13/09/2017 - Bonde do cartão clonado: como os criminosos roubam dados de cartões de crédito
VoltarPor: Rodrigo Ghedin
No primeiro dia da Cúpula Latino-americana de Analistas de Segurança, evento organizado pela empresa de segurança digital Kaspersky em Buenos Aires, Argentina, ouviu-se um funk em uma das apresentações. Fábio Assolini mostrou o clipe durante a sua fala devido à letra, que exalta o fruto de um crime digital: a clonagem de cartões de crédito.
Os funks celebrando a clonagem de cartões são facilmente encontrados no YouTube, junto a tutoriais e anúncios para a venda de ferramentas. Esses conteúdos também podem ser encontrados em grupos no Facebook. Não há muito pudor ou preocupação e trata-se de sintoma de uma prática cada vez mais comum.
O dinheiro de plástico já é usado por 22% da população da América Latina. No Brasil, são 28,8 milhões de adultos com acesso a ele. O surgimento das fintechs, que cortam a burocracia e exigem menos garantias para cederem cartões de crédito, estão ajudando na popularização desse meio de pagamento.
Em paralelo, aumenta também o interesse de criminosos na obtenção de dados de cartões. Algumas práticas não são novas — golpes que têm esse alvo datam de pelo menos 2005 — e as técnicas mais modernas são bastante engenhosas.
Mesmo o chip de segurança, presente na maioria dos cartões de crédito em circulação no Brasil, são suscetíveis à clonagem, seja do modo mais sofisticado, como um “skimmer" (popularmente conhecido como "chupa-cabras”) capaz de copiar as informações do chip quando o cartão é inserido em um caixa automático comprometido, situação flagrada no México; seja por ações grosseiras, como literalmente recortar o chip nesse processo. Isso aconteceu no Brasil.
De qualquer forma, há um detalhe interessante que facilita o uso de dados de cartões roubados: para compras online, o chip de segurança é totalmente dispensável.
Como se clona um cartão?
Além dos chupa-cabras, que são modificações não autorizadas em caixas automáticos feitas a fim de capturar dados do cartão, há outras formas de consegui-los. Assolini cita algumas: maquininhas adulteradas, caixas automáticos inteiros falsificados, a velha engenharia social e, no que considera o caso mais grave, os terminais de venda (PoS, de "point of sale", ou ponto de venda em português) infectados por vírus.
Esses terminais são computadores comuns que recebem pagamentos de cartão através de um dispositivo que lê o cartão e tem um teclado numérico para a inserção de senhas, chamado PIN Pad. Eles ainda são populares em mercados, hotéis e postos de gasolina, por exemplo. Por estarem ligados a sistemas de uso geral, como o Windows, podem ser comprometidos com mais facilidade. E ainda trazem uma vantagem valiosa ao criminoso: é o único método de clonagem de cartão que pode ser implementado e gerenciado remotamente, sem que ele tenha contato direto com a vítima.
Outra peculiaridade da clonagem de cartões é a proximidade com o crime tradicional. Para fazer uso dos outros métodos, os carders, como são chamados os criminosos que obtêm e negociam esses dados, precisam do auxílio de alguém que vá ao local e faça o trabalho manual quando não o aplica via PoS. Após a aquisição dos dados, eles "negociam com criminosos tradicionais, que fazem compras online fraudulentas, negociam veículos e são até usado pelo narcotráfico. O carder eé o cara mais próximo do crime tradicional", diz Assolini.
Briga de gato e rato
O primeiro vírus de PoS foi descoberto pela Visa, em 2008. Hoje, a Kaspersky tem conhecimento de 40 famílias de vírus do tipo, feitos especialmente para infectar computadores de pontos de venda e transmitir, sem que o dono do estabelecimento ou seus clientes saibam, dados de cartões para servidores remotos.
Como em outras áreas da segurança digital, há uma briga de gato e rato entre os criminosos e as empresas de segurança. Quando os ataques a PoS começaram, os vírus conseguiam os dados durante o trânsito, ou seja, enquanto eles eram transferidos do PIN Pad para o computador. As operadoras de cartões identificaram o problema e passaram a codificar esses dados durante o trânsito, fechando a brecha.
Não foi suficiente para barrar a ação dos criminosos. Com aquela porta fechada, os novos vírus passaram a vasculhar uma memória temporária do computador (RAM, abreviação em inglês de "memória de acesso aleatório”), que grava os dados do cartão sem criptografia. A técnica é chamada "memory scraping".
Outra grande virada no mercado de clonagem de cartão foi a abertura do código-fonte do vírus Dexter. Houve uma explosão no número de detecções em 2015, quando isso aconteceu. Na prática, com o código-fonte divulgado, qualquer um pode, sem muita dificuldade e com custo zero, criar seu próprio vírus de PoS e modificar ou melhorar o código original.
Outros vírus, como o Katrina e o Neutrino, são vendidos em lugares obscuros da Internet por valores que chegam a US$ 2.200. O Neutrino chega a oferecer um painel de controle sofisticado, do tipo que qualquer um consegue operar.
Como se proteger
Ter o cartão clonado é um risco constante. Mesmo a pessoa mais diligente está sujeita a isso — o próprio Assolini já foi vítima. Ele dá algumas dicas para amenizar as chances de passar por esse sufoco:
· Cubra o teclado do terminal automático na hora de digitar a senha. Alguns terminais adulterados têm câmeras que capturam a digitação da senha;
· Não perca de vista seu cartão na hora de realizar pagamentos;
· Evite usar terminais que ficam na rua. Os que estão dentro das agências e de estabelecimentos comerciais são mais vigiados e, portanto, difíceis de serem adulterados;
· Tenha mais de um cartão de crédito. Se um deles for clonado, você não ficará sem acesso a esse meio de pagamento até resolver o problema; e
· Revise o saldo regularmente. Se seu banco ou operadora oferecer apps e serviços de alerta por SMS, ative-os. Assim, caso o cartão seja clonado e alguém tente fazer compras não autorizadas em seu nome, você saberá de imediato e poderá tomar as providências adequadas, como cancelar o cartão e comunicar a operadora.