Como identificar e evitar Skimmers e Shimmers de cartão de crédito
Publicados: 2022-01-29Lembro-me vividamente do momento em que percebi como os cartões de crédito e débito são lamentavelmente inseguros. Observei alguém pegar um leitor de fita magnética USB de prateleira e conectá-lo a um computador, que o reconheceu como um teclado. Eles abriram um processador de texto e passaram o cartão. Uma série de números obedientemente apareceu no arquivo de texto. Era isso: as informações do cartão haviam sido furtadas.
Essa mesma tecnologia amadureceu e miniaturizou. Pequenos "skimmers" podem ser anexados a caixas eletrônicos e terminais de pagamento para extrair seus dados da tarja magnética do cartão (chamada de "tarja magnética"). Ainda menores "shimmers" são inseridos em leitores de cartão para atacar os chips em cartões mais novos. Agora também existe uma versão digital chamada e-skimming de dados de sites de pagamento. Felizmente, existem muitas maneiras de se proteger desses ataques.
O que são Skimmers?
Skimmers são leitores de cartões minúsculos e maliciosos escondidos em leitores de cartões legítimos que coletam dados de cada pessoa que passa seus cartões. Depois de deixar o hardware absorver os dados por algum tempo, um ladrão passará pela máquina comprometida para pegar o arquivo contendo todos os dados roubados. Com essas informações, ele pode criar cartões clonados ou apenas cometer fraudes. Talvez a parte mais assustadora seja que os skimmers geralmente não impedem que o caixa eletrônico ou o leitor de cartão de crédito funcionem corretamente, tornando-os mais difíceis de detectar.
Entrar nos caixas eletrônicos é difícil, então os skimmers às vezes se encaixam nos leitores de cartão existentes. Na maioria das vezes, os invasores também colocam uma câmera escondida em algum lugar nas proximidades para registrar números de identificação pessoal, ou PINs, usados para acessar contas. A câmera pode estar no leitor de cartão, montada na parte superior do caixa eletrônico ou até mesmo no teto. Alguns criminosos chegam a instalar teclados PIN falsos sobre os teclados reais para capturar o PIN diretamente, ignorando a necessidade de uma câmera.
Esta imagem é um skimmer da vida real em uso em um caixa eletrônico. Você vê aquele pedaço amarelo estranho e volumoso? Esse é o skimmer. Este é fácil de detectar porque tem uma cor e um material diferentes do resto da máquina, mas há outros sinais indicadores. Abaixo do slot onde você insere o cartão, há setas levantadas na caixa plástica do aparelho. Você pode ver como as setas cinzas estão muito próximas da caixa amarela do leitor, quase sobrepostas. Isso é sinal de que um skimmer foi instalado sobre o leitor existente, já que o leitor de cartão real teria algum espaço entre o slot do cartão e as setas.
Os fabricantes de caixas eletrônicos não aceitaram esse tipo de fraude. Os caixas eletrônicos mais recentes possuem defesas robustas contra adulteração, às vezes incluindo sistemas de radar destinados a detectar objetos inseridos ou conectados ao caixa eletrônico. No entanto, um pesquisador da conferência de segurança Black Hat conseguiu usar o dispositivo de radar integrado de um caixa eletrônico para capturar PINs como parte de um esquema elaborado.
Skimmers ainda são uma ameaça?
Enquanto pesquisávamos uma atualização para este artigo, entramos em contato com a Kaspersky Labs e os representantes da empresa nos disseram algo surpreendente: os ataques de skimming estavam em declínio. "Skimming era e ainda é uma coisa rara", disse o porta-voz da Kaspersky.
O representante da Kaspersky citou as estatísticas da UE da Associação Europeia para Transações Seguras (EAST) como indicativas de uma tendência maior. O EAST registrou um recorde de baixa nos ataques de skimmer, caindo de 1.496 incidentes em abril de 2020 para 321 incidentes em outubro do mesmo ano. Os efeitos do COVID-19 podem ter algo a ver com essa queda, mas ainda assim é dramático.
Isso não significa que o skimming tenha desaparecido, é claro. Em janeiro de 2021, um grande golpe de skimming foi descoberto em Nova Jersey. Envolveu ataques a mais de 1.000 clientes bancários, com criminosos tentando fugir com mais de US$ 1,5 milhão.
De Skimmers a Shimmers
Quando os bancos americanos finalmente alcançaram o resto do mundo e começaram a emitir cartões com chip, foi uma grande vantagem de segurança para os consumidores. Esses cartões com chip, ou cartões EMV, oferecem segurança mais robusta do que as tarjas magnéticas dolorosamente simples dos cartões de pagamento mais antigos. Mas os ladrões aprendem rápido e tiveram anos para aperfeiçoar ataques na Europa e no Canadá que visam cartões com chip.
Em vez de skimmers, que ficam em cima dos leitores de tarja magnética, os shimmers estão dentro dos leitores de cartão. Estes são dispositivos muito, muito finos e não podem ser vistos de fora. Quando você desliza o cartão, o shimmer lê os dados do chip do seu cartão, da mesma forma que um skimmer lê os dados da tarja magnética do seu cartão.
Existem algumas diferenças importantes, no entanto. Por um lado, a segurança integrada que vem com o EMV significa que os invasores só podem obter as mesmas informações que obteriam de um skimmer. Em seu blog, o pesquisador de segurança Brian Krebs explica que "embora os dados normalmente armazenados na tarja magnética de um cartão sejam replicados dentro do chip em cartões habilitados para chip, o chip contém componentes de segurança adicionais não encontrados em uma tarja magnética". Isso significa que os ladrões não poderiam duplicar o chip EMV, mas poderiam usar os dados do chip para clonar a tarja magnética ou usar suas informações para alguma outra fraude.
O representante da Kaspersky com quem conversamos foi inequívoco em sua confiança em cartões com chip. "O EMV ainda não está quebrado", disse Kaspersky à PCMag. "Os únicos hacks EMV bem-sucedidos estão em condições de laboratório."
O verdadeiro problema é que os brilhos estão escondidos dentro das máquinas das vítimas. O brilho na foto abaixo foi encontrado no Canadá e relatado ao RCMP (link do Internet Archive). É pouco mais que um circuito integrado impresso em uma fina folha de plástico.
Verifique se há adulteração
A verificação de adulteração em um dispositivo de ponto de venda pode ser difícil. A maioria de nós não fica na fila do supermercado por tempo suficiente para dar ao leitor uma boa revisão. Também é mais difícil para os ladrões atacarem essas máquinas, já que elas não são deixadas sem vigilância. Os caixas eletrônicos, por outro lado, muitas vezes são deixados desassistidos em vestíbulos ou mesmo ao ar livre, tornando-os alvos mais fáceis.
Embora a maior parte deste artigo discuta caixas eletrônicos, lembre-se de que postos de gasolina, estações de pagamento de transporte público e outras máquinas autônomas também estão prontas para ataques. Nosso conselho também se aplica a essas circunstâncias.
Ao se aproximar de um caixa eletrônico, verifique se há alguns sinais óbvios de adulteração na parte superior do caixa eletrônico, perto dos alto-falantes, na lateral da tela, no próprio leitor de cartão e no teclado. Se algo parecer diferente, como uma cor ou material diferente, gráficos que não estão alinhados corretamente ou qualquer outra coisa que não pareça correta, não use esse caixa eletrônico.
Se você estiver no banco, é uma boa ideia dar uma olhada rapidamente no caixa eletrônico ao lado do seu e compará-los. Se houver diferenças óbvias, não use nenhuma delas — em vez disso, denuncie a adulteração suspeita ao seu banco. Por exemplo, se um caixa eletrônico tiver uma entrada de cartão piscando para mostrar onde você deve inserir o cartão do caixa eletrônico e o outro caixa eletrônico tiver um slot simples, você sabe que algo está errado. A maioria dos skimmers são colados em cima do leitor existente e obscurecem o indicador intermitente.
Se o teclado não parecer certo - muito grosso ou descentralizado, talvez -, pode haver uma sobreposição de captura de PIN. Não use. Procure outros sinais de adulteração, como buracos que possam esconder uma câmera ou bolhas de cola de uma cirurgia de máquina apressada.
Mesmo que você não consiga ver nenhuma diferença visual, empurre tudo. Os caixas eletrônicos são solidamente construídos e geralmente não possuem peças soltas. Os leitores de cartão de crédito têm mais variação, mas ainda assim: Puxe as partes salientes, como o leitor de cartão. Veja se o teclado está firmemente conectado e apenas uma peça. Se alguma coisa se mover quando você a empurra, fique preocupado.
Pense em sua transação
Sempre que você inserir um PIN de cartão de débito, suponha que há alguém olhando. Talvez esteja sobre seu ombro ou através de uma câmera escondida. Mesmo que o caixa eletrônico ou a máquina de pagamento pareçam bem, cubra sua mão ao inserir seu PIN. A obtenção do PIN é essencial. Sem ele, os criminosos ficam limitados no que podem fazer com os dados roubados.
Os criminosos frequentemente instalam skimmers em caixas eletrônicos que não estão localizados em locais muito movimentados, pois não querem ser observados instalando hardware malicioso ou coletando os dados coletados (embora sempre haja exceções). Os caixas eletrônicos internos geralmente são mais seguros de usar do que os externos, pois os invasores podem acessar as máquinas externas sem serem vistos. Pare e considere a segurança do caixa eletrônico antes de usá-lo.
Sempre que possível, não utilize a tarja magnética do seu cartão para realizar a transação. A maioria dos terminais de pagamento agora usa tarja magnética como alternativa e solicitará que você insira seu chip em vez de passar o cartão. Se o terminal do cartão de crédito aceitar transações NFC, considere usar o Apple Pay, Samsung Pay ou Android Pay.
Esses serviços de pagamento sem contato tokenizam suas informações de cartão de crédito, para que seus dados reais nunca sejam expostos. Se um criminoso de alguma forma interceptar a transação, ele receberá apenas um número de cartão de crédito virtual inútil. Alguns dispositivos Samsung podem emular uma transação de tarja magnética através do telefone. Essa tecnologia é chamada de MST, mas agora foi descontinuada.
Um cenário que geralmente requer o uso de sua tarja magnética é pagar pelo combustível em uma bomba de gasolina. Eles são abundantes para ataques, porque muitos ainda não suportam transações EMV ou NFC e porque os invasores podem obter acesso às bombas sem serem notados. É muito mais seguro entrar e pagar ao caixa. Se não houver um caixa de plantão, use as mesmas dicas para usar os caixas eletrônicos e investigue o leitor de cartão antes de usá-lo.
Recomendado por nossos editores
De Skimmers a Shimmers a E-Skimmers
Não surpreendentemente, existe um equivalente digital chamado e-skimming. O hack da British Airways de 2018 aparentemente se baseou fortemente em tais táticas.
Como explicou Bogdan Botezatu, Diretor de Pesquisa e Relatórios de Ameaças da Bitdefender, e-skimming é quando um invasor insere um código malicioso em um site de pagamento que rouba as informações do seu cartão.
"Esses e-skimmers são adicionados comprometendo as credenciais da conta do administrador da loja online, o servidor de hospedagem da loja ou comprometendo diretamente o [fornecedor da plataforma de pagamento] para que distribuam cópias contaminadas de seu software", explicou Botezatu. Isso é semelhante a uma página de phishing, exceto que a página é autêntica - o código na página acabou de ser adulterado.
"Os ataques de e-skimming estão cada vez mais aptos a evitar a detecção", disse Botezatu. "Quanto mais tempo um invasor mantém essa posição, mais cartões de crédito eles podem coletar."
O combate a esse tipo de ataque depende, em última análise, das empresas que administram essas lojas. No entanto, existem algumas coisas que os consumidores podem fazer para se proteger. Botezatu sugeriu que os consumidores usem softwares de suíte de segurança em seus computadores, que segundo ele podem detectar códigos maliciosos e impedir que você insira suas informações.
Como alternativa, você pode evitar inserir as informações do seu cartão de crédito junto com os cartões de crédito virtuais. Estes são números de cartão de crédito fictícios que estão vinculados à sua conta de cartão de crédito real. Se um estiver comprometido, você não precisará obter um novo cartão de crédito, basta gerar um novo número virtual. Alguns bancos, como o Citi, oferecem isso como um recurso, então pergunte ao seu se está disponível. Se você não conseguir um cartão virtual de um banco, o Abine Blur oferece cartões de crédito mascarados aos assinantes, que funcionam de maneira semelhante. O Apple Pay e o Google Pay também são aceitos em alguns sites.
Outra opção é se inscrever em alertas de cartão. Alguns bancos enviarão um alerta push para o seu telefone sempre que o seu cartão de débito for usado. Isso é útil, pois você pode identificar imediatamente as compras falsas. Se o seu banco fornecer uma opção semelhante, tente ativá-la. Aplicativos de finanças pessoais como o Mint.com podem ajudar a facilitar a tarefa de classificar todas as suas transações.
Fique atento
Mesmo se você fizer tudo certo e passar por cima de cada centímetro de cada máquina de pagamento que encontrar (para o desgosto das pessoas atrás de você na fila), você pode ser alvo de fraude. Mas tenha coragem: contanto que você denuncie o roubo ao emissor do cartão (para cartões de crédito) ou banco (onde você tem sua conta) o mais rápido possível, você não será responsabilizado. Seu dinheiro será devolvido. Os clientes empresariais, por outro lado, não têm a mesma proteção legal e podem ter mais dificuldade em recuperar seu dinheiro.
Além disso, tente usar um cartão de crédito se fizer sentido para você. Uma transação de débito é uma transferência de dinheiro imediata e às vezes pode ser mais demorada para ser corrigida. As transações com cartão de crédito podem ser interrompidas e revertidas a qualquer momento. Isso pressiona os comerciantes a proteger melhor seus caixas eletrônicos e terminais de ponto de venda. O uso excessivo de crédito tem suas próprias armadilhas, portanto, tenha cuidado.
Por último, preste atenção ao seu telefone. Bancos e empresas de cartão de crédito geralmente têm políticas de detecção de fraudes muito ativas e entrarão em contato com você imediatamente, geralmente por telefone ou SMS, se perceberem algo suspeito. Responder rapidamente pode significar interromper os ataques antes que eles afetem você, portanto, mantenha seu telefone à mão.
Apenas lembre-se: se algo não parecer certo em um caixa eletrônico ou um leitor de cartão de crédito, não o use. Sempre que puder, use o chip em vez da tira do seu cartão. Sua conta bancária agradece.
Fahmida Y. Rashid contribuiu para esta história