta sea válido y no haya sido cancelado. Para hacer eso, los ciberdelincuentes cobrarán una cantidad muy pequeña a una organización como una campaña política, dijo Engelsman.

El cargo puede ser tan bajo como $ 0.26. Los ciberdelincuentes tenderán a variar los montos, ya que los bancos a menudo cancelarán las tarjetas si sus sistemas antifraudes notan, por ejemplo, 1.000 tarjetas que cobran $ 0.13, dijo Engelsman.

Últimamente, "nunca hemos visto tantas pruebas antes ", dijo Engelsman. "Después de las pruebas, van a usarlas [las tarjetas]".

La manipulación de los terminales de los puntos de venta es cada vez más sofisticada. Engelsman dijo que había oído hablar de equipos de "ladrones" profesionales que ingresan cuidadosamente en una tienda por la noche e instalan equipos para registrar los detalles de la tarjeta. Se van sin dejar rastro.

Las terminales también están siendo manipuladas para registrar los detalles de la tarjeta de crédito en ciertos momentos pico de compra cuando la mayoría de los detalles se pueden capturar para la menor cantidad de energía de la batería. Por ejemplo, un dispositivo POS solo registraría detalles a partir de la 1 p.m. hasta las 3 p.m., dijo Engelsman.

Los dispositivos también se pueden programar para grabar solo, por ejemplo, tarjetas American Express en lugar de Visa o MasterCard, dijo Engelsman. Eso se debe a que algunos estafadores, como los del norte de África, prefieren American Express ya que las tarjetas son más ampliamente aceptadas en el área, dijo.

En algunos casos, los detalles de la tarjeta se transmiten a través de un chip móvil inalámbrico instalado en el dispositivo POS, dijo Engelsman. En otros casos, los terminales tienen una capacidad Bluetooth de corto alcance. Un estafador puede volver a la tienda para transferir los datos capturados a otro dispositivo habilitado para Bluetooth.