Se você já sabe o que são os chupa-cabras em caixas eletrônicos, provavelmente, também consegue manter seu cartão a salvo. Se ainda não, leia esse post antes de prosseguir. Ir ao ATM desperta nosso alerta para ficarmos de olho em qualquer dispositivo fora do comum e evitar caixas suspeitos. Mas e se o chupa-cabra não estiver visível?
Isso é possível?
Infelizmente, a resposta é sim. Na verdade, é exatamente esse o caso do grupo de cibercriminosos chamado de ATM Infectors, descoberto pela nossa equipe de Análises e Pesquisas Globais (GReAT), aliada com o time de Testes de Infecção. A gangue é composta por falantes de russo, capazes de transformar o ATM em um chupa-cabra.
Dois coelhos, uma cajadada
Até mesmo cibercriminosos gostam de economizar: por que acoplar um diapositivo ao ATM, se todos os hardwares necessários estão disponíveis por aí? Eles só precisam infectar o terminal de autoatendimento com um malware chamado Skimer, que permite usar o leitor de cartão para clonagem e o teclado para roubar as credenciais bancárias.
Isso não é tudo. Caso o ATM tenha sido infectado, não é nada impossível controlar o teclado, o leitor de cartão ou ainda a saída do dinheiro. Então, eles não só podem roubar credenciais de cartões, como também enviar um comando para que o ATM libere todo o dinheiro guardado.
Os criminosos responsáveis por esse golpe estão escondendo seus rastros muito bem. Apesar de poderem sacar todo o dinheiro de todos os caixas eletrônicos de uma só vez, eles não o fazem, pois chamaria muita atenção e, possivelmente, resultaria em uma investigação de grandes proporções. Por isso, os bandidos preferem manter o malware no ATM invisível e coletar dados silenciosamente, deixando a opção do saque para ocasiões futuras.
Como funcionam os chupa-cabras de caixas eletrônicos|https://t.co/lzrRQOzh6Z pic.twitter.com/MOavrncNU1
— Kaspersky Brasil (@Kasperskybrasil) April 8, 2016
Como os bandidos responsáveis pelo ATM infector agem
Como falamos em um post recente, embora a proteção física dos ATMs pareça impressionante, muitas dessas máquinas encouraçadas são vulneráveis no ciberespaço. Nesse caso particular, criminosos infectam os caixas por meio do acesso físico ou pela rede interna do banco.
Depois de instalado no sistema, o Skimer infecta o núcleo computadorizado do ATM, dando aos criminosos controle absoluto. Depois disso, o malware se mantém na surdina até que os criminosos decidam utilizar a máquina invadida.
Para despertar o malware em um ATM, o bandido insere um cartão magnético especial, com registros específicos em sua tarja. Depois de ler esse código, o Skimer pode executar um comando predefinido ou obedecer a ordens dadas a partir de um menu ativado pelo cartão.
Se o criminoso retirar o cartão e em menos de 60 segundos digitar uma senha utilizando o teclado, a interface do Skimer aparece na tela. Com esse menu, os criminosos podem ativar 21 comandos diferentes, incluindo:
- Emissão de dinheiro (40 notas de valor especificado)
- coletar detalhes de cartões inseridos
- apagar os cartões; atualização (do código do malware embutido no chip do cartão)
- salvar os dados de cartões e senhas coletados no chip do cartão especial
- imprimir os detalhes de cartões a partir dos recibos dos ATMs.
Como se proteger
No Securelist, há recomendações aos bancos, informando quais arquivos devem ser procurados nos sistemas. O relatório completo sobre a campanha do ATM Infector foi apresentado primeiramente para representantes de agências reguladoras, CERTs, instituições financeiras e clientes de inteligência contra ameaças da Kaspersky Lab.
Para pessoas comuns como eu e você, essa questão é ainda mais amedrontadora: não há como saber se um ATM está infectado já que superficialmente ele parece operar normalmente.
Bancos consideram que digitar a senha prova a autenticidade da transação, que foi de fato realizada pelo dono do cartão, ou que esse é responsável pela senha comprometida. Seria no mínimo difícil discutir com o banco e provavelmente, seu dinheiro nunca será devolvido.
No fim das contas, não há como proteger seu cartão completamente do ATM Infector, ainda assim, daremos algumas dicas:
- Apesar de ser difícil identificar um caixa-eletrônico comprometido, você pode minimizar o risco utilizando máquinas em localizações menos suspeitas. A melhor opção é usar ATMs em agências bancárias – eles são mais difíceis de invadir e, provavelmente, são inspecionadas pelo suporte técnico do banco com mais frequência.
- Fique de olho nos seus gastos. A melhor forma de monitorar sua conta é por meio de notificações por SMS: se seu banco oferece o serviço, você precisa utilizá-lo.
- Caso você note uma transação que você nunca fez – ligue para o banco imediatamente e bloqueie seu cartão. Perceba a ênfase no IMEDIATAMENTE. Quanto mais rápido você agir, maior a chance de preservar seu dinheiro.