malware
Un cliente sostiene su dispositivo portátil sobre la terminal punto de venta (TPV), pero el pago contactless (sin contacto) no funciona. ¿La razón? Puede que el dispositivo esté dañado o que el chip del lector NFC tenga fallas, pero podría ser algo más: la TPV podría estar infectada con Prilex, un malware que busca de tarjetas bancarias capaz de bloquear transacciones sin contacto.
¿Qué es Prilex y por qué bloquea las transacciones NFC?
Prilex es un grupo de ciberdelincuentes que ha rastreado datos de tarjetas bancarias desde 2014 y que recientemente se ha centrado en ataques mediante terminales TPV. A finales del año pasado, nuestros expertos del equipo de análisis e investigación global de Kaspersky (GReAT) realizaron un estudio detallado sobre la evolución de este malware donde concluyeron que Prilex era uno de los primeros grupos que había aprendido a clonar transacciones con tarjetas de crédito, hasta las que están protegidas por tecnología de chip y PIN.
Prilex sigue evolucionando: al tiempo que investigaban un incidente, nuestros expertos descubrieron muestras nuevas de dicho malware. Una de sus novedades es poder bloquear transacciones mediante tecnología NFC, generando un identificador único válido para una sola transacción, algo que no parece muy atractivo para un estafador. Entonces, al evitar el pago sin contacto, los atacantes tratan de persuadir al cliente de colocar su tarjeta en el dispositivo.
¿Cómo infecta Prilex las TPV y por qué?
Según el informe de nuestro experto, mediante métodos de ingeniería social, los atacantes infectan la terminal. Usualmente tratan de convencer a los empleados del punto de venta de que necesitan urgentemente una actualización del software de la terminal y, para ello, se ofrecen a enviar un “especialista técnico” directo a la tienda o, al menos, piden acceder a distancia instalando el programa AnyDesk.
El grupo Prilex va por organizaciones dedicadas a la venta minoritaria; o sea, las que usan TPV. En concreto, centran su interés en los dispositivos que funcionan en los concurridos centros comerciales de las grandes ciudades, por donde miles de tarjetas pasan al día.
Prilex ha tenido actividad principalmente en la zona de Latam. No obstante, los ciberdelincuentes suelen tomar prestadas las herramientas de los demás, por lo que es posible que utilicen dicho malware para otras regiones. De hecho, existen pruebas de que este mismo malware (o al menos su tecnología) ha sido usada en Alemania.
¿Cómo cuidarte?
Si trabajas en una tienda y notas que tu TPV comienza a rechazar los pagos contactless, es buen momento para contactar con tu personal TI, como mínimo. Si el problema es de hardware, lo arreglarán y, si existe una infección, usarán la seguridad de la información o expertos externos para obtener ayuda.
En el caso de las empresas minoristas (en especial las grandes redes con muchas sucursales), es importante desarrollar una serie de regulaciones internas y explicar a todos los empleados cómo trabajan los equipos de soporte técnico y/o mantenimiento. Así, se podría evitar el acceso no autorizado a las TPV. Además, ampliar los conocimientos de los empleados sobre las últimas ciberamenazas siempre es buena idea: de esta forma, serán mucho menos susceptibles a los nuevos trucos de ingeniería social.
Consejos