¿Están utilizando tu tienda online para probar datos de tarjetas de crédito robadas?

Actualidadvulnerabilidad

Existen informes de que una vulnerabilidad sin especificar está siendo usada por ciberdelincuentes para comprobar la validez de tarjetas de crédito y débito que han sido robadas, filtradas o copiadas en algunas versiones de la plataforma de e-commerce Magento.

Todo esto según lo publica ZDNet, que dice que ha visto un aviso de Magento el cual, lamentablemente, no se ha hecho público (o por lo menos no se menciona en la lista de parches que difundieron el pasado 26 de marzo). Si utilizas Magento, nuestro consejo es que instales la actualización ya que soluciona problemas importantes.

Uno de los problemas que tienen los ciberdelincuentes al comprar detalles de tarjetas de pago en la dark web, es que no saben distinguir cuáles son antiguas y están desactivadas y cuales todavía están activas para poder cometer fraudes.

Hay posibilidades de que la mayoría no funcionen, pero cualquier método que les sirva para cribarlas sin atraer la atención es increíblemente útil.

La técnica que han encontrado es enviar una gran cantidad de transacciones de cero dólares a través de webs de Magento integradas con el sistema de pago de PayPal Payflow Pro.

Se puede usar PayPal de diferentes formas en webs de e-commerce, una de ellas, Payflow Pro, ofrece la ventaja de que el cliente nunca tiene que abandonar la web del vendedor.

Como explica PayPal:

PayPal solo se ejecuta en el back end para procesar el pago. El cliente nunca visita la página de PayPal y solo reciben una orden de pago de ti, no de PayPal.

Una función legitima de la que se aprovechan los estafadores

Esta posibilidad de canalizar peticiones a través de e-commerce sin tener que autentificarse vía PayPal puede que sea lo que le gusta a los criminales, ya que desde el punto de vista de PayPal las transacciones aparecerán como si vinieran desde las tiendas.

Si esto es lo que está ocurriendo, es una técnica simple para esconder gran cantidad de transacciones sospechosas detrás de una fuente legítima.

En teoría ni el vendedor ni PayPal deberían perder dinero. Solo es una forma ingeniosa de comprobar la validez de tarjetas de pago para poder utilizarlas en cualquier otro lugar.

Sobre esa base, el problema para los vendedores que ejecuten Magento es que puede que PayPal detecte las transacciones extrañas y suspenda la cuenta.

¿Por qué PayPal y no otra plataforma? Enviar transacciones por cero dólares es una forma legítima que tienen los vendedores para verificar los datos de una tarjeta de pago sin pedir dinero. Algunas plataformas cobran una pequeña cantidad por esta función por lo que si PayPal no lo hace entonces es más sencillo abusar del sistema sin que nadie se dé cuenta.

¿Qué hacer?

Las versiones afectadas son las 2.1.x y 2.2.x, incluyendo las versiones cloud y autohospedadas. No está claro si la versión 2.3 también está afectada. Pero ZDNet dice:

El equipo de Magento no ha encontrado ninguna prueba de abuso contra este tipo de sitios hasta ahora.

¿Hay alguna forma de saber si una web se ha visto afectada? Hasta que se explique el problema con mayor detalle, es imposible saberlo con seguridad, aunque es posible que un número excepcionalmente grande de transacciones cause un error PHP que pueda aparecer en los logs de MAgento.

Hubo un tiempo en el que utilizar un protocolo de terceros para securizar una web de comercio electrónico podría parecer  muy cauteloso. Dado el creciente número de ataques a este tipo de webs, a lo mejor llegó la hora de replantearse el tema.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.