Página Inicial Lista de Vídeos Quem Somos? Fale Conosco Redes Sociais

Como os criminosos roubam dados de cartões de crédito?

by 12:35 0 comentários

No primeiro dia da Cúpula Latino-americana de Analistas de Segurança, evento organizado pela empresa de segurança digital Kaspersky em Buenos Aires, Argentina, ouviu-se um funk em uma das apresentações. Fábio Assolini mostrou o clipe durante a sua fala devido à letra, que exalta o fruto de um crime digital: a clonagem de cartões de crédito:


Os funks celebrando a clonagem de cartões são facilmente encontrados no YouTube, junto a tutoriais e anúncios para a venda de ferramentas. Esses conteúdos também podem ser encontrados em grupos no Facebook. Não há muito pudor ou preocupação e trata-se de sintoma de uma prática cada vez mais comum. 

O dinheiro de plástico já é usado por 22% da população da América Latina. No Brasil, são 28,8 milhões de adultos com acesso a ele. O surgimento das fintechs, que cortam a burocracia e exigem menos garantias para cederem cartões de crédito, estão ajudando na popularização desse meio de pagamento.  

Em paralelo, aumenta também o interesse de criminosos na obtenção de dados de cartões. Algumas práticas não são novas — golpes que têm esse alvo datam de pelo menos 2005 — e as técnicas mais modernas são bastante engenhosas.  

Mesmo o chip de segurança, presente na maioria dos cartões de crédito em circulação no Brasil, são suscetíveis à clonagem, seja do modo mais sofisticado, como um “skimmer" (popularmente conhecido como "chupa-cabras”) capaz de copiar as informações do chip quando o cartão é inserido em um caixa automático comprometido, situação flagrada no México; seja por ações grosseiras, como literalmente recortar o chip nesse processo. Isso aconteceu no Brasil.  

De qualquer forma, há um detalhe interessante que facilita o uso de dados de cartões roubados: para compras online, o chip de segurança é totalmente dispensável.  

Como se clona um cartão?
Além dos chupa-cabras, que são modificações não autorizadas em caixas automáticos feitas a fim de capturar dados do cartão, há outras formas de consegui-los. 
Assolini cita algumas: maquininhas adulteradas, caixas automáticos inteiros falsificados, a velha engenharia social e, no que considera o caso mais grave, os terminais de venda (, de "point of sale", ou ponto de venda em português) infectados por vírus. 

Acima você assiste à uma reportagem onde foram apreendidos equipamentos de clonagem em um banco na praça Tamandaré em Goiania-GO.

Esses terminais são computadores comuns que recebem pagamentos de cartão através de um dispositivo que lê o cartão e tem um teclado numérico para a inserção de senhas, chamado PIN Pad. Eles ainda são populares em mercados, hotéis e postos de gasolina, por exemplo. Por estarem ligados a sistemas de uso geral, como o Windows, podem ser comprometidos com mais facilidade. E ainda trazem uma vantagem valiosa ao criminoso: é o único método de clonagem de cartão que pode ser implementado e gerenciado remotamente, sem que ele tenha contato direto com a vítima. 
Outra peculiaridade da clonagem de cartões é a proximidade com o crime tradicional. Para fazer uso dos outros métodos, os carders, como são chamados os criminosos que obtêm e negociam esses dados, precisam do auxílio de alguém que vá ao local e faça o trabalho manual quando não o aplica via PoS. Após a aquisição dos dados, eles "negociam com criminosos tradicionais, que fazem compras online fraudulentas, negociam veículos e são até usado pelo narcotráfico. O carder é o cara mais próximo do crime tradicional", diz Assolini.  

Briga de gato e rato 
O primeiro vírus de PoS foi descoberto pela Visa, em 2008. Hoje, a Kaspersky tem conhecimento de 40 famílias de vírus do tipo, feitos especialmente para infectar computadores de pontos de venda e transmitir, sem que o dono do estabelecimento ou seus clientes saibam, dados de cartões para servidores remotos. 

Como em outras áreas da segurança digital, há uma briga de gato e rato entre os criminosos e as empresas de segurança. Quando os ataques a PoS começaram, os vírus conseguiam os dados durante o trânsito, ou seja, enquanto eles eram transferidos do PIN Pad para o computador. As operadoras de cartões identificaram o problema e passaram a codificar esses dados durante o trânsito, fechando a brecha. 

Não foi suficiente para barrar a ação dos criminosos. Com aquela porta fechada, os novos vírus passaram a vasculhar uma memória temporária do computador (RAM, abreviação em inglês de "memória de acesso aleatório”), que grava os dados do cartão sem criptografia. A técnica é chamada "memory scraping".
Outra grande virada no mercado de clonagem de cartão foi a abertura do código-fonte do vírus Dexter. Houve uma explosão no número de detecções em 2015, quando isso aconteceu. Na prática, com o código-fonte divulgado, qualquer um pode, sem muita dificuldade e com custo zero, criar seu próprio vírus de PoS e modificar ou melhorar o código original.  

Outros vírus, como o Katrina e o Neutrino, são vendidos em lugares obscuros da Internet por valores que chegam a US$ 2.200. O Neutrino chega a oferecer um painel de controle sofisticado, do tipo que qualquer um consegue operar.  

Como se proteger 
Ter o cartão clonado é um risco constante. Mesmo a pessoa mais diligente está sujeita a isso — o próprio Assolini já foi vítima. Ele dá algumas dicas para amenizar as chances de passar por esse sufoco:  

• Cubra o teclado do terminal automático na hora de digitar a senha. Alguns terminais adulterados têm câmeras que capturam a digitação da senha; 

• Não perca de vista seu cartão na hora de realizar pagamentos; 

• Evite usar terminais que ficam na rua. Os que estão dentro das agências e de estabelecimentos comerciais são mais vigiados e, portanto, difíceis de serem adulterados; 

• Tenha mais de um cartão de crédito. Se um deles for clonado, você não ficará sem acesso a esse meio de pagamento até resolver o problema; e 

• Revise o saldo regularmente. Se seu banco ou operadora oferecer apps e serviços de alerta por SMS, ative-os. Assim, caso o cartão seja clonado e alguém tente fazer compras não autorizadas em seu nome, você saberá de imediato e poderá tomar as providências adequadas, como cancelar o cartão e comunicar a operadora.