E-Crime:Give me Your Passport
Es facil conseguir una identidad nueva? PARTE II
El autor ha intentando eliminar en todo momento palabra o imágenes explícitas que den pistas de “donde estamos”. De la misma manera, ya que mucho de lo que vais a ver son imágenes que no necesitan palabras, el autor se abstiene de DAR EXPLICACIONES EXCESIVAS de lo que se va a mostrar por razones obvias … es decir, no se darán Ip´s, ni nombres de webs, ya que, al ser una actividad DELICTIVA de gran magnitud no es intención difundir el “Como” sino “Por qué?”( es tan fácil)
La motivación principal que me ha llevado a investigar sobre este tema es sencilla …
Investigating Computer Crimes, Tracing the Digital Evidence, Prosecuting Cyber Criminals
Defending information from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction
Las motivaciónes secundarias…
¿ Es fácil conseguir la documentación que yo quiera?
¿ Podría obtener una partida de Defunción y hacerme una nueva identidad sin tener que dar muchas vueltas?
¿ Y si quisiera tener el Pack Completo de Tarjeta de Crédito, Pasaporte, Título Universitario, Facturas de empresa y carnet de Conducir en cualquier país desarrollado?.
¿Es necesario entrar en IRC y foros “extraños” para conseguir lo que quieras o está ante nuestros ojos?
Si algo nos ha tenido que quedar muy claro es que estos “tipos”, Ciberdelincuentes, tienen una estructura bien organizada y cada vez más .. Por qué? Porque tienen que ir sorteando los obstáculos que se le va poniendo por parte de los expertos en E-Crime y esto conlleva un cambio en sus estructuras … estas tienen que ser más rápidas como hemos podido observar en la primera parte de esta entrada.
Contamos con webs on-line donde casi está todo preparado para que “la merca” salga “rapidito” .. Por dos motivos principalmente:
1- Tienen que soltar “la merca” lo más rápidamente posible como todo delincuente … Un traficante de Cocaína no quiere tener “la merca” mucho tiempo almacenada porque la probabilidades de que le “trinquen” aumentan considerablemente cuanto más tiempo andan con ella… Pues esto es lo mismo .. Pim Pam Pum !!!
2-Atención al cliente … Buena atención, cliente satisfecho, cliente que vuelve …
Tenemos como ya mostré Pasaportes ( diplomáticos también si quieres y “buenos”..), permisos de conducir, títulos universitarios y hasta tu partida defunción y una de nacimiento nueva … Bien , vamos a pararnos ahora en las tarjetas de crédito.
NADA de esto, las estafas, los engaños, las tarjetas de crédito tendría sentido sin
EL ESQUEMA PONZI
Toda estafa, por supuesto la piramidal incluida tiene su base en “El esquema Ponzi” que de manera purista y siguiendo a wikipedia es una operación fraudulenta de inversión que implica el pago de intereses a los inversores de su propio dinero invertido o del dinero de nuevos inversores. Esta estafa consiste en un proceso en el que las ganancias que obtienen los primeros inversionistas son generadas gracias al dinero aportado por ellos mismos o por otros nuevos inversores que caen engañados por las promesas de obtener, en algunos casos, grandes beneficios. El sistema sólo funciona si crece la cantidad de nuevas víctimas.
Qué es y qué no es un esquema Ponzi (Wikipedia)
Un esquema piramidal es una forma de fraude similar en cierta forma a una trama Ponzi, basada como este en la desconfianza en la realidad financiera, e incluyendo una tasa de retorno extremadamente alta. Sin embargo, varias características distinguen las tramas piramidales de las tramas Ponzi:
En un esquema Ponzi, el maquinador actúa como un punto central para las víctimas, interactuando con todas ellas directamente. En una trama piramidal, quienes reclutan participantes adicionales se benefician directamente (de hecho, el no reclutar, típicamente significa el no retorno de la inversión).
Un esquema Ponzi declara basarse en algún método confidencial de inversión, conexiones con grupos que poseen información privilegiada, etc., y usualmente atrae a inversionistas adinerados; la trama piramidal declara explícitamente que el nuevo dinero será la fuente de pago para las inversiones iniciales.
El esquema de pirámide está destinado a colapsar rápidamente, simplemente por causa de la demanda de incrementos exponenciales en el número de participantes para sostenerlo. En contraste, las tramas Ponzi pueden sobrevivir logrando que la mayoría de los participantes “reinviertan” su dinero, con un número relativamente bajo de nuevos participantes.
Una burbuja se basa en la credulidad y el deseo de grandes beneficios, pero no es lo mismo que una trama Ponzi. Una burbuja involucra precios siempre crecientes (e insostenibles) en un mercado abierto (pueden ser acciones, precios de vivienda, el precio de los bulbos de tulipán, o cualquier otra cosa)
En la medida en que los compradores estén dispuestos a pagar los precios siempre en alza, los vendedores pueden salir beneficiados. Y no se necesita un maquinador tras una burbuja. (De hecho, una burbuja puede surgir sin fraude alguno; por ejemplo, los precios de vivienda en el mercado local pueden subir repentinamente pero caer del mismo modo por la excesiva construcción.) Usualmente se dice que las burbujas se basan en la teoría del “gran tonto”;
Robar a Pedro para pagar a Pablo. Cuando las deudas han vencido y no hay dinero con que pagarlas, ya sea por causa de la mala suerte o robo deliberado, los deudores usualmente hacen sus pagos pidiendo prestado o robando de otros fondos. Esto no se considera un esquema Ponzi, por el hecho básico de que no hay indicios de que al prestamista le fueran prometidas altas tasas de retorno bajo la afirmación de inversiones financieras inusuales. Tampoco hay indicios de que quien solicita el préstamo incremente la cantidad del préstamo para cubrir pagos a los inversionistas iniciales.
TARJETAS DE CRÉDITO
Con las tarjetas de crédito ocurre lo mismo que con el resto de” merca “.. Encuentras la web, haces el pedido y adelante … pero repito, no tienes que entrar en oscuros foros.. eso déjalo para los cuerpos y fuerzas de seguridad del estado que monitorizan todos los canales para pillar a los “malos”.
Pero vamos a empezar por el principio
Vamos a entender una tarjeta de crédito desde CONCEPTOS BÁSICOS:
Crédito significa pedir prestado algo de alguien
Objeto pequeño plano hecho de una lámina de plástico laminado y otros materiales.
Titular es una persona a quien se le emitió una tarjeta y que tiene la obligación de remitir todos los necesarios financieras préstamos contraídos en su tarjeta. El titular de la tarjeta puede ser un individuo o una organización.
Aquí, expedida significa autorizado a hacer uso de la tarjeta. La palabra «obligación», una responsabilidad moral y legal de hacer algo. Remitir implica devolver el dinero.
ISO es una abreviatura de … YA LO SABÉIS
IEC es una abreviatura de la Comisión Electrotécnica Internacional.
NBFC es una forma corta de Non-Banking Company Financial.
ISO / IEC 7810 es una norma internacional que especifica (fija o define) características físicas, como el tamaño, grosor, etc para tarjetas de identificación.
ISO / IEC 7811 es un conjunto de nueve normas que van 7811-1 a 7811-9. Se especifican las técnicas de grabación de datos tradicionales que se utilizan en la banda magnética de las tarjetas ID-1 Identificación de formato.
ISO / IEC 7812-1 es una norma internacional que especifica una tarjeta de sistema de numeración para las tarjetas de identificación. Se utiliza para identificar una entidad emisora de la tarjeta, como un banco o NBFC.
“Repujado” es un proceso en el los números, letras, figuras, etc, son en relieve (es decir, moldeados o anhelado) en una tarjeta de identificación. ( Una troqueladora pequeñita especial usan los carders para poner las letras …)
Suma de comprobación es un solo dígito generalmente añadido al final de un número de tarjeta de crédito para verificar (validar) la autenticidad (legitimidad) de él.
Límite de crédito es la cantidad máxima hasta la cual una entidad de préstamos como un banco o NBFC puede prestar (dar) el dinero a sus clientes. Además, se divide en dos tipos principales, a saber., efectivo límite de retirada y el límite de crédito por transacción.
Límite de retirada de efectivo es la cantidad máxima de dinero que se puede retirar a través de una tarjeta de crédito.
Límite de crédito por transacción es el límite máximo establecido en las operaciones de crédito (de compras) que se pueden hacer a través de una tarjeta de crédito.
Por lo general, límite de retirada de efectivo es menor que el límite de transacción de crédito.
Bien una vez que ya nos ha quedado claro que todo tiene un principio vamos a profundizar ..
Créditos de las imágenes © Prof. Mudit Katyani.
El lado frontal de una tarjeta de crédito muestra detalles siguientes:
Logo de la entidad emisora.
Logo del procesador de pagos.
Holograma.
Fecha de vencimiento.
Nombre del titular.
Número de Tarjeta.
Cuenta número identificador individual.
Número identificador del emisor (IIN).
Microchip Embebido
Identificador de la industria mayor (MII).
Fecha de emisión
Número de identificación del Banco (BIN).
Logo del procesador de pagos.
Holograma.
Fecha de vencimiento.
Nombre del titular.
Número de Tarjeta.
Cuenta número identificador individual.
Número identificador del emisor (IIN).
Microchip Embebido
Identificador de la industria mayor (MII).
Fecha de emisión
Número de identificación del Banco (BIN).
La parte posterior de una tarjeta de crédito muestra los siguientes datos:
Código de seguridad (número de verificación de tarjeta).
Banda magnética.
Magnetic tracks ( Lo tienes en Wikipedia …. todo está en red, ya lo sabes ..)
Track 1
The Track 1 structure is specified as:
STX : Start sentinel “%”
FC : Format code “B” (The format described here. Format “A” is reserved for proprietary use.)
PAN : Primary Account Number, up to 19 digits
FS : Separator “^”
NM : Name, 2 to 26 characters (including separators, where appropriate, between surname, first name etc.)
FS : Separator “^”
ED : Expiration data, 4 digits or “^”
SC : Service code, 3 digits or “^”
DD : Discretionary data, balance of characters
ETX : End sentinel “?”
LRC : Longitudinal redundancy check, calculated according to ISO/IEC 7811-2
The maximum record length is 79 alphanumeric characters.
FC : Format code “B” (The format described here. Format “A” is reserved for proprietary use.)
PAN : Primary Account Number, up to 19 digits
FS : Separator “^”
NM : Name, 2 to 26 characters (including separators, where appropriate, between surname, first name etc.)
FS : Separator “^”
ED : Expiration data, 4 digits or “^”
SC : Service code, 3 digits or “^”
DD : Discretionary data, balance of characters
ETX : End sentinel “?”
LRC : Longitudinal redundancy check, calculated according to ISO/IEC 7811-2
The maximum record length is 79 alphanumeric characters.
Samples
%B6011898748579348^DOE/ JOHN ^37829821000123456789?
%B6011785948493759^DOE/JOHN L ^^^0000000 00998000000?
%B6011898748579348^DOE/ JOHN ^37829821000123456789?
%B6011785948493759^DOE/JOHN L ^^^0000000 00998000000?
El panel de firma.
Información adicional.
1. Logo de la entidad emisora
2. Logo del procesador de pago
Algunos procesadores de pago de tarjetas de crédito más importantes:
Visa,MasterCard,American Express (AMEX) y JCB
Visa,MasterCard,American Express (AMEX) y JCB
3. Holograma
Un Holograma es una imagen en 3D ya sea de un objeto, persona o algún símbolo especial que ha sido proyectado y capturado en una superficie plana 2D
4. Número de tarjeta
El Número de la tarjeta es un número largo y único asignado a una tarjeta de crédito. A menudo, es en relieve (en relieve) en la cara (front-side) de la tarjeta.
Por lo general, es de 16 dígitos de longitud y se puede ampliar hasta un límite máximo de 19(20) dígitos. Un número de tarjeta de ISO / IEC 7812-1 es típicamente dieciséis dígitos y se agrupan en cuatro grupos con cuatro dígitos en cada grupo.
Un sistema de numeración de la tarjeta ISO / IEC 7812-1 se compone de:
Identificador de la industria mayor (MII) valor del dígito,Número de identificación del Banco (BIN) ha sido sustituido con un número identificador emisor (IIN), Identificador de la cuenta individual, y Suma de comprobación o dígito de control.
5. Fecha de expiración
6. Nombre del titular
7. Microchip embebido
Sí, seguro que más seguras …
Situado generalmente en la parte frontal de una tarjeta de crédito.
Kit para empezar a aprender si quieres …
Tarjetas en blanco con el Microchip ya colocado y listo para la fase NEXT
8. Fecha de emisión
9. Banda magnética
Lo que tienes arriba unido a la programación de la banda magnética … Dicho todo no???
Parsing Track 1 and Track 2 can be done with Regular Expressions. Included here is just the Regular Expression for parsing Track 1.
Track 1
^%([A-Z])([0-9]{1,19})\^([^\^]{2,26})\^([0-9]{4}|\^)([0-9]{3}|\^)([^\?]+)\?$
This Regex will capture all of the important fields into the following groups:
- Group 1: Format Code
- Group 2: Primary account number (PAN)
- Group 3: Name
- Group 4: Expiration Date
- Group 5: Service Code
- Group 6: Discretionary data
10. Código de seguridad
El código de seguridad de la tarjeta es el nombre abreviado y diferente por las distintas empresas de procesamiento de pagos con tarjeta.
Visa, MasterCard, American Express y JCB llaman como CVV2, CVC2, CID, y CAV2, respectivamente.
CVV2 es una abreviatura de “tarjeta de valor de verificación de dos”.
CVC2 es una abreviatura de “código de validación de la tarjeta dos”.
CID para un “número de identificación de la tarjeta”.
CAV2 se puede ampliar como “valor de autenticación de dos cartas.
En el caso de Visa, MasterCard y JCB, código de seguridad de la tarjeta es un número de 3 dígitos y generalmente está impreso en la parte posterior o reverso de una tarjeta de crédito.
Sin embargo, en caso de American Express, que es un número de 4 dígitos que generalmente está impreso en la cara o lado frontal de una tarjeta de crédito.
Como observamos es mucho el trabajo que tienen que realizar estas “personas” para poder conseguir el fin … ahora solo pensar el ENORME BENEFICIO QUE LES DA simplemente por el hecho de que LO HACEN..
Partiendo de esta premisa se debo aclarar que todo esto NO ES ASUMIBLE por una sola persona, ni siendo chino … Esto necesita de una infraestructura .. y esta, está dividida en si misma, como en seguridad, SEGMENTADA…Es decir, el de “el plástico” en una mafia, el de “los hologramas” es otra, el de “las letras” es otra y el de “la banda magnética” son otros …
Por ejemplo, Para grabarte la banda magnética? Pues un skimmer normalito que tienes en … bueno, si sois listos sabéis donde venden todo …
.. y una vez reunido todo, lo montas tu, o directamente ni te molestes porque yo me iría a sitios como blogspot ya que todo ha ido hacia blogs alojados en Blogspot donde se va actualizando y la gente se entera via RSS o foros como ya os mostré …. Aquí se producen pujas, quien gana la puja, se lo lleva… Fácil no?
Pero por qué en blogspot ? Pues así evitas que vaya a por el Monster y te reviente tu negocio con un SQLi de libro por ejemplo o que no venga el ruso competidor de turno, te comas una botnet y “encima de puta pones la cama” como diría mi padre …
Esta imagen siguiente es de un sitio de pujas de tarjetas que está alojada en blogspot por ejemplo ….
PERO, PERO, PERO que pena penita pena que tienen una réplica que, o no han dado de “baja”, o no se acuerdan o se la han copiado, pero la cuestión es que la misma está fuera de blogspot..y es “buena” .. ;)
Y ya tienes todo listo para gastar sin parar e ir de “millonetis” por el mundo … llegas, eliges, pagas y a disfrutar como un”CiberDelincuenteCampeón”.. !!!
Puffffff, Joder que SED tengo.. Voy a ir a por “el Monster” de 500 ml (que es que tengo sed !! ) … Ya estamos, tanto trasto por el medio leche !! Si es que … entre el teclado y la silla está el eslabón más débil ( y torpe como yo) como dijo Sergio de los Santos.. Se me fue el dedo..
Espero que os haya gustado y nos vemos en la siguiente entrega, porque tengo que tener la documentación entera .. no solo dinero … ni pasaporte, coche … QUIERO MÁS !!!
Un saludo
Juan Carlos García
Live Free Or Die Hacking