Author: PartyHack 2 minuto(s) de lectura


Los últimos acontecimientos que han afectado a la banca chilena han puesto el tema de la ciberseguridad como una prioridad, con la filtración de las 14 mil tarjetas de crédito las personas comunes entraron en pánico y comprendieron que los cibercriminales no discriminan entre los clientes y los bancos.

A continuación se expone una investigación realizada al principales Sistema de pago electrónico de Chile, para que cada cliente se informe que tan protegido o expuesto esta a la hora de comprar por internet.

Compras con tarjeta de Crédito y Débito.

Realizaremos una prueba de concepto (PoC), donde comparamos las exigencias del banco B y el banco C al momento de aprobar una transacción con Tarjeta de Crédito y el mismo ejercicio con una tarjeta de Débito ambas pruebas 100% reales con mis propias tarjetas como cliente. Su banco puede que cuente con un dispositivo Token RSA SecurID al que en nuestra prueba llamaremos Xpass de manera genérica. O es posible que cuente con una tarjeta de coordenadas o peor aun ninguno de los dos métodos para una segunda clave.

PoC 1 Transacción con Tarjeta de Crédito.

Banco “B”

PASO 1 Seleccionar Tarjeta de Crédito

Transaccion 1

PASO 2 Ingresar Numero de Tarjeta, Vencimiento, Código Verificación . Click en PAGAR

Transaccion 2

PASO 3 El Banco pide ingresar Banca, Rut y Clave de Internet. Click en PAGAR

Transaccion 3

PASO 4 El Banco pide ingresar los 6 dígitos del XPass

Transaccion 5

PASO 5 Transacción Aprobada !

Banco “C”

PASO 1 Seleccionar Tarjeta de Crédito

Transaccion 5

PASO 2 Ingresar Numero de Tarjeta, Vencimiento, Código Verificación . Click en PAGAR

Transaccion 6

PASO 3 Transacción Aprobada !

Como podrá apreciar, el Banco “C” tiene menos requisitos para aprobar la transacción, solo pide los datos de la Tarjeta, pese a que sus clientes cuentan con un XPass.

PoC 2: Transacción con Tarjeta de Débito.

Transacción con Tarjeta de Débito Banco “B”

PASO 1 Seleccionar Tarjeta de Débito

Transaccion 7

PASO 2 Ingresar RUT y Numero de Tarjeta Click en PAGAR

Transaccion 8

PASO 3 El Banco “B” pide ingresar Banca, Rut y Clave de Internet. Click en PAGAR

Transaccion 9

PASO 4 El Banco “B” pide ingresar los 6 dígitos del XPass

Transaccion 10

PASO 5 Transacción Aprobada !

Transacción con Tarjeta de Débito Banco “C”

PASO 1 Seleccionar Tarjeta de Débito

Transaccion 11

PASO 2 Ingresar RUT Click en PAGAR

Transaccion 12

PASO 3 El Banco “C” pide ingresar Clave de Internet. Click en PAGAR

Transaccion 13

PASO 4 El Banco “C” pide ingresar los 6 dígitos del XPass

Transaccion 14

PASO 5 Transacción Aprobada !

Esta vez el Banco“C” si solicita el uso del Xpass, pero solo pide ingresar el RUT. En otros pruebas observe bancos que solo piden el numero de Tarjeta, el cual es mas difícil de obtener. Aun así el ideal es solicitar ambos.

En esta prueba de concepto no se trata de decir cual banco es mejor o peor, se trata de identificar las mejores practicas para saber que pedir como clientes y el comercio electrónico pueda continuar creciendo en Chile de manera segura.

Nota: Después de la filtración de las 14mil tarjetas, el Banco C incorporo el uso de Xpass, lo cual mejora sustancialmente la seguridad y muestra que existe preocupación de mejorar los servicios a sus clientes.

Y tu banco usa segunda clave siempre?

Puede que también te interese

HTB - Talkative

Author: Nik0 11 minuto(s) de lectura

Introducción En este write up de la máquina Talkative, veremos temas como: Explotación del servicio Jamovi WebHook como vía de explotación/escalación ...[Leer más]

HTB - Validation

Author: Oscar Bravo 2 minuto(s) de lectura

Enumeración Al usar nmap utilizando nmap -sCV -A 10.10.11.116 solo encontramos que está abierto el 80 (web),22 (SSH),8080,4566 # Nmap 7.92 scan initiated We...[Leer más]