De tots els mètodes utilitzats pels ciberdelinqüents per aconseguir diners fàcils, volem explicar avui la clonació física de targetes de crèdit i dèbit (també conegut com a ciberatac de SKIMMING) i l’ús fraudulent que se’n faci (anomenat CARDING). Per això els cibercriminals no sempre utilitzen internet per fer-se amb les nostres dades personals i, especialment, amb la informació de la nostra targeta (nombre de targeta, dates de venciment, números de seguretat i PIN de l’usuari).
Quals són les tècniques més freqüents que podem patir físicament?
- Caixers automàtics falsos: El ciberdelinqüent manipula un caixer automàtic d’una sucursal bancària o un punt de venda vending. A més d’instal·lar una càmera oculta per obtenir el número PIN o informació del compte bancari, substitueix elements del caixer perquè, en introduir la targeta, la banda magnètica o el xip puguin ser copiats. Així, el ciberdelinqüent únicament haurà de recollir aquestes dades i copiar-les en una nova targeta en blanc, i ja en tindrà la còpia clonada que podrà utilitzar com l’original.
- Dispositius de pagament fraudulents: Compte amb el pagament a través de TPV fora d’establiments oficials o en llocs inusuals (carrers, mercats, etc.). Els ciberdelinqüents es poden fer amb un d’aquests dispositius i utilitzar-los en allò que aparentment és una venda o pagament normal. Per poder clonar la targeta caldrà introduir-la al TPV, ja que a través de contactless el ciberdelinqüent no podrà fer-se amb el número PIN.
- Dispositius electrònics de clonació: La Proxmark o el Flipper són dispositius electrònics molt utilitzat per ciberdelinqüents i estafadors, atès que només apropant-los a la nostra targeta de crèdit o al nostre telèfon (si tenim les targetes en el mateix) permet clonar totes les dades en qüestió de segons (a diferència de la TPV). El més habitual és que el delinqüent s’acosti físicament a nosaltres, ja sigui al transport públic, a una botiga o fins i tot mentre estem esperant el nostre torn en un supermercat.
D’aquests dos dispositius (Proxmark i Flipper) en tornarem a parlar en propers TIPS relacionats amb altres usos fraudulents; com l’accés no autoritzat a edificis, desactivació de sistemes d’alarma o robatori de vehicles.
Com podem detectar-ho i evitar-ho?
- Tapar el teclat en introduir el PIN , ja sigui pagant en una botiga o traient efectiu en un caixer automàtic, i alertar de qualsevol acció que considerem sospitosa.
- Fora d’establiments oficials, especialment si estem de viatge, de vegades és més segur pagar en efectiu o mitjançant el contactless del mòbil, que requereix que validem la compra amb el PIN de desbloqueig de pantalla o la nostra empremta dactilar/facial. D’aquesta manera, us faltarà informació necessària per clonar 100% la targeta. A més, si tenim activat el doble factor d’autenticació o de verificació personal amb el nostre banc, l’entitat bancària notificarà a l’instant al nostre telèfon mòbil qualsevol pagament o càrrec realitzat. Per això podríem reconèixer aquells que no haguem realitzat nosaltres.
- Quan estiguem en llocs on hi hagi moltes persones (esdeveniments, fires, congressos, visites turístiques, botigues, transports, etc.) hem de tenir en tot moment vigilades les nostres pertinences. Especialment si habitualment portem les nostres carteres i moneders a la butxaca del darrere dels pantalons oa la butxaca exterior d’una bossa o motxilla. Tot i la capa tèxtil, la Proxmark seria capaç de clonar perfectament la targeta a causa del contactless de la mateixa.
NOTA IMPORTANT: Si tenim la sospita de ser víctimes d’un ciberatac, recomanem com sempre en l’àmbit professional sol·licitar suport al Dept. IT, al Responsable de Seguretat o al superior directe. I a nivell personal denunciar-ho a les autoritats policials.
*Data d’enviament: 10 de març de 2025