Copa do Mundo 2014: como evitar a clonagem do seu cartão
Por:
Fabio Assolini
Publicado:
Wed, 05/28/2014
Você está planejando viajar para assistir os jogos da Copa do Mundo? Tenha boa viagem! Espero que você desfrute a sua estadia. Como você está planejando pagar suas contas? Dinheiro ou cartão? Você se preocupa com a clonagem do seu cartão de crédito? Se não está preocupado, deveria estar.
O Brasil possui grupos de organizados de criminosos especializados na clonagem de cartão de crédito, e eles são muito criativos, infelizmente adoram atacar pessoas que não sabem dos riscos, essas são as vítimas mais fáceis, especialmente quando estão pagando contas num restaurante ou sacando dinheiro num caixa eletrônico.
Na segunda parte da nossa série de blogs sobre a Copa do Mundo vamos detalhar como funcionam os ataques em caixas eletrônicos e PDVs (pontos de vendas), onde tudoo que os criminosos querem é clonar seu cartão usando ‘chupa-cabras’, ‘frentes falsas’ e claro, malware, muito malware.
Cartão de crédito, o jeito brasileiro
Esqueçam os cheques, pagamentos com cartões são atualmente os mais populares no país. Seja em restaurantes, supermercados, postos de gasolinas, até taxistas aceitam cartão. De acordo com o Banco Central os cartões de débito e crédito correspondem por 70% dos pagamentos feitos no país, quando não se usa dinheiro:
Cartões com chip e senha são os mais comuns. Apesar de vermos notícias recentes de falhas existentes no protocolo desses cartões, eles ainda são bem mais seguros quando comparados com os de tarjeta magnética. Se você ainda tem um desses, fale com seu banco e peça um com chip o mais rápido possivel.
Mas isso não é assim em outros lugares do mundo: americanos ainda usam cartões sem chip. Mas há também outro problema: europeus e americanos possuem o péssimo hábito de entregar o cartão para o atendente ou garçom na hora de pagar a conta, que costumam levá-lo para dentro, longe da vista do cliente. Isso é bastante comum nos países onde vivem, mas no Brasil sabemos que isso é uma oportunidade de ouro que certamente os golpistas irão usar para clonar um cartão. Esse fato torna os “gringos” vítimas fáceis desses golpes.
Fique esperto: jamais deixe seu cartão longe da sua vista, se possível peça para que lhe tragam a ‘maquinha de cartão’ para sua mesa ou o local onde está, e faça o pagamento ali na hora. Essa é a maneira mais fácil de não ter seu cartão clonado durante uma compra. Se a empresa não tiver a máquina, vá até o caixa e acompanhe o pagamento de perto, sem tirar os olhos do seu cartão.
Malware para Pin Pad e PDVs
Cibercriminosos brasileiros estão exportando do Leste Europeu malware especializado na clonagem de cartões e usando-os por aqui. Sabemos de ataques assim ocorrem desde 2009, mas foi em 2010 que detalhamos um ataque bastante interessante de um malware desenvolvido totalmente no país; o chamamos de “Vírus chupa-cabra” visto que o objetivo do trojan é exatamente o mesmo dos dispositivos acoplados em caixas eletrônicos.
O Trojan-Spy.Win32.SPSniffer possuí diversas variantes que foram detectadas desde sua descoberta em 2010:
Este trojan afeta diretamente PIN Pads e PDVs (ponto de vendas), ambos são bastante comuns em estabelecimentos comerciais. Esses dispositivos são conectados a um computador através da porta serial ou USB para se comunicar com um software TEF (Transferência Eletrônica de Fundos). O trojan captura todos os dados que saem desses dispositivos, transmitidos por essas portas.
Os PIN Pads são equipados com recursos de segurança para garantir que as chaves de segurança sejam apagadas caso alguém tente abri-lo. Sua senha é cifrada no exato momento em que ela é digitada, geralmente usando o algoritmo 3DES. Mas o Track 1 (número do cartão, data de validade, código de serviço e CVV) e os dados públicos do CHIP não são cifrados no hardware de PIN Pads antigos e desatualizados, fazendo com que esses dados sejam transmitidos em modo ‘texto puro’ para o computador onde ele está conectado. Capturar esses dados é mais do que suficiente para clonar seu cartão.
As operadoras de cartão, cientes do problema promoveram uma atualização em massa do firmware desses equipamentos, porém como novas variantes desse trojan ainda aparecem isso é um sinal de que esses ataques ainda são efeitos em alguns lugares do país.
Não há muito que você possa fazer para evitar ser vítima desse ataque, por isso fique atento ao saldo do seu cartão de crédito, verifique as transações regularmente e informe sua bandeira imediatamente ao constatar algo irregular. Onde for possível prefira pagar usando máquinas de cartão sem fio, essas usam tecnologia 3G e são bem mais seguras.
Chupa-cabras, frentes falsas e malware ‘jackpot’
O Brasil está entre os países que mais possuem caixas eletrônicos no mundo, de acordo com o Banco Mundial. Existem quase 120 mil oportunidades para os golpistas instalarem “chupa-cabras”, e eles fazem isso o tempo todo, mesmo durante o dia, com agências lotadas de clientes, num clima bastante relaxado:
https://www.youtube.com/watch?v=-iCs3dEHCyQ
Usar sua mão para cobrir o teclado na hora de digitar a senha é uma maneira que evita boa parte dos chupa-cabras, visto que a maioria deles se baseiam em câmeras escondidas. Mas alguns criminosos vão além, levando o “chupa-cabras” para um nível nunca visto antes, instalando um caixa eletrônico inteiramente falso:
https://www.youtube.com/watch?v=z1CrmlK5zMM
Alguns ainda instalam “frentes falsas” onde a tarjeta magnética do cartão será clonada, a senha capturada e enviada para o criminoso através de um modem 3G:
https://www.youtube.com/watch?v=eASP7XeYieo
Ante essa situação diversos bancos implementaram caixas eletrônicos com autenticação biométrica. Se o seu banco oferece essa opção, é uma boa medida de segurança ativá-la na sua conta; apesar de sabermos que dispositivos biométricos podem ser burlados, isso é uma camada a mais de segurança para proteger seu uso do caixa eletrônico.
Para se proteger nesses vale ter um olho vivo, se você ver algo suspeito em um caixa eletrônico, notifique o banco e vá sacar dinheiro em outro lugar.
A FEBRABAN também dá dicas muito úteis para se proteger nessas situações:
- Nunca empreste seu cartão para ninguém nem permita que estranhos o examinem sob qualquer pretexto. Pode haver troca, sem que você perceba;
- Não deixe seu cartão sem assinatura;
- Se não conseguir memorizar a senha e precisar anotá-la, guarde a anotação em lugar diferente do cartão, reduzindo seus riscos em caso de roubo ou perda;
- Caso seu cartão seja roubado, perdido ou extraviado, comunique o fato imediatamente à Central de Atendimento do banco, pedindo o cancelamento. Em caso de assalto, também registre a ocorrência na delegacia mais próxima;
- Em caso de retenção do cartão no caixa automático, aperte as teclas “ANULA” ou “CANCELA” e comunique-se imediatamente com o banco. Tente utilizar o telefone da cabine para comunicar o fato. Se ele não estiver funcionando, pode tratar-se de tentativa de golpe. Nesses casos nunca aceite ajuda de desconhecidos, mesmo que digam trabalhar no banco, nem digite senha alguma na máquina;
- Cuidado com a “saidinha de banco”;
- Tome especial cuidado com esbarrões ou encontros acidentais, que possam levá-lo a perder de vista, temporariamente, o seu cartão magnético. Se isso ocorrer, verifique se o cartão que está em seu poder é realmente o seu. Em caso negativo, comunique o fato imediatamente ao banco;
- Ao efetuar pagamentos com seu cartão, não deixe que ele fique longe do seu controle e tome cuidado para que ninguém observe a digitação da sua senha. Se estiver efetuando o pagamento com cartão de crédito e alegarem que a fatura não ficou bem decalcada, exija que a mesma e a cópia carbono sejam rasgadas e inutilizadas. Ao recebê-lo de volta, verifique se é efetivamente o seu cartão;
- Solicite sempre a via do comprovante de venda e, antes de assiná-lo, confira o valor declarado da compra;
- Em viagem, se não for usar o cartão, deixe-o guardado no cofre do hotel;
Outros ataques interessantes que ja por aqui são os virus “jackpot”. Recentemente vimos o Ploutus no México e alguns casos já foram reportados no Brasil. Nesses ataques os criminosos infectam o caixa eletrônico usando um pendrive USB, o que é uma tarefa trivial pois a maioria dos caixa ainda rodam Windows XP. O vírus programa o equipamento para “cuspir” todo o dinheiro em situações específicas. Isso não afeta você diretamente, mas pode deixar um caixa eletrônico totalmente sem dinheiro e você terá que fazer seu saque em outro lugar.
Essas são algumas dicas para que você aproveite sua viagem durante a Copa do Mundo e use seus cartões de maneira segura.
Em nosso próximo blog da série meu amigo Dmitry Bestuzhev irá explicar como viajantes podem usar redes Wi-Fi públicas e carregadores de celular de uma maneira segura.
Fonte:http://brazil.kaspersky.com/especial-copa-do-mundo-2
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.