Todos temos que ter cuidado com os batedores de carteira. Mesmo quando ainda somos crianças, temos que cuidar dos nossos bolsos quando estamos na rua, a vida em si nos oferece oportunidades para aprender estas regras. O mesmo ocorre com os hackers. Hoje em dia, as atividades dos hackers são amplamente divulgadas na Internet e conhecidas até mesmo por crianças.
Mas os “chupa-cabras” perderam a popularidade ultimamente, mas ainda assim representam um grande risco aos cidadãos comuns. Este tipo de pessoa se especializa em roubar credenciais de cartões com a ajuda de miniatura de hardware que instalam em caixas eletrônicos de maneira discreta. Mesmo com o esforço combinado da polícia, bancos e sistemas de pagamento, a quantidade de dinheiro roubado de contas de cartões continua crescendo.
Estes ladrões são como os batedores de carteira e, em menor grau, são parecidos com os hackers (o que eles fazem não é possível sem o emprego de alguns truques de alta tecnologia e PC).
Para tornar-se seu alvo, você só precisa usar o seu cartão para sacar dinheiro. Se o seu cartão não estiver equipado com um chip, a situação fica pior para você e melhor para eles: os cartões sem chip são mais fáceis de roubar. Para aumentar o risco de serem vítimas dos “chupa-cabras”, basta pular a opção de notificações por SMS do banco, inserindo o seu cartão em qualquer caixa eletrônico e colocando o PIN. Desta maneira você rebecerá uma mensagem dos ladrões como forma de agradecimento pela “ajuda”.
Falando sério, este negócio ilícito tem crescido e evoluido ao longo dos anos. Seu objetivo continua sendo o mesmo: usar técnicas furtivas para ler dados da banda magnética, procurar o código PIN, clonar o cartão e retirar a quantidade máxima de dinheiro da conta bancária correspondente. No entanto, as técnicas de roubo de dados evoluiu muito.
Apenas negócios
Houve momentos em que estes ladrões utilizavam leitores de cartão DIY (Do It Yourself- Faça você mesmo), instalando um hardware desajeitado nas caixas de entrada de um caixa eletrônico automático, com o risco de ser apanhado em flagrante ao extrair os dados manualmente. Mas agora os tempos mudaram. A indústria mudou, e os entusiastas do DIY estão extintos. Hoje em dia, um roubo é bem organizado e com processos que já estão altamente automatizados.
O primeiro elo da cadeia deste processo são os produtores e vendedores de soluções de hardware feitos de componentes que já estão disponíveis em grandes quantidades. Os acordos são assinados e pagos online, e os produtos são enviados via serviços de correio – é a maneira mais segura para os criminosos.
https://twitter.com/GreyCastleSec/status/413645017987551232
Para ver a prova de como os hardware para roubar são populares, basta digitar fazer uma simples busca em qualquer navegador. Os kits contém um leitor para extrair dados de um cartão de crédito, um painel para obter códigos PIN, e um dispositivo de clonagem incluído com o software correspondente, eles são vendidos por 1.500 – 2.000 dólares, em comparação com os preços que se encontravam há alguns anos, que chegavam até os 10 mil dólares segunda a estimativa de Brian Krebbs, especialista em segurança da informação.
Os compradores destes pacotes para roubar não precisam ser hackers proficientes: eles têm à disposição manuais detalhados contendo seções inclusive sobre as “melhores práticas”. As instruções são tão detalhadas que incluem até recomendações para o primeiro uso da bateria e assim garantir que o leitor desfrute de uma vida útil da bateria!
Maravilhas da tecnologia
O progresso da tecnologia, juntamente com a enorme demanda, alimentou a evolução de componentes eletrônicos utilizados para atividades ilícitas. Os especialistas em segurança recomendam analisar os caixas eletrônicos para detectar estas peculiaridades, mas estas recomendações estão cada vez mais ultrapassadas.
Em primeiro lugar, os fornecedores de criminosos experientes vendem hardware que apenas pode distinguir-se de componentes eletrônicos originais. Até mesmo um usuário consciente não seria capaz de distingui-los: a caixa de entrada é feita do mesmo tipo de plástico e da mesma cor, apenas um pouco diferente na forma.
Essa semelhança se consegue através da adaptação deliberada de elementos de falsos caixas eletrônicos em modelos mais comuns.
Em segundo lugar, há leitores que são instalados dentro dos caixas eletrônicos através da caixa de entrada do caixa. Esta nova técnica foi revelada em um relatório recente realizado pela European ATM Security Team.
Este novo tipo de dispositivos nem sequer tem que ler as bandas magnéticas dos cartões, uma vez que utilizam os recursos dos próprios caixas para executar as tarefas.
This New Card Skimmer Is Almost As Thin As A Credit Card http://t.co/rvXS3W5HVa by @johnbiggs
— TechCrunch (@TechCrunch) August 22, 2014
As tecnologias dos criminosos avançaram tanto que já não faz falta extrair os dados roubados de forma manual. Os novo leitores estão equipados com um módulo GSM que envia de maneira criptografada dos dados dos cartões através das redes de telefonia celular.
why GSM-based ATM skimmers are the "best," according to skimmer makers http://bit.ly/dKRrrp
— briankrebs (@briankrebs) December 13, 2010
Vigie o seu PIN
Desde então, a obtenção de um código PIN continua sendo o elo mais fraco. A fim de procurar PINs, os criminosos instalam câmeras espiãs em miniatura em cima dos teclados dos caixas ou em alguma parte do banco.
Para instalar suas câmeras espiãs, os “chupa-cabras” costumam utilizar os stands que os bancos exibem seus folhetos institucionais. Uma vez que é muito comum encontrar estes locais nos bancos, raramente são percebidos como algo perigoso.
No entanto, o simples fato de tapar o teclado com a mão na hora de inserir a senha pessoal, pode resultar uma medida de segurança eficaz contra as câmeras espiãs.
Conseguir painéis numéricos falsos para os caixas é cada vez mais simples (podem comprá-los por menos de 100 euros no mercado ilegal), o que agrava a situação. Aqui, já não serviria em nada cobrir o painel ao ingressar o PIN, uma vez que o mesmo usuário estaria escrevendo sua senha e enviando-a direto para os criminosos via SMS, sem você nem se dar conta. Naturalmente, esta medida é muito mais eficaz para os “chupa-cabras” que as câmeras espiãs, uma vez que já não têm que processar manualmente cada vídeo.
É claro que o painel falso sobressai visivelmente sobre o teclado original, mas dificilmente qualquer usuário poderia examinar de perto isso. Além disso, estes painéis duplicados utilizam o mesmo tipo de metal e cor de pintura que os originais, por isso, sua identificação resulta muito difícil.
Existe uma técnica que os fraudadores usam habitualmente: eles guardam o software que eles usam para decodificação e clonagem da informação. Desta forma, os criminosos se protegem si mesmos das forças de segurança e de outros fraudadores.
Se você inseri uma senha incorreta, o software de clonagem não informará o usuário que inseriu sua senha incorreta, simplesmente desligará. Nesse sentido, as autoridades terão que empregar técnicos especialistas para analisar o código dos programas, o que é uma tarefa muito complexa e demanda muito tempo.
"Five lessons I’ve learned from having my credit card hacked" https://t.co/TQHBbK0Oqw
— Eugene Kaspersky (@e_kaspersky) November 13, 2014
Com tudo o que eu disse, a tecnologia é apenas uma parte da história. Muitas operações de skimming ainda são executadas manualmente ainda são muito arriscadas. Vamos relacionar essa parte da história no próximo artigo e daremos dicas para proteger sua conta bancária.
Tradução: Juliana Costa Santos Dias