Recentemente, os Estados Unidos passaram do uso da faixa magnética insegura em cartões de crédito e débito para cartões de chip e PIN mais bem protegidos, regulados pelo padrão EMV. É um grande passo para aumentar a segurança das transações e reduzir a fraude.
No entanto, nossos pesquisadores descobriram recentemente que cibercriminosos brasileiros desenvolveram uma maneira de roubar dados e clonar cartões de chip e PIN (senha de quatro dígitos). Nossos especialistas apresentaram sua pesquisa em nossa conferência SAS 2018.
Fraudes em caixas eletrônicos e além
Ao pesquisar malware para caixas eletrônicos usado por um grupo brasileiro chamado Prilex, nossos pesquisadores tropeçaram em uma versão modificada. Ela traz alguns recursos adicionais para infectar terminais de ponto de serviço (POS) e coletar dados de cartões.
Este malware foi capaz de modificar o software do POS para permitir a um terceiro capturar a comunicação entre o device e o banco. Foi assim que os criminosos obtiveram os dados. Basicamente, quando você paga em uma loja cujo POS está infectado, os dados do cartão são transferidos imediatamente para os criminosos.
No entanto, ter os números é apenas metade da batalha. Para roubar dinheiro, também precisavam clonar cartões, um processo mais complicado pelos chips e suas autenticações múltiplas.
O grupo Prilex desenvolveu uma infra-estrutura que permite a seus “clientes” criarem cartões clonados – em teoria não deveria ser possível.
Para saber como, é melhor primeiro dar uma olhada em como funcionam cartões EMV. Quanto à clonagem, tentaremos manter o mais simples possível.
Como o padrão chip-e-PIN funciona
O chip no cartão não é apenas memória flash, mas um pequeno computador capaz de executar aplicativos. Ao ser introduzido em um terminal POS, começa uma seqüência de etapas.
O primeiro passo é a inicialização: o terminal recebe informações básicas, como nome do titular, data de validade e a lista de aplicativos que o cartão pode executar.
O segundo é uma etapa opcional chamada autenticação. O terminal verifica se o cartão é autêntico, processo que envolve a validação usando algoritmos criptográficos. É mais complicado do que precisa ser discutido aqui.
O terceiro, também optativo, é a verificação do titular; ele deve fornecer o código PIN ou uma assinatura (depende de como o cartão foi programado). Este passo é para garantir que a pessoa tentando pagar com um cartão é a mesma para a qual foi emitido.
Em quarto, a transação acontece. Observe que apenas os passos 1 e 4 são obrigatórios. Em outras palavras, a autenticação e a verificação podem ser ignoradas – aí que os brasileiros entram.
Cartão ilimitado
Então, temos um cartão capaz de executar tarefas e, durante seu primeiro aperto de mão, o POS solicita informações sobre os aplicativos disponíveis. O número e a complexidade das etapas necessárias para a transação dependem dos aplicativos disponíveis.
Os clonadores de cartões criaram um applet Java para os cartões executarem. O app possui dois recursos: primeiro, informa ao terminal POS não haver necessidade de autenticação de dados. Isso significa nada de operações criptográficas, poupando a tarefa quase impossível de obter as chaves privadas do cartão.
Mas isso ainda deixa a autenticação do PIN. No entanto, existe uma opção no padrão EMV para escolher como entidade verificadora o… seu cartão. Ou, mais precisamente, um aplicativo em execução nele.
Você leu direito: o código dos cibercriminosos pode dizer que um PIN é válido, independentemente do inserido. Isso significa que o criminoso que empunha o cartão clonado pode simplesmente digitar quatro dígitos aleatórios – sempre serão aceitos.
Fraude de cartão como serviço
A infraestrutura Prilex criada inclui o applet Java, um aplicativo de cliente chamado “Daphne” para escrever a informação em cartões inteligentes (dispositivos de leitor/gravador de cartões inteligentes e cartões inteligentes em branco são baratos e legais para comprar). O mesmo software é usado para verificar a quantidade de dinheiro que pode ser retirada do cartão.
A infra-estrutura também inclui o banco de dados com números de cartões e outros dados. Se o cartão é débito ou crédito não importa; “Daphne” pode criar clones de ambos. Os bandidos vendem tudo como um pacote, principalmente para outros criminosos no Brasil, que então criam e usam os cartões clonados.
Conclusão
De acordo com o relatório da Aite 2016 Global Consumer Card Fraud, é seguro assumir que todos os usuários foram comprometidos. Se você usa um cartão com uma faixa magnética ou um cartão chip-and-PIN mais seguro não importa – se você tiver um cartão, sua informação provavelmente foi roubada.
Agora que os criminosos desenvolveram um método para realmente clonar os cartões, isso começa a parecer uma ameaça muito séria. Se você quiser evitar a perda de quantias significativas de dinheiro com a fraude de cartão, recomendamos o seguinte:
- Fique atento ao histórico de transações do seu cartão, usando notificações por SMS. Se você notar gastos suspeitos, ligue para o banco o mais rápido possível e bloqueie o cartão imediatamente.
- Use o AndroidPay ou o ApplePay, se possível; Esses métodos não revelam os dados do seu cartão para o POS. É por isso que podem ser considerados mais seguros do que inserir seu cartão em um POS.
- Use um cartão separado para pagamentos pela Internet, pois este é ainda mais provável de ser comprometido do que os que você usa apenas em lojas físicas. Não tenha grandes somas de dinheiro nesse cartão.