https://mail.google.com/mail/u/0/?ui=2&ik=3ab76eea9c&view=att&th=1648a6d4d6c2fa40&attid=0.1&disp=safe&zw

LA GRAN ESTAFA ARGENTINA: VACÍAN TU CUENTA BANCARIA USANDO UNA BILLETERA VIRTUAL

Las estafas bancarias no son algo nuevo, desde las tarjetas clonadas hasta la ingeniería social, se puede decir que seguro que a uno mismo o a alguien alrededor le ha pasado. Ahora, una publicitaria contó paso a paso vía Twitter la pesadilla que sufrió durante horas para evitar que otros pasen por lo mismo.
Durante la mañana de ayer, la joven entró a su home banking para chequear si había entrado el pago de un trabajo y se da cuenta que le faltaba dinero. Específicamente, había 12 extracciones por cajero de $500 cada una que ella, de más está decir, no había realizado.
Lo primero que hizo, por supuesto, fue el “paso número 1 cuando te hackean la tarjeta”: llamar a la entidad que gestiona el servicio de su tarjeta de débito, Banelco (propiedad de Prisma Medios de Pago), para dar de baja la tarjeta. La usuaria estaba segura que le habían hackeado la tarjeta, pero la cosas resultaron más complicadas.
Luego, como quería entender que había pasado, se acercó a una sucursal de su banco (el Galicia), ubicada en el Microcentro porteño, para hacer el reclamo correspondiente pero no le explicaron qué pasó exactamente.
La tarjeta no fue clonada (porque ella no la usa) y por más que la tuvieran, era imposible que además hubieran conseguido el PIN y, además, la clave alfanumérica, explicó en sus tuits. Y si bien la tarjeta fue reemitida por el banco, el problema no paso por allí.
Entonces, ¿qué paso? La estafa se hizo a través de Todo Pago (TP), específicamente a través de una funcionalidad que permite retirar dinero en cajeros tan solo generando un PIN en la App del sistema.
¿Qué es Todo Pago? Una billetera virtual que permite centralizar todos los medios de pago que uno tiene para hacer compras sin sacar las tarjetas cada vez que uno realiza una compra. Y, también, retirar dinero.
¿Para qué sirve lo de sacar dinero? Si le tenés que pasar dinero a un familiar, le mandas un pin y con ese número retira dinero de un cajero. Solo había que ingresar a la App, cargar el DNI del destinatario (que podía ser uno mismo) y con el PIN generado retirar el dinero del cajero.
Para enlazar la cuenta de TP a una cuenta de banco basta con los números de la tarjeta de débito o una foto de ella. Y acá viene el problema: se puede linkear la tarjeta con cualquier cuenta, abierta con un mail falso, con tal de que los datos estén ok. Como cualquiera sabe, DNI y CUIT se consiguen con un sencillo googleo que no requiere demasiadas habilidades más allá de escribir en el buscador el nombre de la persona y “DNI” o “CUIT/CUIL”.
Si la usuaria hubiera tenido cuenta en TP, no hubiera pasado nada porque no se puede enlazar la misma tarjeta a dos cuentas diferentes, pero en este caso ella no la tenía.
Lo único que le faltaba hacer a los estafadores era abrir la App y generar el PIN para sacar de a 500 pesos (para que el sistema no les pida mayores datos). En el caso de la afectada, los retiros fueron en cajeros ubicados en la localidad de Lanús, provincia de Buenos Aires.
La falla de seguridad está en que cuando se enlaza la tarjeta de débito, no hay pasos extras mas allá de chequear que esté linkeada a otra cuenta de TP. Esto no ocurre con las tarjetas de crédito, más que nada las que no son procesadas por Prisma: para autorizarlas, el sistema tiene el paso de generar un consumo muy pequeño que uno luego debe verificar.

¿Cómo evitarlo?

La manera más sencilla es darse de alta de Todo Pago y linkear la tarjeta de débito con una cuenta, por más que luego no lo usemos. El servicio no tiene cargos extras. De cualquier manera, desde TP informaron, consultados por INFOTECHNOLOGY, que ya dieron de baja la funcionalidad de enviar dinero a través de la App vía PIN mientras están investigando cómo solucionar el punto ciego del sistema.
Además, hay que evitar dejar sola la tarjeta. Pero, como cualquier usuario sabe, la costumbre en la Argentina es dar la tarjeta y que la persona que cobra realice el pago. Esto sucede, más que nada, en restaurantes y bares, donde la tarjeta desaparece de nuestra vista por varios minutos, y es ahí donde pueden conseguir los datos que se necesitan para el fraude: número de tarjeta, vencimiento y los tres números de seguridad.
Y no, no es habitual en todos lados. Juan Roza, gerente de Relaciones Institucionales de Prisma, comenta que desde la empresa están intentando “un cambio cultural para que lleven el POS inalámbrico a la mesa y no se lleven la tarjeta y la identificación”. En Chile, por caso, el pago lo gestiona el comprador, el vendedor nunca toca la tarjeta.
El representante de Prisma menciona un dato adicional: el índice de fraude en la Argentina es el más bajo de la región, es menor al 0,5% de todas las transacciones. Señala también que la mayoría de cajeros son nuevos y que los del Banco Macro, por ejemplo, ya utilizan biometría para verificar la identidad. “Este año debiera empezarse con cajeros en la calle con lectores faciales”, agrega.
Acá está toda la historia:
infotechnolgoy

Estafa con una billetera virtual

Sebastián De Toma @sebadetoma
Una usuario de tuiter sufrió una estafa de miles de pesos. Una alerta temprana para evitar que le pase a otros.
  1. Bueno, acá estoy. Hoy estuve todo el día averiguando qué pasó con mi cuenta. Por qué me robaron plata. Y ahora ya lo sé. Quiero que no les pase a ustedes. Es medio largo esto, pero no es una pavada. Y tengo todo bien chequeado.
  2. Como ya saben, hoy entré a mi homebanking del Galicia para chequear si me habían pagado un freelo (obvio que no). Y veo DOCE extracciones por cajero de 500 pesos. Ningún detalle más que ese. 6 lucas.
  3. Lo primero que hice fue gritar y llorar, y dar de baja mi tarjeta de débito, por teléfono, en Banelco. 5 minutos. Perfectísimo. Después fui a mi sucursal de Galicia a hacer el reclamo y ver qué había pasado.
  4. Me atendieron MUY bien (porque mi sucursal es fantástica, tengo la de Callao, que no es como la de Villa Crespo). Pero no me dijeron información ni de la re emisión ni sobre en qué cajeros habían hecho las extracciones. Llenamos todos los papeles y me fui.
  5. Mientras hacía el trámite, le conté al muchacho que había visto que se había pedido una re-emisión de mi tarjeta de débito y en el banco no me supieron explicar por qué. "Te hackearon", fue la conclusión.
  6. Pero yo solo uso home banking en mi casa. ¿Cómo me habían hackeado? Seguramente entonces me habían clonado la tarjeta (aunque esto no explicaba la re emisión).
  7. No me la podrían haber clonado en un cajero porque hace meses y meses que no uso (porque soy muy ahorrativa, chicos). Y si me la clonaban en un restaurant, cómo sabían mi pin? Mi clave alfa numerica?
  8. Bueno, amigos, no pasó nada de eso. La re emisión fue default porque se me está por vencer la tarjeta, y para sacarme plata NO NECESITARON MI PIN NI CLONAR MI TARJETA. Quiero contarles cómo fue para que no les pase.
  9. ¿Conocen Todo Pago? Es una billetera virtual que les permite pagar cosas, y, entre otras funcionalidades, SACAR PLATA DE CAJEROS SIN TENER LA TARJETA, A TRAVES DE LA GENERACION DE UN PIN QUE SE HACE DESDE LA APP.
  10. Te sirve, por ejemplo, si tu pibe se queda sin plata, le mandás un pin, va a un cajero y saca sin problemas.
  11. Para poder linkear la cuenta de Todo Pago a una cuenta de banco SOLO NECESITAS UNA TARJETA DE DEBITO. O una FOTO de una tarjeta de débito, que la sacás con un celular en un segundo.
  12. Bajás la app, te registrás con cualquier mail y ponés los datos de la tarjeta de débito. Y eso es TODO lo que hay que hacer. Eso me hicieron a mí. Usaron los datos de mi tarjeta de débito con un mail trucho. Miren qué fácil es.
    Ver imagen en TwitterVer imagen en Twitter
  13. ero Elena, vos sos medio pelotuda? Cómo no te diste cuenta? Bueno, para empezar no me llegó ninguna notificación de que me había dado de alta, porque NO USARON MI MAIL, si bien LINKEARON LA TARJETA A MI CUENTA.
  14. Entré a mi homebanking a la parte de billetera virtual y descubrí que me habían linkeado mi tarjeta con este mail, que no es el mío.
    Ver imagen en Twitter
  15. Con todo linkeado, los cacos simplemente abren la app y generan PINs para sacar dea 500 pesos. En mi caso lo hicieron en dos cajeros de Lanús. (La app del banco Galicia me dio este dato que no me pudieron dar en el banco).
  16. Al parecer, cuando linkeás una tarjeta de débico ni Todo Pago ni el banco Galicia verifican que la tarjeta esté siendo linkeada a la cuenta de todo pago por el titular. Solo se fijan que sea una tarjeta válida que no esté linkeada a otra cuenta de Todo Pago.
  17. Para que quede más claro, si pagaste un café y le diste tu tarjeta de débito a alguien, le pueden sacar una foto y usarla para una cuenta de Todo Pago. Te vas a enterar cuando entres a tu home banking y veas esto (divino y fácil gracias al rediseño, amo)
    Ver imagen en Twitter
  18. Y si te pasa, entrás a "cuentas", billetera virtual y cuando trates de registrarte vas a ver que usaron otro mail pero que ya te registraron.
  19. Una manera de evitarlo es hacerte una cuenta en Todo Pago y que no te puedan usar la tarjeta para otra cuenta. Otra es que Todo Pago y los bancos tengan un mínimo protocolo de seguridad.