Na primeira parte do nosso artigo, falamos sobre as técnicas utilizadas pelos “chupa-cabras” de caixas eletrônicos, como são chamados os aparelhos que roubam dados de cartões para obter toda a informação referente à ele. Hoje relataremos uma nova parte desta história, contando um pouco de como os criminosos realizam essa ação, também chamada de skimming.
Processo de terceirização do processo de skimming
A maior parte do trabalho não requere que um skimmer seja especializado. Algumas operações, incluindo o processo de instalação de hardware, são bastante arriscadas, e muitas vezes essas funções são delegadas à “especialistas terceirizados”.
Um profissional habilitado instala o equipamento para que seja realizado o skimming (ou chupa-cabras) em aproximadamente 30 segundos. O processo é realizado após a conclusão de diversos estágios de preparação e coleta de informações, como a própria localização das câmeras de segurança nos estabelecimentos de caixas eletrônicos e a pesquisa de quais são os horários mais tranquilos – tudo isso com a ajuda de um assistente posicionado perto do local.
Criminoso instala o aparelho em um caixa eletrônico. Foto: wtsp.com
Um instalador profissional dificilmente é descoberto. Um cavalheiro que sabe das coisas pode notar alguma coisa estranha no caixa eletrônico e querer confirmar suas suspeitas antes de chamar a polícia. O crime então é muito difícil de ser provado, especialmente se o criminoso removeu a cola e os restos da instalação do aparelho. Por isso os bancos recomendam nunca tocar em nada suspeito e ligar para as autoridades o mais rápido possível.
Além dos caixas eletrônicos, os skimmers também se interessam em outros tipos de terminais que aceitam cartões bancários. Isso inclui postos de gasolina, máquinas de venda de bilhetes de trem, e geralmente, todo tipo de máquinas de venda. Assim, produz-se menos suspeita das pessoas comuns comparados aos caixas eletrônicos, e possuem menos proteções.
Colheita criminal
Assim que o hardware de skimming está instalado, os criminosos então começam a trabalhar na próxima etapa da fraude – a “colheita”. Eles necessitam otimizar o tempo para clonar o mais número possível de cartões antes que o crime seja descoberto: assim que o banco está ciente que o crime de skimming aconteceu, as possibilidades são maiores de que os donos de cartões com maior limite irão bloqueá-los. Para observar a situação, os cúmplices do crime observam tudo de dentro de um carro ou de alguma cafeteria, perto do terminal.
Se ninguém notar que o caixa eletrônico dá uma ‘puxada’ no cartão no momento de inserir o cartão, o roubo de dados acontecerá enquanto durar a bateria do aparelho de fraude, comprometendo assim os dados de centenas de cartões de crédito.
Depois do golpe, os skimmers mais ávidos desmontam o equipamento, e os mais espertos o abandonam para sempre para eliminar os riscos de serem pegos. De qualquer forma, a soma do roubo pode chegar a milhares de reais, o que compensaria qualquer custo gasto com o equipamento.
O saque do dinheiro desviado com a clonagem é um processo de alto risco da fraude – e é também por isso que muitas vezes o skimming é terceirizado. Como regra, um grande número de pessoas, denominadas ‘mulas’, estão envolvidas no processo.
Muitas vezes essas ‘mulas’ simplesmente entregam o dinheiro ao skimmer, concordando em receber a porcentagem acordada no início do processo. Mas também há esquemas onde elas compram os pacotes de fita magnética roubada e agem anonimamente, frequentemente em outras partes do mundo.
A informação gravada nas fitas magnéticas é, de fato, protegida apenas por uma curta e vulnerável senha, solicitada apenas para justificar as transações. Há diversos tipos de proteção tecnológica que apareceram ao longo do tempo que ainda permanecem opcionais. Os sistemas de pagamento e os bancos têm gastado anos elaborando soluções para esse problema. Cartões EMV mais robustos e equipados com fita magnética e chip integrado têm sido usados na Europa há mais de 20 anos. A diferença está no fato de que um chip não pode ser clonado da mesma forma que uma fita magnética. Um caixa eletrônico que requer um cartão com chip para criar uma chave única poderá ser roubado, mas será usado para outras transações. Pesquisadores de segurança têm reportado um extenso número de vulnerabilidades dos cartões EMV, mas na verdade é complicado aproveitar-se dessas fraquezas, na prática. Assim, esta evolução pode tirar alguns skimmers do negócio, mas há um obstáculo: migrar para cartões EMV é um processo longo, caro e complexo, envolvendo um grande número de partes.
A reasonable portion of offline paranoia may save money online: https://t.co/ZGkvthc12o
— Eugene Kaspersky (@e_kaspersky) diciembre 18, 2014
O motivo principal é de que tudo deverá migrar: sistemas de pagamento, bancos, empresas, produtores de terminais POS e caixas eletrônicos, entre muitos outros. É por isso que muitos países, incluindo os mercados desenvolvidos, continuam usando o modelo de cartão tradicional. Dito isso, até mesmo um cartão EMV pode ter seu dinheiro retirado. Um caixa eletrônico, ao prover compatibilidade com antigos terminais, pode dar acesso para que uma transação possa ser completada sem o uso do chip, apenas com a informação contida na fita magnética.
Nos Estados Unidos, com um programa nacional de implantação dos cartões EMV em andamento, os skimmers são mais ativos, conforme reportado pela European ATM Security Team. Indonésia e Tailândia, na Ásia, e Bulgária e Romênia, na Europa, também lideram em termos de risco.
Uma dúzia de #dicas para reduzir os riscos de tornar-se uma vítima dos #skimmers
Os bancos muitas vezes reembolsam o dinheiro roubado pelos skimmers, especialmente em casos onde a responsabilidade pode ser transferida para outro agente, como um sistema de pagamento, uma companhia de seguros ou um dono de um local que possuía o caixa eletrônico fraudado. Mas as possibilidades são grandes de que o dono do cartão seja considerado responsável – há inúmeros casos em que isso acontece.
Então, se você está se afogando, está se afogando sozinho.
Regras de Sobrevivência
Não há como ter a certeza de garantir que seu cartão nunca será uma vítima dos skimmers, mas essas dez dicas simples poderão ajudá-lo a diminuir os riscos.
1. Se seu cartão não possui o chip EMV, o melhor a fazer é não utilizá-lo. Geralmente seu banco pode substituí-lo, entre em contato. O uso do chip não garante 100% de segurança, mas minimiza os riscos.
2. Habilite a opção de notificações por SMS para acompanhar suas transações. Quanto mais cedo você descobrir o roubo, maiores são as chances de obter seu dinheiro de volta.
3. Se você não é um viajante frequente, descubra se seu banco pode limitar as operações do seu cartão geograficamente (quando você estiver no exterior, poderá mudar para o país em que irá viajar). Esta é uma medida eficiente e foi provado em um grande número de países europeus.
4. Não utilize um cartão com uma grande quantia de dinheiro nele. Quanto menos transações você realizar com ele (principalmente no exterior), melhor. Para operações de alto risco utilize cartões distintos com limites menores.
Some tips on what to do if your credit card gets hacked, via the @Kaspersky Daily: http://t.co/lnFCmLsJcV
— Brian Donohue (@TheBrianDonohue) noviembre 17, 2014
5. Quando precisar utilizar algum terminal de caixa eletrônico, escolha entre os que se encontram em um local seguro – por exemplo, dentro de uma agência bancária. Evite utilizar terminais que se encontram em lugares mais obscuros e sem segurança.
6. Quando digitar sua senha, esteja próximo do terminal e cubra o teclado sua mão. Há chances de que alguém ou uma câmera possa descobrí-la. Não esqueça de mudá-la regularmente (em um terminal de caixa eletrônico seguro ou com um funcionário do banco), especialmente após transações de risco.
7. Seja cauteloso com fatos estranhos no caixa eletrônico e na área em que ele está localizado. Nem todos os skimmers são profissionais ou utilizam equipamentos eficientes. Além disso, nem pense em inserir seu cartão em um ‘limpador de fita magnética’ localizado próximo ao caixa (por mais estranho que isso possa parecer, muita gente cai nesse truque).
8. Conte todas as notas de dinheiro que você sacar do caixa eletrônico. Se um terminal não lhe devolver o cartão, isso também pode fazer parte da fraude – ligue para o banco imediatamente, sem sair do local. Estes truques tornaram-se muito popular na Europa após a chegada dos EMV, pois nesses casos, o criminoso necessita do seu cartão com o chip.
9. Não entregue seu cartão a estranhos quando pagar a conta de restaurantes ou lojas – há um grande número de compactos scanners que servem para clonar o cartão, e a senha é fácil de ser descoberta.
10. Nunca mostre o seu cartão a estranhos e nunca saque ou envie fotos dele, mesmo que seja de apenas um lado. Muitos sites completam transações sem o código CVV2 que é impresso do lado reverso do cartão, sem utilizar-se dos dois fatores de autenticação.
Mantenha-se alerta. Um cartão bancário é uma ferramenta eficiente, mas às vezes essa conveniência se coloca contra a gente. Lembre-se: melhor ser brega e precavido do que arrependido e sem dinheiro.
Tradução: Henrique Bauce