|
|
|
CARDING
(Fraude Electrónico) |
1.
DESCRIPCIÓN
Bueno este articulo que vas a leer ahora es el resultado de un duro trabajo y el seguimiento de algunas lista de correo sobre el tema, al
inscribirme me interesaba la idea pero según iban pasando los días
me intereso mas
y mas, por lo que decidí profundizar en el tema, la primera parte que vas a
leer te puede resulta un poco aburrida, pero nunca te has preguntado,
Cómo se realizan las compras por Internet? Yo si, y me dispuse a buscar
información, bueno y aquí esta. Es una información técnica y puede que en
algunos casos se te haga pesada, pero esta enfocada desde el punto de vista de
la seguridad obviando otros temas necesarios en las comunicaciones que no nos
interesan. En la segunda parte podrás encontrar información para hacer carding
pero para saber correr antes hay que saber andar.
[...]
2.
INTRODUCCIÓN
El salto del milenio apunta hacia nuevos hábitos de consumo. El consumidor del siglo XXI
busca la comodidad en sus compras. Los estudios
sobre el comercio electrónico (e-commerce), oscilan que, según la prestigiosa
Forrester Research (www.forrester.com) crezca de los 121 millones de dólares
de 1997 a los 3800 en el 2002, solo en EE.UU. Entonces porque no intentar
sacar algo de provecho nosotros ciudadanos de a pie?
El contra-reembolso, es un medio perfecto para el usuario, aunque claro hemos evolucionado desde el rudimentario trueque, hasta la moderna
plástica (pasando por los metales preciosos y el papel moneda),...., contra-reembolso,... para finalmente llegar al comercio
electrónico, en todos los sistemas ha habido formas de engañar y sacar partido, quien ha dicho que en
este ultimo no?
Como es bien conocido, los medios de pago tradicionales sufren numerosos problemas de seguridad:
falsificación de billetes, falsificación de firmas, cheques sin fondo, etc. Por otro lado, los medios de pago
electrónicos, además de estar sujetos a los mismos problemas anteriores, presentan riesgos
adicionales, pues a diferencia del papel, los documentos digitales pueden ser
copiados perfectamente y cuantas veces se desee, las firmas digitales pueden
ser falsificadas por cualquiera que conozca la clave privada del firmante, la
identidad de una persona puede ser asociada de forma inequívoca con la
información relacionada en cada pago, etc.
Las tarjetas de crédito son el instrumento mas utilizado en el comercio electrónico. Supone un cobro
rápido para el vendedor a cambio de una pequeña comisión. Además de que todo el mundo tiene una,
o la gran mayoría la tiene..., se están convirtiendo en parte importante de nuestra vida, no salimos sin ellas.
Me voy a centrar en que el pago se ordena a través de Internet, mientras que la
validación y realización efectiva, se realiza a través de los circuitos normales que las entidades poseen a tal efecto, de forma
independiente de si la transacción ha sido ordenada desde Internet o no.
Aquí pongo los sistemas que mas se utilizan en Internet. Me dejo cosas
como el SET pero eso será para otro articulo ya que me parece un tema muy
interesante.
2.1.
TIPOS DE PAGO
Los dos sistemas clásicos por excelencia de pago no efectivo son los cheques convencionales y las tarjetas de
crédito. En el sistema financiero, el dinero toma forma de entrada en los libros de los bancos y de otras
instituciones financieras. Esto para el usuario se refleja en la existencia
de una cuenta deposito en la que se graban los depósitos del cliente y se
realizan pagos en forma de cheques o transferencias.
Un cheque es un documento escrito por el usuario de la cuenta y autentificado por el mismo que se entrega a un comerciante, quien a su vez
lo acepta antes de presentarlo en su banco. Si el banco cobrador y el del
vendedor son los mismos, todo se reduce a una compensación interna de apuntes.
Si por le contrario, ambos disponen de cuentas en bancos distintos, el banco
cobrador deberá presentar el cheque y recoger los fondos a través
de un sistema de ajuste o cámara de compensación ACH (Automatic Clearing
House). Esta cámara puede pertenecer al estado, por ejemplo, al banco emisor de la
moneda, o tratarse de un sistema intermediario privado, como VisaNet ACH
Service. En el momento de la entrega del cheque, el cobrador no sabe si este
se encuentra respaldado por fondos por lo que corre cierto riesgo. Pero los
pagadores también asumen determinados riesgos frente a la posible existencia
de cheques falsos ya que reciben los extractos de las cuentas después
de pagar sin confirmación previa al pago.
Otra alternativa es la utilización de un sistema de crédito, como una tarjeta o un servicio bancario de adelantos de descubiertos. EL comerciante se asegura el pago y el emisor asume la responsabilidad del cobro. El ajuste
se realiza entonces cuando el comerciante envía un lote de autorizaciones a su banco entre este y el banco emisor de la tarjeta.
Existen dos tipos de operaciones con tarjeta de crédito que suponen distinto balance de riesgo en
función de si la tarjeta se encuentra presente o no.
En el primer caso,
la tarjeta presente, todo el riesgo del crédito pasa al comerciante. En estos casos el comerciante puede verificar la
firma del titular comparando la que este imprime en el recibo con la que aparece en la tarjeta. Por ello,
será responsabilidad suya si se hace uso fraudulento de la tarjeta de un tercero. La integridad de la
transacción queda garantizada para el cliente mediante un papel-copia del recibo. El nombre de
la cuenta se autentifica a través del numero de la tarjeta y la transacción
puede ser confirmada enviando los datos por medio de una red privada de la
asociación.
En el segundo caso, la tarjeta no presente, el consumidor asume cierta parte (peque¤a) del riesgo ante un posible fraude ya que es responsabilidad suya proteger el numero de tarjeta, debido a que este es el único medio de
identificación del pagador en la transacción ( como mucho se podrá
pedir la fecha de caducidad y dirección y comprobarlas). Este es el
sistema empleado en los pedidos por teléfono o Internet (en pedidos como
correo o fax, aun se cuenta con la firma del titular como medio de no
repudiación, que no de autentificación). Por ello, dado que nada impide que
se pueda colocar un sniffer (programa que monitoriza todos los datos que pasan
por cierto ordenador) en la red, los números de tarjeta deben viajar encriptados por la red.
Hay diferencia entre el uso de cheques y de tarjetas. Un pago mediante cheques supone dinero pagado para el consumidor, que
asumirá todos los inconvenientes derivados de una falla del comerciante. SIn embargo, si se
paga con tarjeta se puede pedir la restitución del importe. EL problema pasa
a ser del banco emisor de la tarjeta, que deberá pedir cuentas al del
comerciante.
Considerando que el ciber-espacio no pueden ser iguales las transacciones que de la forma
clásica se deben tener en cuenta:
.::
Seguridad :
La criptografía moderna proporciona complejos mecanismos matemáticos que evitan el fraude. Por otro lado, la seguridad es un tema
complejo que involucra muchos otros factores: protocolos, estándares,
autoridades de certificación, etc.
.::
Verificación
de la autorización de las transacciones :
Para evitar fraudes. En el modelo clásico esta verificación se hace mediante firmas en tarjetas de
crédito o en cheques, en el mundo electrónico se suelen usar aunque no siempre las firmas digitales.
.::
Confidencialidad :
Ciertos datos intercambiados durante una transacción de pago necesitan ser ocultados a la vista de todo el mundo salvo
para el agente al que van destinados dichos datos. La confidencialidad es normalmente garantizada mediante el cifrado de datos.
Sin embargo, esta cuestión está resultando ser un problema en la mayoría
de los países debido a las restricciones impuestas por los diferentes gobiernos
para utilizar algoritmos criptográficos de cifrado de datos con un alto nivel
de seguridad. En algunos países ( Francia) el cifrado de datos está
absolutamente prohibido sin el permiso de la oficina gubernamental correspondiente y
normalmente sin el depósito previo de las claves de cifrado en dicha oficina.
En otros países (EE.UU.) se restringe la utilización de estos algoritmos al
territorio nacional, debiendo utilizar una versión mermada del algoritmo si se
quiere utilizar más allá de sus fronteras.
También
el uso de la confidencialidad no solo para proteger los números y campos claves sino
la privacidad del usuario, ocultando incluso a los ojos de los intermediarios.
.::
Garantía de la integridad de las ordenes :
Con el fin de evitar abusos por parte de los comerciantes. En el sistema habitual se emplean papeles
especiales, en el mundo electrónico se emplearan certificados digitales, descripciones encriptadas del
intermediario, y se utilizaran recibos digitales.
.::
Integridad
:
Otro aspecto importante en todo sistema de pago electrónico es la integridad de los datos intercambiados entre los agentes del
sistema, sobre todo cuando esos datos se refieren a importes de un pago, a un
número de cuenta bancaria, etc. La integridad de las comunicaciones es
garantizada mediante códigos de autenticación de mensajes (MACs), funciones
resumen y firmas digitales. En el caso de la relación cliente-comercio, esto
sólo es posible cuando el cliente está en posesión de un dispositivo con
capacidad de cálculo y de almacenamiento seguro de claves, como es el caso de
una tarjeta inteligente. As¡ por ejemplo, las claves criptográficas de clientes y comercios suelen
almacenarse en tarjetas inteligentes y módulos de seguridad (SAMs) respectivamente. Los datos en los servidores de las entidades financieras que intervienen en el sistema de pago de son almacenados en
búnkers de seguridad que normalmente se encuentran duplicados para evitar las posibles pérdidas de
información como consecuencia de posibles fallos.
.::
Ajuste de cuentas
:
Se
recurría a las redes financieras clásicas.
.::
Autentificación
:
En todo sistema de pago los participantes del
sistema deben demostrar que son los que dicen ser. Para evitar los fraudes.
En el caso de tarjetas inteligentes (con microprocesador, dotadas por
tanto de una capacidad de cálculo) esto se realiza mediante algún protocolo
criptográfico de autenticación, mientras que en el caso de tarjetas con banda
magnética, se realiza mediante una verificación visual de ciertos datos
grabados en la superficie de la tarjeta (hologramas, firmas, etc.). En los sistemas basados en tarjetas, se suele verificar también la
asociación correcta de la tarjeta con su poseedor (Titular de la cuenta
asociada a la tarjeta). Esto se realiza normalmente a través de números de
identificación personal (PIN). Lo mismo ocurre en los sistemas de pago a
través de redes donde se necesita una autenticación de la persona física
que utiliza en un instante determinado el sistema.
.::
Confirmación de la transacción
:
Para evitar que nadie suplante
nuestra personalidad.
.::
Anonimato :
Si una persona realiza un viaje en un medio de locomoción no privado, y paga en efectivo no hay forma de
monitorizarle, pero si en cambio paga con una tarjeta de crédito, (quien quiera ver un ejemplo practico
que se lea "El Informe Pelicano"). Pero si lo paga con tarjeta de crédito
puede ser posible reconstruir su recorrido, e incluso los sitios por donde ha
pasado y pagado con su tarjeta. Esto mismo ocurre con todo tipo de compras.
No obstante, el anonimato constituye sin duda uno de los aspectos
más polémicos de estos sistemas, ya que mientras para unos sería base irrenunciable de la libertad económica y el derecho a la intimidad, para otros
podría constituir una puerta abierta a la delincuencia y el blanqueo de dinero.
.::
Independencia
:
El uso de dinero digital no
debería estar restringido a una red, organización o país concreto, sino que
debería ser independiente de esas limitaciones y fácilmente utilizable desde cualquier punto del planeta.
Aquí
una peque¤a descripción de los medios de pago, no voy a entretenerme
mucho con ellos ya que se podría hablar bastante:
2.2.
CIFRADO DE DATOS
Tenemos que tener en cuenta que nuestro dinero viaja por la red y cualquiera puede tener acceso a ello, por lo que
será básico que nuestras transacciones vayan encriptadas. Internet en un medio
básicamente inseguro por lo que las medidas de seguridad deben ser altas.
La mayor parte de protocolos que utilizan los siguientes sistemas
utilizan algoritmos criptográficos de clave pública (RSA), de clave secreta
(DES), o ambos a la vez, para cifrar todos los datos importantes, de forma que
s¢lo puedan ser accesibles a las partes involucradas en las operaciones, y
todos ellos tienen buen cuidado en que su empleo sea absolutamente para el
usuario.
Aunque puedas pensar que el cifrado sea absolutamente necesario, no utilizaba ninguna clase de cifrado, se basaba en el uso del correo
electrónico El sistema de pagos de First Virtual ha sido retirado recientemente de este
mercado, pese a haber sido uno de sus pioneros.
3.
TIPOS DE PROTOCOLOS
3.1.
CHEQUES
ELECTRÓNICOS FSTC (Financial Services Technology Consortium)
El pagador debe contar contar con un procesador seguro, que se implementa en forma de tarjeta inteligente.
Este procesador es el encargado de generar los cheques que consisten, simplemente en ordenes de pago firmadas digitalmente. Los cheques se trasmiten
al comerciante que también los acepta firmándolos, también digitalmente y los
envía al banco, que los hará efectivos a través de la una red ACH clásica.
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³
Esquema de funcionamiento de cheques FSTC
³
³
®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯
³
³
³
³
³
³
³
³ Pagador Ä-Ä> Cueque
³
³
Firma Pagador
³
³
Certificado Kpp ÄÄ--> Cobrador Ä--> Cheque
³
³
Firma pagador
³
³
Certificad Kpp ³
³
Firma Cobrador ³
³
Certificado Kpc ³
³
³
³
³
³
³
³ Banco Cobrador <-Ä ACH Ä--> Banco pagador <-ÄÄÄÄÙ
³
³
³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
3.2. FIRST VIRTUAL (FV)
Fue uno de los primeros en aparecer con al peculiaridad de no hacer uso de la
criptografía. Un consumidor que desee hacer uso del sistema primero
debe registrarse en el mismo, tras lo que obtiene un Virtual PIN, ID o
identificador de First Virtual. Para ello debe de enviar un numero de tarjeta
de crédito, VISA o MasterCard, por medio off-line, como teléfono o fax. Una
vez registrado, quiera hacer una compra a un comerciante o acceder a
información restringida en un servidor que emplee el sistema.
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³
Esquema del sistema First Virtual
³
³
®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯
³
³
³
³ PAGADOR
Virtual Pin (1) ÄÄÄÄÄÄÄÄ--> PAGADO <-ÄÄÄÄÄÄÄÄÄÄ¿
³
³ / \ <-ÄÄÄÄÄÄÄÄ (4) informacion
/ \
³ ³
³ ³
³
³ ³
³ ³
³
³ ³
³ |
³
³ ³
³ Quieres
|
| ³
³ pagar?
Solicitud (2) Respuesta ³
³ (5) Ä-->ÄÄÄÄÄ-<-Ä- FIRST -->ÄÄÄÄÄ--ÄÄÄ-<--Autorizacion
(3) ³
³ Respuesta
VIRTUAL ->ÄÄÄÄÄ--ÄÄÄ-<-ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
³
³
|
³
³
³
³
³
³ (7)
³
³
\ /
³
³ BANCO PAGADOR <ÄÄÄÄÄ-- ACH ÄÄÄÄÄÄÄ-->BANCO COBRADOR
³
³
³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
Para obtenerlo recibiremos un mail con una clave de doce
dígitos, y un numero de teléfono donde confirmarlo. Mantener un PIN cuesta 5
dólares al a¤o aproximadamente. Como vemos los datos se envían por un medio off-line.
Le bastara presentar su Virtual PIN al mismo. El comerciante se conectara a un servidor FV para comprobar si es correcto, y de ser
así, enviara la mercancía o dará paso libre a la información.
Para realizar un pago al comerciante, First Virtual, envía un e-mail la
consumidor en el que le indica la operación y le pregunta si desea paga o no.
El consumidor puede responder "yes", "no", "fraud". Mediante este sistema
el comerciante no llega nunca a saber el numero de tarjeta del consumidor, ni
llega nunca a viajar por la red.
El protocolo de validación de FV es el mas lento de todos los medio de pagos
electrónicos, no hace uso de la criptografía lo que da al usuario una
falsa sensación de seguridad , si se dota de anonimicidad al usuario frente al
comerciante.
3.3. CYBERCASH: C-5
Es uno de los medios de pago electrónicos pioneros. La empresa fue creada en 1994 y el sistema CyberCash se encuentra operativo desde abril de
1995. Se trata de un sistema integrado con el WWW que utiliza un protocolo
propio manejado por un software que debe ser distribuido tanto a comerciantes
como a consumidores. Constituye una pasarela entre Internet y las redes de
autorización de emisores de tarjetas, contando para ello con la experiencia
ganada con el sistema Verifone, de autorización de tarjetas por teléfono, del
cual deriva. El consumidor cuenta con un software "wallet", o monedero que
puede ligar a varias cuentas bancarias o a las tarjetas de crédito. El
software encripta todos los datos, realiza un registro de todas las
transacciones y se encuentra protegido mediante contraseña. En el lado del
comerciante se sitúa un software similar.
Cuando un usuario baja el
software de CyberCash, genera un par de claves publica, Kp, y privada, Ks para el. El sistema empleado es RSA de 1024 bits.
A continuación envía Kp al servidor de CyberCash que almacena en una base de
datos. De esta forma solo CyberCash sabe las claves publicas de todos los
interlocutores posibles. La comunicación entre consumidor y comerciante se
lleva a cabo en claro, mientras que la comunicación de estos con CyberCash se
realiza de forma protegida. Para ello se emplea una clave de sesión
DES aleatoria de 56 bits que se distribuye encriptada con la llave publica del
interlocutor. CyberCash tiene incrustada su propia llave publica en el
software por lo que cualquiera puede comunicarse con el. Un dato importante es
que al clave DES es de 56 bits cuando por las leyes de la legislación
americana antes fijaban un máximo de 40 bits, y es que CyberCash consiguió
un permiso especial.
La transacción se lleva a cabo de la siguiente manera:
1.- El cliente selecciona
un ítem a adquirir mediante WWW y elabora un pedido.
2.-El software del comerciante
envía "la facturas proforma" al software " wallet". La factura
proforma es texto en claro, firmado digitalmente en el que figura una
descripción de la compra así como las tarjetas de crédito aceptadas. Para la
realización de firmas digitales se emplean funciones hash MD5 y claves secretas RSA. A su
recepción, el software "wallet" da a elegir al usuario entre aquellas tarjetas que tiene registradas
y le pide autorización para realizar el pago.
3.- Previa
confirmación del usuario, el software "wallet" del cliente genera un mensaje de pago y lo
envía la comerciante. Este mensaje consiste en un hashing de la factura junto con las
instrucciones de pago, todo ello firmado digitalmente y encriptado para CyberCash.
4.- A la
recepción del mensaje, el comerciante, que no puede descifrarlo
simplemente añade la información al pedido (también firmada digitalmente) y lo remite a CyberCash.
5- CyberCash desencripta y compara los dos mensajes. Si
coinciden los datos, solicita confirmación, y a través de la red financiera y
trasmite la respuesta al comerciante para que este pueda cerrar la transacción
con el cliente.
Todo este proceso se lleva a cabo en un periodo de tiempo inferior a un minuto. El proceso descrito es el caso mas habitual, no obstante, el protocolo
CyberCash es mucho mas complejo y contempla la posibilidad de
reintegros, anulaciones y solicitud de estado. Una versión antigua se puede encontrar en
Internet en forma RFC.
Respecto a la protección del consumidor cabe destacar que, al encriptarse la orden de pago para CyberCash y no para el comerciante este no
ve el numero de la tarjeta de crédito lo que unido al hecho de que se
comprueba la descripción de la compra, impide el abuso por parte de los
comerciantes. En lo referente a la privacidad, aunque CyberCash tiene acceso
a la descripción de la compra, esta no tiene porque incluir los detalles de la
compra, puede constar como dato la referencia y el tipo solamente. De este
modo el comerciante no ve al tarjeta y CyberCash no ve el producto. Sin
embargo este sistema es susceptible a ataques de trafico, es decir del tipo
"detecto que Fedez se conecta mucho al servidor de Playboy" (Saluda
Fedez, que ya eres famosos en Inet) :o)
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
³
Esquema de funcionamiento Cybercash
³
³ ®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯®®¯¯
³
³
ÚÄÄÄÄÄÄ¿ ³
³ ÚÄÄÄÄÄÄÄ¿
Solicitud (1) --------------------> ³ ³
³
³ ³ ³ <------------ (2) Factura proforma
³PAGADO³ ³
³ ³PAGADOR³
Datos pedidos tarjeta (3)---------> ³ ³
³
³ ³ ³ <------------ (5) Respuestas
ÀÄÄÄÄÂÄÙ ³
³ ÀÄÄÄÄÄÄÄÙ
/ \ ³ ³
³
ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ ³
³
³
³
³ ³
³
Respuesta (5)
³ ³
³
³
³ ³
³
³ Solicitud
³ ³
³
ÚÄÄÄÄÄÁÄÄÄ¿<-ÄÄÄ- autorizacionÄÄÄÄÄÄÙ
³
³
³CYBERCASH³ (4)
³
³==============================³
³=================================³
³
³ GATEWAY ³
³
³
ÀÄÄÄÂÄÄÄÄÄÙ
³
³
³
³
³
| Respuesta (5)
³
³
\ /
³
³ BANCO PAGADOR <-ÄÄÄÄÄ-ACHÄÄÄÄÄÄÄÄÄÄ-->BANCO COBRADOR
³
³
³
ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
3.4. DIGICASH
Otro sistema es Digicash, la diferencia con CyberCash, radica en que es un sistema de pago anticipado, donde se adquiere previamente el dinero del
banco y se almacena digitalmente en el software del comprador. Este sistema
permite la compra anónima ya que no requiere autentificación
3.5. VIRTU@L CASH
También existe Virtu@l cash, de Banesto, para poder usarla hay que tener
una cuenta en Banesto. Trabaja en un servidor seguro, certificado por la RSA.
La tarjeta Virtu@lCash es una tarjeta de debito, de manera que el importe de la compra se adeuda en la cuenta asociada en el momento de realizarse la
operación. La Tarjeta podrá ser utilizada, exclusivamente a través
de los comercios adheridos a este sistema de pago, limitándose los importes de las
compras al saldo disponible en la cuenta asociada a la tarjeta y a un máximo
diario preestablecido.
Respecto a la seguridad. El sistema se basa en el servicio de Comercio
electrónico de Banesto apoyado en una infraestructura de seguridad, dispone
de un servidor seguro y ha obtenido el certificado electrónico RSA que permite
que las comunicaciones se realicen de forma cifrada.
Asimismo, para poder asociarse a este servicio se exige a todos sus socios, que lleven a cabo proyectos de comercio
electrónico, el empleo de servidores seguros; además de disponer de medidas adicionales de seguridad
tales como cortafuegos.
En el momento del Pago, el usuario introduce los datos de su tarjeta y su Numero de
Identificación Personal, que solo el conoce, la transacción viaja encriptada por la red y el pago se lleva a cabo en modalidad
On-line contra el saldo disponible en la cuenta.
3.6. SSL
Cuando encargamos algo desde un formulario desde nuestro navegador, que cualquiera puede hacer con unos conocimientos de HTML, hacemos una
invitación a que cualquiera pueda acceder a nuestros datos ya que esta
información viaja por la red hasta que llega al destino, para evitar, que esa
información no sea presa de sniffers, ni amigos de los ajeno :o) Te encuentras tu
ahí? Se utilizan servidores seguros SSL.
El SSL es un conjunto de protocolos creados por Netscape que proporciona sesiones de
comunicación encriptadas, autentificación del servidor, de los mensajes, y opcionalmente de los clientes. Esta compuesto por dos capas:
SSL Record Protocol, encargado de encapsular protocolos de bajo nivel y la SSH
Handshake Protocol que permite autentificarse y negociar los algoritmos de
encriptación. SSL es independiente de los protocolos y capacita al programador
para realizar un desarrollo transparente por encima de la capa TCP/IP.
Los servidores seguros SSL los podremos notar porque en al esquina inferior izquierda cambia a una llave cerrada en el caso de netscape. En la
url, cambia de Http:// a Https:// (Hipertext Transport Protocol Secure). EL
gobierno americano permite un cifrado de 128 bits.
Aunque claro "La seguridad es solo un estado mental". También el SSL tiene problemas de seguridad,
el 26 de junio de este a¤o Murray Hill, informático de Lucent Technologres hizo publica la manera de acceder
a esa información y obtener el numero de tarjeta y datos críticos de la
transacción.
El ataque es posible pero poco probable. La vulnerabilidad no se produce sobre el SSL, sino sobre PKCS, (Public Key Cryptografhy
Standard) encargado del intercambio de llaves en SSL.
El ataque consiste en mandar mensajes cuidadosamente construidos contra el servidor seguro que produzcan sendos mensajes de error de vuelta, a partir
de cuya información se puede sacar la llave critica para seguridad.
Se necesitan en torno a un millón de mensajes hecho que debe llamar la atención
del administrador del sistema.
Bueno
hasta hasta aquí llego la primera parte del Carding, en si ya tienen
que tener una idea de como funciona esto de las compras electrónicas,
en la próxima actualización viene lo groso así que no desesperen...
_______________________________________________________________________________
¦Fraude
Electrónico¦CaRdInG¦La Guía Definitiva¦RAREGAZZ¦Año II¦Número
XV¦11/'98¦por PaTa¦
¦Adaptado,
corregido y completado por L!mP:Derechos Reservdos Hack Enterprise¦E-Zine
RGzz¦
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
|
|
|
ESTADISTICA |
| |
[ Mi @ ]
|
|
| |
|
NOTICIAS |
| |
Hack
Enterprise llego a la Internet, con su escasa y cuarta version (0.4)
que denomine humildemente "que
seguimos haciendo... se leyendo y leyendo..."
_______________
Debido
a que GALEON.COM es una mierda, si, una completa mierda con todas las letras, la web se
mudo, como podrán ver a otro servidor con muchos mas recursos,
bah muchos mas recursos es solo un decir, en fin...: Mi@RROBA.COM.
_______________
Che
agregue ese tagboard espero que escriban un par de giladas...
_______________
Se
expusieron las secciones de Phreaking, Virii, Exploits, Solaris
y Lasitudes (ehhh para la gente del campo, son vulnerabilidades ¬¬).
_______________
Loko
saludos para la gilada q me conoce leo, recal, petaquita, melga,
tsubasa, gustavete, marco, chicho, matias, caldera, gordi, rolfi,
strica, lea, pelado, braun, chanis, eri, mariam, flo, colo, y para los q me olvide...
_______________
Ea...
tenemos cuenta de email en ZZN si tenes dudas etc etc manda los
email a:
hacke@hackenterprise
.zzn.com
webmaster@hackenterprise
.zzn.com
________________
Obtene
tu propia cuenta!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Solo
clikea :
A C A :
|
|
| |
|
