PCI e Retail & Hospitality ISAC alertam sobre novo tipo de ameaça em meios de pagamento eletrônicos
12 de agosto de 2019As duas principais organizações de segurança cibernética fazem alerta conjunto sobre a ameaça crescente da nova modalidade de skimming
Uma ameaça crescente que todos os comerciantes e prestadores de serviços devem estar cientes é o skimming online, prática do roubo digital de informações de cartões de crédito.
Esses ataques infectam sites de comércio eletrônico com códigos maliciosos e são muito difíceis de detectar. “Depois que um site é infectado, as informações do cartão de pagamento são copiadas durante uma transação, sem que o comerciante ou consumidor esteja ciente de que os dados foram comprometidos”, explica o diretor regional associado do PCI SSC para o Brasil, Carlos Caetano.
Profissionais de TI chamam esses ataques de Magecart para descrever a atuação de vários grupos de hackers criminosos que roubam informações de cartão de crédito, quando as pessoas acessam a página de checkout em uma compra. O skimming não é novidade, mas o skimming do Magecart é um método cada vez mais frequente e bem sucedido.
Segundo Caetano, qualquer implementação de comércio eletrônico que não possua controles de segurança eficazes é potencialmente vulnerável.
Os ataques buscam sites de comércio eletrônico, provedores de serviços terceirizados e empresas que fornecem aplicativos. Os hackers Magecart fazem constantes modificações de ataques, incluindo a personalização de códigos maliciosos para diferentes destinos e exploram vulnerabilidades em softwares de sites sem correções de segurança.
Esses ataques estão ativos desde 2015 e representam a ameaça cibernética em constante evolução por trás de vários ataques de alto perfil contra organizações internacionais.
Caetano acredita que esse tipo de ataque chegará em breve no Brasil. “É uma ameaça persistente. Uma em cada cinco lojas infectadas pelo Magecart são infectadas novamente dentro de alguns dias. Por essa razão, é crucial que os sistemas afetados sejam limpos e que as vulnerabilidades subjacentes sejam corrigidas ou mitigadas. Se uma vulnerabilidade subjacente não for resolvida ou se algum código do invasor permanecer no sistema, isso poderá levar à reinfecção”, alerta.
Durante o Fórum América Latina 2019, em São Paulo, o diretor regional associado do PCI SSC para o Brasil, Carlos Caetano estará disponível para falar sobre esse e outros assunto com a imprensa.
O evento traz as melhores práticas de negócios em transações de pagamento eletrônico e tem por objetivo debater a segurança e o futuro da indústria de cartões, além de promover maior conscientização.
Serviço
Fórum PCI América Latina de 2019
Data: 15 de agosto, de 7:30 às 19:30
Local: Hotel Unique – São Paulo
Endereço: Av. Brigadeiro Luís Antônio, 4700 – Jardim Paulista
Entrada: Gratuita
Para mais informações sobre o evento acesse aqui.
Sobre o PCI Security Standards Council
O PCI Security Standards Council (PCI SSC) lidera um esforço global da indústria para aumentar a segurança de pagamentos, fornecendo padrões e programas de segurança de dados flexíveis e eficazes, que ajudam as empresas a detectar, mitigar e prevenir ataques cibernéticos e comprometimentos. Conecte-se com o PCI SSC no LinkedIn. Participe da conversa no Twitter @PCISSC. Inscreva-se no blog PCI Perspectives.
Sobre o Retail and Hospitality Information Security and Analysis Center
O Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) opera como a comunidade confiável para compartilhar informações e informações de segurança cibernética específicas do setor. O RH-ISAC conecta as equipes de segurança da informação nos níveis estratégico, operacional e tático para trabalhar juntos em questões e desafios, compartilhar práticas e insights e comparar entre si – tudo com o objetivo de construir uma melhor segurança para as indústrias de varejo e hotelaria através da colaboração. RH-ISAC atualmente atende varejo, hotéis, restaurantes, jogos e outras entidades voltadas para o consumidor. Para saber mais, visite o site da RHISAC e siga no Twitter: @RH_ISAC e LinkedIn.
Evento gratuito discute segurança de transações de pagamento eletrônico