¿Qué Son los Ataques de Bineros?
El BIN, o Número de Identificación del Banco (BIN), son los seis primeros dígitos en una tarjeta de crédito. Estos siempre están relacionados a su institución emisora, usualmente un banco. En un ataque de binero, los estafadores utilizan estos seis dígitos para intentar generar algorítmicamente los otros números legítimos, con la esperanza de generar un número de tarjeta de crédito utilizable.
Luego las utilizan con varios comerciantes para filtrar esa lista y detallarla, esencialmente, con lo que funcione. Un tipo de ataque de fuerza bruta, que típicamente involucra un gran número de transacciones pequeñas, cómo un típico testeo de tarjeta.
Estas pequeñas transacciones se muestran como varios tipos de rechazos antes de que encuentren una combinación perfecta, y utilizarlas potencialmente para descubrir más. Debido a que solamente se utilizan números de tarjetas de crédito, los ataques bineros constituyen un fraude de tarjeta no presente.
¿Cómo Funcionan los Ataques de Bineros?
Los estafadores conducen ataques de bineros generando cientos de miles de posibles números de tarjeta de crédito y probándolos.
- Un estafador busca el número BIN del banco al que van a apuntar. Yendo de 4 a 6 dígitos, esta información es de dominio público por lo que es fácil buscarla.
- Utilizando software dedicado como un auto dialer, generan miles, a menudo décimas de miles combinaciones posibles existentes de números de tarjetas de crédito por este emisor.
- En este punto, las credenciales necesitan ser probadas. El estafador identifica alguna tienda en línea apta para esto o una página de donaciones.
- Inician la prueba de tarjetas intentando hacer pagos pequeños con cada número de tarjeta que generan.
- Se quedan con el pequeño porcentaje de datos de la tarjeta que ha funcionado, que están dispuestos a utilizar en serio para sus actividades fraudulentas.
Recuerda que el estafador iniciará solamente con 6 dígitos, aunque hay más detalles de la tarjeta de crédito requeridos para una transacción exitosa. Si estos son introducidos de manera errónea, la transacción será rechazada.
Esto incluye el número CVV, la fecha de expiración, así como los fallos del Sistema de verificación de dirección (AVS). Las pruebas en las transacciones de las tarjetas de crédito son realizadas remotamente en una manera muy rápida, así que las revisiones de distancia deben de ser también una pista así como la alerta de velocidad.
Los estafadores pueden utilizar cuentas maliciosas de comerciantes directamente para este propósito, o más frecuentemente, involucrar múltiples tiendas en línea y servicios durante un ataque de binero, mientras que sus intentos siguen siendo bloqueados en todos los diferentes puntos de venta.
Puedes encontrar información sobre una tarjeta y su emisor basándote en el BIN utilizando la herramienta gratuita de SEON que aparece a continuación.
¡Consulta BIN gratuita!
Introduce los primeros 6 u 8 dígitos de un número de tarjeta (BIN/IIN)
Texto aquí
¿A quién Apunta el Fraude de Bineros?
El fraude de bineros involucra a cada parte involucrada en una transacción, excepto al criminal.
Más específicamente:
- Instituciones bancarias: Los ataques de bineros exitosos pueden tener costos para los bancos y otros emisores de tarjetas en fondos, recursos y reputación.
- Comerciantes de Ecommerce: Las tiendas en línea y proveedores de servicio también tienen mucho que perder al ser apuntados para ataques de bineros, causando:
- Inconvenientes con asociaciones de bancos, ya que el banco identifica tu tienda como una en donde las tarjetas están siendo probadas y podrían elegir no querer trabajar contigo.
- Inconvenientes de reputación, ya que el titular de la tarjeta legítima verá el nombre de tu tienda en su estado de cuenta y lo asociará con fraude.
- Contracargos: dependiendo de la particularidad del incidente, podrías pagar contracargos de tu bolsillo, en vez de que lo pague el emisor de la tarjeta.
- Pasarelas de pago: Las pasarelas de pago involucradas en en ataques BIN exitosos sufren de daño reputacional y financiero, ya que ellos esperan revisar varios puntos de datos que normalmente prevendrían ataques BIN de ser exitosos. Si fallas al detectar dichos ataques de fuerza bruta como portal de pago, es más probable que sea visto por tus socios y socios potenciales como evidencia de que tú no estás haciendo bien tu trabajo.
- Clientes: A cualquier cliente, en el que desafortunadamente los detalles de su tarjeta estén involucrados en un fraude de ataque BIN, tendrá que primero notificarlo y después dedicar tiempo y esfuerzo a informar al banco y realizar todas las mociones para poder tener el dinero de vuelta. Contrario a otros tipos de fraude, como el skimming de tarjetas, es un tipo de ataque en el que el titular de la tarjeta no tiene ningún control sobre él, sin importar lo cuidadoso que sea. Como tal, puede ser mucho más frustrante.
Cómo Evitar el Fraude de Bineros
Dependiendo de dónde estés en el escenario de pago, un ataque de bineros te afectará de una manera diferente.
En general, es una buena idea establecer reglas basadas en un comportamiento típico de pruebas de tarjetas, incluyendo:
- configurar bloques para el emisor de la tarjeta y diferencias de GeoIP;
- aplicar revisiones inmediatas en transacciones pequeñas;
- marcar multitudes de rechazos como alto riesgo.
Como en todos los esquemas de pruebas de tarjetas, los atacantes BIN buscarán transacciones pequeñas que se pueden confirmar rápidamente y si ofreces algo como si fueras algún tipo de comerciante, estás a mayor riesgo de ser expuesto a un ataque de bineros.
Sin embargo, la mayoría de las reglas de lucha contra el fraude y prácticas cubrirán los ataques de bineros de una manera u otra. Y en este tipo de fraude, incluso si el criminal tiene la combinación correcta de tarjeta, aún no sabrán el nombre del titular de la tarjeta o su dirección, así como alguna información extra que comúnmente solicitan.
Aún así, hay que recordar que con el tiempo, el fraude en línea se vuelve cada vez más sofisticado; es correctamente descrito como el juego del gato y el ratón, entre los estafadores y los gestores de lucha contra el fraude.
Incluso si un ataque de bineros en particular es fácil de detectar, los comerciantes en línea y todos los demás que acepten pagos de tarjeta no presente, están bien advertidos de implementar niveles apropiados de prevención y detección de fraude.