Lembro-me vividamente do momento em que me apercebi de quão terrivelmente inseguros são os cartões de crédito e débito. Observei como alguém pegou num leitor de banda magnética USB e ligou-o a um computador, que o reconheceu como um teclado. Abriram um processador de texto e roubaram o cartão. Uma série de números apareceu devidamente no ficheiro de texto. E assim foi: A informação do cartão tinha sido roubada.
A mesma tecnologia amadureceu e miniaturizou-se. Pequenos “escumadores” podem ser ligados a caixas multibanco e terminais de pagamento para escumar os seus dados da banda magnética do cartão (chamada “magstripe”). Ainda mais pequenos “cintiladores” são inseridos em leitores de cartões para atacar os chips em cartões mais recentes. Agora existe também uma versão digital chamada “e-skimming furtar dados de sites de pagamento. Felizmente, há muitas formas de se proteger destes ataques.
What Are Skimmers?
Skimmers are tiny, malicious card readers hidden within legitimate card readers that harvest data from every person that swipes their cards. Depois de deixar que o hardware goste de dados durante algum tempo, um ladrão irá parar na máquina comprometida para recolher o ficheiro que contém todos os dados roubados. Com essa informação, ele pode criar cartões clonados ou simplesmente cometer fraude. Talvez a parte mais assustadora seja que os escumadores muitas vezes não impedem o funcionamento correcto do ATM ou do leitor de cartões de crédito, tornando-os mais difíceis de detectar.
Apanhar dentro dos ATMs é difícil, pelo que os escumadores de ATMs por vezes encaixam sobre os leitores de cartões existentes. Na maioria das vezes, os atacantes também colocam uma câmara escondida algures nas proximidades, a fim de registar números de identificação pessoal, ou PINs, utilizados para aceder a contas. A câmara pode estar no leitor de cartões, montada na parte superior da caixa multibanco, ou mesmo no tecto. Alguns criminosos vão ao ponto de instalarem falsos PINs sobre os teclados reais para capturar directamente o PIN, contornando a necessidade de uma câmara.
Esta imagem é um escumador da vida real em uso numa caixa multibanco. Vê aquele pedaço amarelo esquisito e volumoso? É o escumador. Este é fácil de detectar porque tem uma cor e material diferente do resto da máquina, mas existem outros sinais de avisadores. Por baixo da ranhura onde se insere o cartão, há setas elevadas na caixa de plástico da máquina. Pode ver como as setas cinzentas estão muito próximas da caixa de leitura amarela, quase sobrepostas. Isto é um sinal de que um escumador foi instalado sobre o leitor existente, uma vez que o verdadeiro leitor de cartões teria algum espaço entre a ranhura do cartão e as setas.
ATM fabricantes não aceitaram este tipo de fraude deitado. As caixas multibanco mais recentes ostentam defesas robustas contra adulterações, por vezes incluindo sistemas de radar destinados a detectar objectos inseridos ou anexados à caixa multibanco. Contudo, um investigador na conferência de segurança Black Hat foi capaz de usar um dispositivo de radar de bordo de uma ATM para capturar PINs como parte de um esquema elaborado.
Are Skimmers Still a Threat?
Enquanto pesquisávamos uma actualização deste artigo, contactámos a Kaspersky Labs, e representantes de empresas disseram-nos algo surpreendente: os ataques de skimmers estavam em declínio. “A escumação era e ainda é uma coisa rara”, disse o porta-voz de Kaspersky.
O representante de Kaspersky citou as estatísticas da UE da Associação Europeia para Transacções Seguras (EAST) como indicativo de uma tendência maior. A ORIENTE relatou um recorde de ataques de escumadores, caindo de 1.496 incidentes em Abril de 2020 para 321 incidentes em Outubro do mesmo ano. Os efeitos da COVID-19 podem ter algo a ver com essa queda, mas é no entanto dramática.
Isso não significa que a escumação tenha desaparecido, é claro. Ainda em Janeiro de 2021, um grande esquema de escumação foi desenterrado em Nova Jersey. Envolveu ataques a mais de 1.000 clientes bancários, com criminosos a tentarem fugir com mais de 1,5 milhões de dólares.
From Skimmers to Shimmers
Quando os bancos americanos finalmente alcançaram o resto do mundo e começaram a emitir cartões com chip, foi uma grande bênção de segurança para os consumidores. Estes cartões com chip, ou cartões EMV, oferecem uma segurança mais robusta do que as faixas magnéticas dolorosamente simples dos cartões de pagamento mais antigos. Mas os ladrões aprendem depressa, e tiveram anos para aperfeiçoar os ataques na Europa e no Canadá que visam os cartões com chip.
Em vez de escumadores, que se sentam em cima dos leitores de listras magnéticas, os escumadores estão dentro dos leitores de cartões. Estes são dispositivos muito, muito finos e não podem ser vistos do exterior. Quando desliza o seu cartão para dentro, o cintilador lê os dados do chip no seu cartão, da mesma forma que um escumador lê os dados na banda magnética do seu cartão.
Existem, no entanto, algumas diferenças importantes. Para uma, a segurança integrada que vem com EMV significa que os atacantes só podem obter a mesma informação que obteriam de um escumador. No seu blogue, o investigador de segurança Brian Krebs explica que “Embora os dados que são tipicamente armazenados na banda magnética de um cartão sejam replicados dentro do chip em cartões com chip, o chip contém componentes de segurança adicionais não encontrados numa banda magnética”. Isto significa que os ladrões não podiam duplicar o chip EMV, mas podiam utilizar os dados do chip para clonar a banda magnética ou utilizar a sua informação para alguma outra fraude.
O representante Kaspersky com quem falámos foi inequívoco na sua confiança nos cartões com chip. “O EMV ainda não está partido”, disse Kaspersky à PCMag. “Os únicos hacks EMV de sucesso estão em condições de laboratório”
O verdadeiro problema é que os cintiladores estão escondidos dentro das máquinas das vítimas. O tremeluzente retratado abaixo foi encontrado no Canadá e reportado ao RCMP (Internet Archive link). É pouco mais do que um circuito integrado impresso numa fina folha de plástico.
Crédito de imagem: Coquitlam RCMP
Check for Tampering
Check for tampering num dispositivo de ponto de venda pode ser difícil. A maioria de nós não está na fila da mercearia o tempo suficiente para dar ao leitor uma boa leitura. Também é mais difícil para os ladrões atacar estas máquinas, uma vez que não são deixadas sem vigilância. Os caixas automáticos, por outro lado, são frequentemente deixados sem vigilância em vestíbulos ou mesmo ao ar livre, o que os torna alvos mais fáceis.
Embora a maioria deste artigo discuta as caixas multibanco, tenha em mente que as estações de serviço, estações de pagamento para o trânsito público, e outras máquinas não vigiadas, também estão maduras para o ataque. O nosso conselho aplica-se também nestas circunstâncias.
Quando se aproximar de uma caixa multibanco, verifique alguns sinais óbvios de adulteração na parte superior da caixa, perto dos altifalantes, do lado do ecrã, do próprio leitor de cartões, e do teclado. Se algo parecer diferente, tal como uma cor ou material diferente, gráficos que não estejam alinhados correctamente, ou qualquer outra coisa que não pareça bem, não use esse ATM.
Se estiver no banco, é uma boa ideia dar rapidamente uma vista de olhos à caixa multibanco ao lado da sua e compará-las. Se houver diferenças óbvias, não use nenhuma delas em vez de uma só, informe o seu banco sobre a adulteração suspeita. Por exemplo, se uma ATM tem uma entrada de cartão intermitente para mostrar onde deve inserir o cartão ATM e a outra ATM tem uma entrada simples, sabe que algo está errado. A maioria dos escumadores estão colados em cima do leitor existente e irão obscurecer o indicador intermitente.
Se o teclado não se sentir bem espesso ou fora do centro, pode haver uma sobreposição de PINs. Não o utilize. Procure outros sinais de adulteração como buracos que possam esconder uma câmara, ou bolhas de cola de uma cirurgia apressada a uma máquina.
P>Even, se não conseguir ver nenhuma diferença visual, empurre para tudo. As caixas multibanco são solidamente construídas e geralmente não têm quaisquer peças soltas. Os leitores de cartões de crédito têm mais variações, mas mesmo assim: puxar em peças salientes como o leitor de cartões. Veja se o teclado está bem fixo e apenas uma peça. Se alguma coisa se mexer quando o empurrar, preocupe-se.
Pense através da sua transacção
Quando introduzir um PIN de cartão de débito, assuma que há alguém a olhar. Talvez seja por cima do ombro ou através de uma câmara escondida. Mesmo que o multibanco ou a máquina de pagamento pareçam estar bem, cubra a sua mão enquanto introduz o seu PIN. A obtenção do PIN é essencial. Sem ela, os criminosos ficam limitados no que podem fazer com os dados roubados.
Os criminosos instalam frequentemente skimmers em caixas multibanco que não estão localizados em locais excessivamente ocupados, uma vez que não querem ser observados a instalar hardware malicioso ou a recolher os dados colhidos (embora haja sempre excepções). Os ATMs de interior são geralmente mais seguros de utilizar do que os de exterior, uma vez que os atacantes podem aceder a máquinas de exterior sem serem vistos. Pare e considere a segurança do ATM antes de o utilizar.
Sempre que possível, não utilize a banda magnética do seu cartão para realizar a transacção. A maior parte dos terminais de pagamento utilizam agora a banda magnética como um recurso e irão pedir-lhe que insira o seu chip em vez de passar o seu cartão. Se o terminal de cartão de crédito aceitar transacções NFC, considere utilizar o Apple Pay, Samsung Pay, ou Android Pay.
Estes serviços de pagamento sem contacto assinalam as informações do seu cartão de crédito, para que os seus dados reais nunca sejam expostos. Se um criminoso de alguma forma interceptar a transacção, apenas receberá um número de cartão de crédito virtual inútil. Alguns dispositivos Samsung poderiam emular uma transacção de banda magnética através do telefone. Esta tecnologia chama-se MST, mas foi agora descontinuada.
Um cenário que muitas vezes requer a utilização da sua banda magnética é o pagamento de combustível numa bomba de gás. Estes estão disponíveis para ataques, porque muitos ainda não suportam transacções EMV ou NFC, e porque os atacantes podem ganhar acesso às bombas sem serem notados. É muito mais seguro entrar e pagar ao caixa. Se não houver um caixa de serviço, use as mesmas dicas para usar caixas automáticas e investigue o leitor de cartões antes de o usar.
Recomendado pelos Nossos Editores
From Skimmers to Shimmers to E-Skimmers
Não é de surpreender que haja um equivalente digital chamado e-skimming. O hack da British Airways de 2018 aparentemente dependia fortemente de tais tácticas.
Como explicou Bogdan Botezatu, Director de Investigação de Ameaças e Relatórios na Bitdefender, e-skimming é quando um atacante insere código malicioso num website de pagamento que arrebata a informação do seu cartão.
“Estes e-skimmers são adicionados ou comprometendo as credenciais de conta do administrador da loja online, o servidor de alojamento web da loja, ou comprometendo directamente a distribuição de cópias contaminadas do seu software”, explicou Botezatu. Isto é semelhante a uma página de phishing, excepto que a página é autêntica – o código da página acabou de ser adulterado.
“os ataques de e-skimming estão a tornar-se cada vez mais adeptos da detecção de fugas”, disse Botezatu. “Quanto mais tempo um atacante mantém esta base, mais cartões de crédito são capazes de recolher”
Combater este tipo de ataque depende, em última análise, das empresas que gerem estas lojas. No entanto, há algumas coisas que os consumidores podem fazer para se protegerem. Botezatu sugeriu que os consumidores utilizem software de segurança nos seus computadores, o que, segundo ele, pode detectar código malicioso e impedir a introdução de informação.
Alternativamente, pode evitar introduzir as informações do seu cartão de crédito, tudo junto com cartões de crédito virtuais. Estes são números falsos de cartão de crédito que estão ligados à sua conta de cartão de crédito real. Se um for comprometido, não terá de obter um novo cartão de crédito, basta gerar um novo número virtual. Alguns bancos, como o Citi, oferecem-no como uma funcionalidade, por isso pergunte ao seu se está disponível. Se não conseguir obter um cartão virtual de um banco, Abine Blur oferece cartões de crédito mascarados aos subscritores, que funcionam de forma semelhante. Apple Pay e Google Pay também são aceites em alguns websites, também.
Outra opção é inscrever-se em alertas de cartões. Alguns bancos enviarão um alerta push para o seu telefone cada vez que o seu cartão de débito for utilizado. Isto é útil, uma vez que pode identificar imediatamente as compras fictícias. Se o seu banco fornece uma opção semelhante, tente ligá-la. Aplicações financeiras pessoais como a Mint.com podem ajudar a facilitar a tarefa de classificar todas as suas transacções.
Stay Aware
Even se fizer tudo bem e passar por cima de cada centímetro de cada máquina de pagamento que encontrar (muito para desgosto das pessoas atrás de si na fila) pode ser alvo de fraude. Mas tenha bom ânimo: Desde que comunique o roubo ao emissor do seu cartão (para cartões de crédito) ou ao banco (onde tem a sua conta) o mais cedo possível, não será responsabilizado. O seu dinheiro será devolvido. Os clientes empresariais, por outro lado, não têm a mesma protecção legal e podem ter mais dificuldades em recuperar o seu dinheiro.
Também, tente usar um cartão de crédito se isso fizer sentido para si. Uma transacção de débito é uma transferência imediata de dinheiro e pode, por vezes, ser mais demorada a corrigir. As transacções com cartão de crédito podem ser interrompidas e revertidas em qualquer altura. Ao fazê-lo, os comerciantes são pressionados a proteger melhor os seus caixas automáticos e terminais de ponto de venda. O uso excessivo do crédito tem, no entanto, as suas próprias armadilhas, por isso, tenha cuidado.
P>Pelos vistos, preste atenção ao seu telefone. Os bancos e as empresas de cartões de crédito têm geralmente políticas muito activas de detecção de fraudes e contactá-lo-ão imediatamente, geralmente por telefone ou SMS, se notarem algo suspeito. Responder rapidamente pode significar parar os ataques antes que eles o possam afectar, por isso mantenha o seu telefone à mão.
P>Não se esqueça: Se algo não se sentir bem com uma caixa multibanco ou um leitor de cartões de crédito, não o utilize. Sempre que puder, utilize o chip em vez da faixa do seu cartão. A sua conta bancária irá agradecer-lhe.
Fahmida Y. Rashid contribuiu para esta história