Un cliente sostiene su dispositivo portátil sobre el terminal punto de venta (TPV), pero el pago sin contacto no funciona. ¿Por qué? Puede que el dispositivo en sí esté dañado o que el chip del lector NFC esté fallando, pero podría ser otra cosa: el TPV podría estar infectado con Prilex, un malware en busca de tarjetas bancarias que ahora puede bloquear transacciones sin contacto.
¿Qué es Prilex y por qué bloquea las transacciones NFC?
Prilex es un grupo de ciberdelincuentes que lleva rastreando datos de tarjetas bancarias desde el 2014 y que últimamente se ha centrado en ataques a través de terminales TPV. A finales del año pasado, nuestros expertos del equipo de análisis e investigación global de Kaspersky (GReAT) realizaron un estudio detallado sobre la evolución de este malware en el que concluyeron que Prilex era uno de los primeros grupos que había aprendido a clonar transacciones con tarjetas de crédito, incluso aquellas protegidas por tecnología de chip y PIN.
Pero Prilex sigue evolucionando: mientras investigaban un incidente, nuestros expertos descubrieron nuevas muestras de este malware. Una de sus novedades es su capacidad para bloquear transacciones mediante la tecnología NFC, que pueden generar un identificador único válido para una sola transacción, algo que no resulta demasiado atractivo para un estafador. Entonces, al evitar el pago sin contacto, los atacantes intentan convencer al cliente de que coloque la tarjeta en el dispositivo.
¿Cómo infecta Prilex los TPV y qué busca?
Según el informe de nuestro experto, los atacantes utilizan métodos de ingeniería social para infectar un terminal. Normalmente intentan convencer a los empleados del punto de venta de que necesitan actualizar urgentemente el software del terminal y, para ello, se ofrecen a enviar un “especialista técnico” directamente a la tienda o, al menos, solicitan acceso remoto instalando el programa AnyDesk.
El grupo Prilex anda detrás de las organizaciones dedicadas a la venta al por menor; es decir, las que usan TPV. En concreto, centran su interés en los dispositivos que funcionan en los concurridos centros comerciales de las grandes ciudades, por donde pasan miles de tarjetas al día.
La actividad de Prilex se ha observado principalmente en la región de LatAm. Sin embargo, a menudo los ciberdelincuentes toman prestadas las herramientas de los demás, por lo que es posible que se utilice este mismo malware en otras regiones. De hecho, ya hay pruebas de que este mismo malware (o al menos la tecnología) ya se haya utilizado en Alemania.
¿Cómo protegerte?
Si trabajas en una tienda y percibes que el TPV ha comenzado a rechazar los pagos sin contacto, esta es una buena razón para contactar con tu personal TI, como mínimo. Si el problema es el hardware, lo arreglarán y, si hay una infección, utilizarán la seguridad de la información o expertos externos para obtener ayuda.
En el caso de las empresas minoristas (especialmente las grandes redes con muchas sucursales), es importante desarrollar una serie de regulaciones internas y explicar a todos los empleados cómo trabajan los equipos de soporte técnico y/o mantenimiento. De esta forma, se debería al menos evitar el acceso no autorizado a los TPV. Además, siempre es una buena idea ampliar los conocimientos de los empleados sobre las últimas ciberamenazas: de esta forma, serán mucho menos susceptibles a los nuevos trucos de ingeniería social.