Novos jeitos de chupar seu cartão de débito ou crédito
Por C@T +Biografia30 de Março de 2009
NOVOS JEITOS DE CHUPAR SEU CARTÃO DE DÉBITO OU CRÉDITO
Estão surgindo no submundo dos hackers do mal novas técnicas de fraude de cartões de crédito e débito. Este lamentável mas já esperado fenômeno está se manifestado com mais intensidade, pelo menos até agora, na Europa. “É fora da nossa realidade” — diriam uns — “Não vai acontecer aqui no Brasil”. Mas acreditar nisso é engano, pois provavelmente essa nova praga vai chegar aqui sim, mais cedo ou mais tarde. Se é que já não chegou.
Para situar a questão, em 2004 começaram a ser descobertas engenhosas instalações eletrônicas ilegais camufladas em caixas eletrônicos de banco, que são conhecidos no exterior como ATM (Automatic Teller Machine). Um dos primeiros, mais manjados e mais emblemáticos casos conhecidos foi o de um caixa eletrônico do Bradesco, fabricado pela empresa NCR, que recebeu uma câmera digital escamoteada e uma leitora de tarja magnética para clonar o cartão da vítima.
Aqui está o ATM mutretado. Olhando assim rapidinho parece
um caixa-eletrônico normal, não é?
Uma segunda leitora de cartões é colocada por sobre a
verdadeira, de modo a capturar os dados da tarja magnética
do usuário incauto.
O porta-panfletos à esquerda traz uma surpresa, uma
desagradável surpresa.
Ele abriga uma câmera escamoteada cuja visada inclui a
tela do monitor e o teclado do ATM, permitindo filmar as
teclas digitadas pelo correntista.
O porta-panfletos possui a câmera oculta, juntamente com
a bateria que a alimenta eletricamente e a antena transmissora
que permite ao larápio digital receber as imagens a uma
distância de até 200m do caixa-eletrônico, em geral de
dentro de um automóvel estacionado nas proximidades
do ATM.
A vítima do golpe inseria seu cartão magnético e ele imediatamente tinha seus dados copiados pela falsa leitora. A câmera filmava a digitação da senha e pronto. Os malfeitores ficavam com todas as informações necessárias para confeccionar um cartão clonado e, mais tarde, raspar a conta bancária da pobre criatura. Naturalmente, a adoção de smartcards dificultou bastante a aplicação desse golpe em função da presença do chip no cartão.
A técnica empregada nesse golpe é conhecida como “card-skimming” e, antes do uso da câmera, era implementada com a atuação de olheiros que esticavam a visão, enxergando os números digitados correspondentes à senha do usuário.
Na época, vários casos semelhantes foram reportados pelas autoridades em países como EUA, Canadá, Malásia e China. Nos EUA em especial, onde há vários caixas-eletrônicos independentes, ou seja, não mantidos por um ou mais bancos específicos, a malandragem atingiu o ápice. Um só gatuno, de nome Iljmija Frljuckic, comprou e instalou mais de 55 caixas-eletrônicos mutretados em várias cidades dos estados americanos da Flórida, Califórnia e Nova York. Acabou preso, mas conseguiu coletar informações de mais de 21 mil contas bancárias de 1.400 diferentes bancos e se apropriou indevidamente de mais de US$ 3,5 milhões dos correntistas vitimados pelo golpe.
O conselho dado aos clientes bancários é que procurem efetuar suas operações sempre nas mesmas máquinas de caixa-eletrônico, o que tornaria mais fácil perceber alterações sutis no equipamento. Apesar de já ser um golpe bem antigo, ele ainda é aplicado até hoje nas mais diversas regiões do mundo. Em 25 de março de 2009, por exemplo, na cidade de Melbourne, no sul da Austrália, foi noticiado mais um caso, desta vez, utilizando a câmera de um celular. Outro caso recente, também usando um celular modificado, pode ser visto aqui, numa reportagem em vídeo, em inglês.
Em outubro de 2008, foi descoberto um esquema ainda mais sofisticado aplicado na Grã-Bretanha por quadrilhas da China e do Paquistão. O chefe americano de contrainteligência, Dr. Joel Brenner, entrevistado pelo jornal londrino Daily Telegraph, declarou que centenas de ATMs em lojas e supermercados em toda a Europa foram adulterados de modo a capturar dados de cartões de débito e crédito e enviar essas informações ao malfeitores.
Segundo Brenner, a estratégia usada pelos vilões é tão complexa que antes só se imaginaria que um órgão governamental seria capaz de implementar uma rede tão organizada de operações. Os indícios são de que as quadrilhas adulteraram as máquinas ou durante o próprio processo de fabricação ou então logo depois delas saírem da linha de produção. E isso tem implicações bastante sérias pois pressupõe a existência de contatos dentro das próprias fábricas em questão ou em conluio com a cadeia logística envolvida na distribuição dos equipamentos.
Exemplo de um dos aparelhos adulterados pelas quadrilhas
chinesa e paquistanesa.
Trata-se de uma ofensiva conhecida como “ataque à cadeia de suprimento”, em que os criminosos superam as medidas de segurança na fase de manufatura. Ocorrência semelhante já causou escândalo nas próprias forças armadas do EUA, em que equipamento bélico possuía componentes feitos na China e, mais tarde, descobriu-se que algumas dessas peças poderiam ter funcionado como “espiões eletrônicos”, enviando dados secretos para adversários ou mesmo deliberadamente causando mau funcionamento do equipamento em momentos críticos.
De acordo com o Dr. Brenner, as máquinas ATM adulteradas foram abertas, modificadas e perfeitamente seladas novamente, tornando virtualmente impossível até mesmo para alguém trabalhando na fábrica detectar que houve adulteração. As máquinas em seguida foram exportadas para Grã-Bretanha, Irlanda, Holanda, Dinamarca e Bélgica. O golpe funcionou ao longo de nove meses e os dados dos correntistas foram transmitidos utilizando a rede de telefonia celular para hackers do mal localizados na cidade de Lahore, no Paquistão.
O jeito mais rápido e fácil de desativar a adulteração das máquinas foi simplesmente pesando-as. Afinal, os equipamentos adicionais pesavam entre 85 e 113 gramas. Para não ter que desmontar cada ATM para verificar se estava adulterado ou não, foi necessário apenas soltá-lo do chão e pô-lo numa balança. E assim foi feito. Várias equipes varreram os caixas-eletrônicos da rede e efetuaram as pesagens.
Outro caso assaz interessante foi o de alguns espertinhos que usaram o Google para fuxicar detalhes técnicos de ATMs Tranax e descobriram um jeito de, na hora do saque, a máquina cuspir notas de US$ 20 em vez de US$ 5. O truque ficou funcionando por vários dias até que uma velhinha honesta acusou que tinha recebido mais dinheiro do que tinha sacado. A notícia pode ser lida aqui, mas o vídeo infelizmente foi retirado do Youtube pela CNN.
Bem, até agora falamos de ataques ao hardware, ou seja, ofensivas em que os ladrões mexiam nas ferragens dos equipamentos. Mas a coisa está ficando ainda mais séria. Estão mexendo agora no software das máquinas. Em março de 2009, o IDG noticiou um ataque russo que inseriu software maligno em vários ATMs de banco. Segundo a reportagem, a empresa Diebold, fabricante de caixas-eletrônicos, entre outros produtos, liberou uma atualização de segurança para seu ATM Opteva de modo a solucionar a brecha que permitiu a golpistas penetrar em sistemas em vários estabelecimentos comerciais na Rússia.
O incidente tornou-se conhecido da Diebold em janeiro de 2009 e afetava os clientes de ATM baseado em Windows. Sim, Windows, sempre o “bom” e velho Windows. Apesar de não entrar em detalhes sobre o que de fato aconteceu, a Diebold afirmou que os ladrões precisaram ter acesso físico às máquinas para instalar o malware que interceptava as informações secretas dos usuários. No caso, trata-se de um ataque “low-tech” ao hardware da máquina, mas um ataque “high-tech” ao software.
A atualização de segurança da Diebold não especificava exatamente como os criminosos puderam instalar o software nefasto, mas apontou diversos fatores de risco que deveriam ser evitados, tais como (a tremenda burrice de) usar senhas adminstrativas comprometidas, não usar a versão trancada de Windows que é fornecida pela Diebold e configurar mal o software de firewall da Symantec que vem com os ATMs.
Nada a ver com fraudes em ATM, mas vale registrar o tipo
de erro crasso cometido pelo pessoal de manutenção de
caixas-eletrônicos bancários em Portugal. Neste caso, o
teclado foi montado de maneira errônea, causando ira em
um correntista mais enfático, que optou por escrever no
próprio equipamento o motivo de sua justificada ira.
O fornecedor de antivirus Sophos estima que o código malévolo em questão já estava circulando desde novembro de 2008. O cavalo-de-tróia foi batizado como Troj/Skimer-A pela empresa. Segundo a companhia, o autor do código provavelmente tinha profundos conhecimentos internos dos ATMs da Diebold, pois utilizou várias funções não documentadas, substituindo arquivos nas subpastas da Diebold instaladas, vasculhando dados de impressora e scanner, e interceptando transações nas moedas americana, russa e ucraniana. O Troj/Skimer-A não se dissemina de um computador para outro. Os criminosos tiveram mesmo que por a mão na massa, abrindo o ATM para nele enfiar o troiano. Quem se virar bem em inglês pode ler as duas cartas que a Diebold enviou a seus clientes acerca do caso: aqui e aqui.
Para nós, usuários, fica na garganta a amarga sensação de que estamos constantemente inseguros quando o assunto é cartão de débito ou de crédito. Esperemos que chegue logo o dia em que realizaremos nossos pagamentos eletrônicos apenas olhando para um sensor, que identificará nossa íris e autorizará a transação. A menos, é claro, que alguém tenha a brilhante idéia de nos arrancar o globo ocular para usá-lo com fins de identificação, tal como naquele filme do Tom Cruise.
Se um malfeitor do futuro quiser burlar um sistema de
identificação de íris, ele poderá ter idéias cruéis sobre
como fazê-lo.
Moleza. Bastará arrancar o globo ocular da vítima, mantê-lo
bem hidratado dentro de um vidrinho com soro fisiológico ou
leite, e depois mostrá-lo ao detector de íris para obter identificação
positiva.
Foi nesse filme que o personagem de Tom Cruise utilizou essa simpática técnica de identidade falsa.
Esse artigo tem seus direitos reservados.
Fonte:
http://www.forumpcs.com.br/coluna.php?b=252586
