Debido a la masificación de ataques de tipo skimming tanto en transacciones no presenciales (comercio electrónico) como en transacciones presenciales y malware especifico para captura de datos de tarjetas, VISA ha publicado dos alertas de seguridad (Visa Security Alerts) este mes de noviembre de 2019 para notificar a los comerciantes y proveedores de servicio respecto a dos prácticas fraudulentas que están siendo explotadas actualmente:

  • New JavaScript Skimmer ‘Pipka’Targeting eCommerce Merchants Identified: Esta alerta de seguridad está vinculada con un software malicioso de tipo skimmer basado en JavaScript denominado «Pipka» que captura de forma no autorizada los datos de tarjetas de pago ingresados en formularios de comercio electrónico y los envía (exfiltra) a servidores de comando y control (Command and Control Server – C2S) empleados por los delincuentes para centralizar los datos obtenidos. Este malware le permite al atacante seleccionar los campos de los formularios que quiere monitorizar y se remueve a sí mismo de forma automática del código HTML para evitar su detección.

Figura 1. Pipka Command and Control Servers (C2S)

  • Attacks targeting point-of-sale at fuel dispenser merchants: En esta alerta se informa a los comerciantes (sobre todo relacionados con dispensadores de combustible y puntos de venta no atendidos como peajes y aparcamientos) del uso de malware del tipo «RAM Scraping» que puede ser distribuído a través de correos maliciosos (phishing) hasta identificar e instalarse en los puntos de venta. Su impacto viene generado debido a que en estos tipos de comercios se suelen emplear transacciones presenciales con banda magnética.

Para gestionar estos riesgos, VISA recomienda:

Para comercios electrónicos:

  • Monitorizar cualquier tráfico relacionado con los C2S identificados.
  • Ejecutar revisiones periódicas para identificar malware.
  • Mantener actualizado el software del entorno.
  • Limitar el acceso a las consolas administrativas de las soluciones de comercio electrónico empleadas y emplear contraseñas robustas.
  • Implementar las mejores prácticas para el aseguramiento de comercio electrónico
  • Considerar el uso de una solución totalmente delegada a un proveedor certificado externo.

Para terminales de pago de dispensadores de combustible:

  • Emplear – hasta donde sea posible – pagos con chip EMV.
  • Utilizar soluciones Point-to-Point Encryption (P2PE).
  • Emplear los Indicadores de Compromiso (IOC) relacionados.
  • Realizar formaciones de concienciación en ciberseguridad a empleados y terminalistas.
  • Monitorizar el tráfico y aplicar controles de segmentación.
  • Desplegar los controles del estándar PCI DSS.

Igualmente, en caso de compromiso, actuar conforme con las indicaciones de las marcas de pago.

Se puede encontrar información adicional en el sitio web de VISA.

Avatar

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS y TSP.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.