Hoy es uno de esos días en los que toca hacer un post sobre hackeo, y de nuevo vamos a adentrarnos en el maravilloso, estimulante e intelectualmente prometedor mundo financiero, porque considero que es, de lejos, el más interesante para el conocimiento de técnicas de hackeo permanentemente actualizadas.
Veamos por qué:
En otros post sobre hacking, aquí en SOMOS BINARIOS, hemos tratado fórmulas de creación de cuentas bancarias paralelas, invisibles y anti-embargos (aquí el enlace al post), así como hemos aprendido a hackear WhatsApp y cualquier actividad de un teléfono móvil Android, desde sus llamadas a mensajes y ubicación, activando a distancia el GPS del teléfono (aquí el enlace al post).
Hoy le toca el turno a las tarjetas prepago, más conocidas como tarjetas-regalo que muchas compañías dan a sus clientes, empleados, ganadores de premios y concursos etc… pero que no permiten sacar el dinero que tienen precargado, sino que sólo pueden emplearse para comprar artículos o servicios (generalmente en comercios adheridos a una determinada promoción), de manera que el “regalo” se convierte en un “consuma usted aquí y sólo aquí, por el importe que viene preconfigurado en la tarjeta”.
Es un modo de fidelizar a la clientela, así como una forma de no desembolsar el dinero del premio o del regalo que supuestamente se hace. Técnicamente hablando, en efecto, nos están concediendo un galardón en metálico, pero de facto, es una forma de no darnos ese dinero sino una especie de cheque digital a emplearse sólo en determinados comercios, por lo general, los que aparecen como sponsors en la propia tarjeta.
En fin… ¿Qué os voy a decir que no os imaginéis ya?. Hecha la norma, servida la trampa. O, mejor expresado en términos de ingeniería inversa: Allí donde haya un sistema complejo, más susceptible será de que tenga puertas traseras que aprovechar. Encontrarlas, conocerlas y, potencialmente explotarlas, se llama hacking.
Lo primero que debemos entender de estas tarjetas de crédito (cuya extracción de dinero en efectivo está anulada) es que dicha anulación sólo es operativa para cajeros automáticos. Es decir, pese a contar con su correspondiente chip o banda magnética donde han sido grabados los datos de la cuantía disponible en la tarjeta, dicho dispositivo no admite ser leído ni operado desde un cajero automático. De manera que es una tarjeta “ciega” de la que no se puede extraer el efectivo.
Pero por supuesto tiene su propio punto débil y su puerta trasera en su escasa versatilidad: Como sólo puede ser empleada como medio de pago en un comercio, cualquier Terminal Punto de Venta con capacidad de cobro por tarjeta de crédito o débito, puede “cobrar” o extraer ese dinero y convertirlo en efectivo en una cuenta bancaria convencional.
De manera que, una vez comprendida su dinámica, ya es bien sencillo emular ese Terminal Punto de Venta y simular el cobro por parte de un comercio. Es tan simple que hay varias fórmulas para hacernos con el dinero contante y sonante que esconde la tarjeta, engañando al sistema de pago que hay detrás de la misma. Algunas de estas fórmulas son más técnicas, otras menos elegantes y más “rústicas” pero todas son igual de efectivas porque terminan alcanzando el objetivo: Hacernos con el dinero en metálico que la tarjeta-regalo no nos quiere dar.
FÓRMULA 1 (la menos elegante): Es sencilla. Acudir a un amigo que tenga un comercio, un bar, una cafetería o cualquier negocio con cobro por tarjeta de crédito y llegar a un sencillo acuerdo con él. Pasar la tarjeta y que se cobre todo el importe precargado en la misma. Ese dinero irá en el acto a su cuenta bancaria (la del comercio) y el amigo o contacto puede darnos la cantidad en metálico de la caja del negocio. Para que a nuestro amigo no le cueste dinero hacernos el favor, podemos descontarle la comisión que su banco le cobre por operar con tarjeta de crédito, de manera que, exceptuando los pocos euros de la comisión, tendremos en mano el montante completo precargado en la tarjeta. Esto es lo que se conoce usar un Bar como cajero automático.
FÓRMULA 2 (mucho más técnica, sin intermediarios y directa): Como intuyo que nadie que esté leyendo este post cuenta en su casa con un terminal punto de venta, y mucho menos con un datafono (es decir, con un sistema de cobro por tarjeta) vamos a irnos directamente al sistema de hackeo virtual. Es decir, a hacernos con un sistema TPV y de cobro por tarjeta de crédito y débito online. Hay tantos que no voy a recomendar ninguno. Es tan sencillo como hacerse con uno, descargarlo o darnos de alta online (incluso los hay que permiten períodos de prueba libre de gastos y comisiones).
Una vez dados de alta y poseer nuestro software TPV o de cobro por tarjeta, sólo tenemos que hacer una “venta” simulada virtual. Es decir, el mismo procedimiento que siguen quienes venden por EBay o tienen una tienda online y cuentan con este servicio para cobrar a sus clientes a distancia a través de tarjeta. Previamente, hemos configurado o vinculado nuestro sistema TPV a nuestra cuenta bancaria, que es adonde irá a parar el dinero de nuestra “venta”.
Si el montante precargado en la tarjeta regalo no es muy alto, podemos cobrarlo íntegramente en una sola transacción. En caso de que seamos los depositarios o afortunados galardonados u obsequiados con una tarjeta regalo por una cantidad importante, se recomienda simular varias ventas de forma que sean varios los cobros y distintos los conceptos por los que se cobra ese dinero que se extrae de la tarjeta.
Como hemos dicho, el dinero irá a parar a la cuenta bancaria que hayamos vinculado a nuestro sistema virtual y online TPV.
FÓRMULA 3 (la más directa): ¿Si cuentas con un datafono fruto de un negocio anterior, o de tu propio comercio, ya sea callejero u online?. ¡Perfecto! Tú lo tendrás más fácil que en las dos opciones anteriores. Ni precisas valerte del negocio de un amigo, ni tienes que crear un sistema de cobro por tarjeta online o TPV virtual.
En este caso, puedes pasar directamente tu tarjeta regalo por tu datáfono y convertir la tarjeta regalo en una tarjeta de crédito totalmente operativa de la que extraer tu dinero. Con lo que habrás bordeado la imposibilidad de usar la tarjeta en cajeros automáticos.
¿Y para qué sirve todo esto?. Bien, hay varias respuestas a esta pregunta:
La moraleja de este, como del resto de post sobre hacking (sobre todo en sistemas complejos como los financieros y bancarios o los telefónicos) es que NO EXISTE EL SISTEMA INVULNERABLE. No existe el sistema perfecto. Cuanto más complejo es un sistema más opciones hay de que posea puertas traseras en su propia génesis. Encontrarlas y, potencialmente explotarlas o no, es cosa de cada cual, pero no deja de ser un ejercicio muy estimulante.
Hoy queremos hablaros de Docker un proyecto que cada día es más usado, porque permite…
Cada vez estamos más acostumbrados a usar código para generar la infraestructura (IaC), documentar nuestro…
Uno de los problemas que se presentan con una mayor frecuencia hoy en día, es…
Uno de los problemas que solemos tener los programadores, es que nos gusta estar a…
Docker es una de las herramientas más usadas por los desarrolladores, sin embargo, usarlo en…
Como seguramente sabrás el uso de JavaScript ha crecido exponencialmente en los últimos tiempos, sin…