Un grupo significativo de cibercriminales que operan en la dark web han desarrollado una nueva técnica para obtener ‘gift cards‘ con balance positivo. Según las firmas investigadoras, utilizan ‘bots’ para escanear los sitios web que ofrecen gift cards en busca de las que estén sin utilizarse.
El negocio de la venta fraudulenta de gift cards no es nada nuevo. Desde siempre, los hackers han utilizado diversas técnicas, como comprarlas con tarjetas de crédito extraídas ilegalmente, y luego vendiéndolas en el mercado negro. Sin embargo, la nueva y sofisticada técnica logra reducir el nivel de exposición de los hackers al tiempo que estos pueden comerciar un mayor número de estas tarjetas de regalo.
Según Flashpoint, una de las firmas de ciberseguridad que han expuesto este nuevo método de robo de gift cards, las tarjetas robadas y completamente funcionales son vendidas en la dark web hasta por el 5% de su valor real para llamar la atención de los compradores. Es decir, una gift card de US$ 50 puede encontrarse hasta en US$ 5.
El negocio es tan lucrativo como atractivo para los hackers que es de esperarse los ataques se intensifiquen en breve. El hecho de que comerciar con una gift card de la cual no hay registro previo de compra, hace sin duda una estafa casi perfecta.
Flashpoint apunta también, que este método viene siendo utilizado desde hace unos años. De hecho, los términos «cracking» y «gift cards» comenzaron a circular en diversos foros relacionados en 2015 cuando irrumpió el negocio del cibercrimen en torno a la seguridad de las tarjetas de regalo de plástico.
Con este nuevo método, explican los investigadores, los hackers han logrado utilizar ‘bots’ para crackear las convenciones de numeración utilizadas en las gift cards del del emisor, como eBay, Amazon o iTunes. Todas las tarjetas obtenidas son totalmente legítimas. Luego, se verifica el balance de estas tarjetas con servicios de terceros o incluso con el propio emisor y así, separar aquellas con un balance cuantiosamente positivo.
Como ejemplo, la gente de Flashpoint cita haber descubierto un bot llamado GiftGhostBot que apuntó a una red de 1,000 sitios en busca de gift cards válidas. Para los administradores de sitios, bloquear las IPs del servidor de este bot es una medida que resulta poco efectiva y no resuelve el problema de raíz. Los hackers pueden, con mucha facilidad, montar otro bot, cambiar algunos parámetros y frecuencia de rastreo y seguir atacando.
Con estos datos, es evidente que los emisores de gift cards deben tomar medidas radicales en cuanto a seguridad. Entre las recomendaciones de Flashpoint para las empresas emisoras, esta el uso de PINs, CAPTCHAs, y además, que las gift cards sean generadas aleatoriamente y con una combinación de números y letras para hacer más complicado crackear la secuencia.
