Estoy tratando de entender cómo los hackers obtienen información de la tarjeta de crédito y la usan en línea. Si hubiera realizado un ataque MITM en una tienda que acepta tarjetas de crédito, ¿puedo usar la información de la tarjeta de crédito para comprar cosas en línea?
Hay varios métodos de ataque que se utilizan para recopilar CC, incluido el skimming de interfaces de cajeros automáticos falsos, lectores de tarjetas falsas, registradores de claves en computadoras y bases de datos comprometidas con prácticas de seguridad deficientes.
Los ataques MITM generalmente no son tan rentables porque los Comerciantes se ven obligados a implementar procesos de seguridad comunes para cumplir con ciertos estándares. En los Estados Unidos, el citado común es PCI.
PCI cubre no solo la seguridad de un comerciante (PCI DSS), sino también los componentes utilizados, como lectores y software (PA DSS).
Dirigirse a un usuario antes de ingresar su información en el sistema es más fácil.
Suponiendo que usted es MITM y que puede leer la comunicación en texto claro, SÍ.
Lo más probable es que obtenga el número de la tarjeta de crédito, el nombre del propietario, la fecha de caducidad y el CVV.
Eso es lo que normalmente se proporciona a cualquier comprador para validar la tarjeta de crédito.
Lo único entre usted y la compra exitosa de bienes es el equipo antifraude del banco / tienda.
Los propietarios de tarjetas de crédito suelen tener un perfil y se detecta fácilmente un comportamiento anormal.
Suponiendo que lo use sabiamente, podría tener un éxito relativo para pequeñas cantidades. Desde una perspectiva criminal no vale la pena. El riesgo de detección aumenta exponencialmente cuando el criminal necesita repetir el proceso con varias tarjetas.
En los EE. UU., debido a que todavía usan una banda magnética, la información se puede usar para generar tarjetas falsas que también podrían usarse en las compras. También un gran riesgo para la pequeña devolución y el criminal tendrá que arriesgar su presencia.
Esto sería bastante difícil. No sé dónde vive, pero en Europa, las transacciones CNP (es decir, en línea) utilizan el número de tarjeta de crédito, la fecha de emisión / número de emisión, la fecha de caducidad y el código de verificación (impreso en el reverso). Varios proveedores también tienen una verificación de contraseña.
Pero para las compras sin receta, solo se intercambian el número de la tarjeta y el código de autenticación (que se encuentra en el PIN). es decir, su ataque MITM no capturará los detalles requeridos para los pagos en línea (o por teléfono).
Depende de la tienda, los mecanismos de protección utilizados en la tienda, el proveedor de pagos en línea y el proveedor de tarjetas de crédito, entendiendo el SSL por parte del usuario en caso de que vea un certificado que no pueda verificarse el mensaje. Es posible en caso de muy mala implementación del procesador de pago de la tienda. Para la tarjeta de crédito necesitas atacar al usuario, no a la tienda.
Reglas de sentido común, no necesita ninguna tecnología sofisticada cuando la tarjeta física está en su lugar. La peor parte de la tarjeta de crédito es la autenticación de compra en línea, solo hay que tomar una foto de ambos lados de la tarjeta de crédito para recopilar toda la información. Un pirata informático puede simplemente colocar una cámara de disfraz para capturar la imagen.
Mientras que te atrapan después de realizar el fraude es otra historia. ;-)
Lea otras preguntas en las etiquetas man-in-the-middle