Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

10/12/2010 - Computerworld PT Escrever Comentário Enviar Notícia por e-mail Feed RSS

Evolução na clonagem dos cartões de crédito

Tudo evolui nas TI – até as tecnologias utilizadas pelos criminosos que tentam extrair os dados dos cartões de crédito.

Num restaurante, o empregado levou o seu cartão de crédito e devolveu-o passados alguns segundos, acompanhado do recibo. Horas depois, recebe um telefonema do banco: alguém fez compras dispendiosas com o seu cartão. Foi mesmo você?
O skimming é uma forma de fraude financeira com recurso à tecnologia e que está em ascensão em todo o mundo. Usa mecanismos sofisticados de leitura de dados para copiar as informações da fita magnética de seu cartão de débito ou de crédito. Pode capturar tanto o número de seu cartão como o PIN (Personal Identification Number), ou “password” do cartão. O skimming tem sido utilizado não apenas em restaurantes mas também em postos de gasolina e caixas ATM.
O que o criminoso precisa de fazer é embutir um leitor de fita magnética sobre a fenda existente numa ATM ou substituir uma máquina de ponto de venda num estabelecimento comercial. Quando se passa o cartão, esse aparelho lê primeiro as informações, que em seguida são lidas pelo original, pelo que a transação decorre como esperado. Mas agora os criminosos têm uma cópia exacta dos dados do seu cartão, sem que se tenha dado conta.
Os aparelhos de skimming mais antigos exigiam que os criminosos regressassem para recolher as informações registadas de tempos a tempos – e, com isso, corriam um risco maior de serem descobertos. Mas os novos aparelhos podem transmitir os dados do cartão aos ladrões, tanto por via Bluetooth (que tem um alcance restrito) ou por telemóvel.
Desta forma, os ladrões – que podem estar num carro próximo ou no outro lado do planeta – capturam os números do cartão em tempo real, no instante em que o seu detentor faz uma compra ou levantamento.
Os postos de gasolina podem igualmente ser vulneráveis a este tipo de golpe, pelo menos nos Estados Unidos. As bombas de hoje são tão automáticas que funcionam em sistema self-service, o que dá aos criminosos a oportunidade de embutir os aparelhos de skimming durante a noite. Numa cidade do estado do Colorado, um funcionário da manutenção descobriu destes aparelhos em três bombas de gasolina e, este ano, uma investigação policial detectou 180 postos de gasolina no Utah com estes aparelhos.
Um residente afirmou numa reportagem da televisão local que “não posso dizer o que há de diferente entre um leitor real e um falso, por isso, certamente que iria passar nele o meu cartão”.
Os ataques de skimming tornaram-se tão comuns no Arizona em 2009 que o governador daquele Estado ordenou à polícia rodoviária para inspeccionar os postos de gasolina das principais estradas.
As caixas eletrónicas são vulneráveis pelas mesmas razões dos postos de gasolina: ficam expostas e sem vigilância. Na Europa, organizações criminosas escolheram as ATMs como alvo mas essa onda já atinge as maiores cidades dos EUA.
Numa apresentação na Black Hat USA 2008, os investigadores da área de segurança informática Nitesh Dhanjani e Billy Rios mostraram fotos de um armazém repleto de leitores e teclados de cartões magnéticos, moldados em plásticos de cores diferentes, para serem instalados em ATMs.
Em resposta a este tipo de ameaça, o banco Absa, na África do Sul, introduziu um sistema de segurança para borrifar gás pimenta em 11 das ATMs mais procuradas para o skimming. Infelizmente, as equipas de manutenção que tentavam consertar os equipamentos eram, de vez em quando, vítimas do dispositivo.
Recolher os dados do cartão de crédito é uma maneira relativamente simples para capturar o número da conta bancária. Os cartões de débito são assim mais desejados pelos criminosos porque podem entrar numa conta bancária rápida e eficazmente sem que alguém detecte o que está a acontecer.
A rede do cartão monitoriza o uso do cartão de crédito e há políticas rigorosas para a prevenção de riscos e fraudes. Em contraste, os cartões de débito ligam-se directamente à conta corrente – embora obter o PIN associado ao cartão de débito seja um pouco mais difícil.
A forma “high tech” mais comum para roubar os PINs é através de minúsculas câmaras com uma objectiva olho-de-peixe e um dispositivo eletrónico sobreposto ao teclado. Os criminosos são frequentemente apanhados enquanto estão a montar ou a remover essas câmaras, mas recentemente descobriram meios menos óbvios para roubar os PINs.
Estes podem ser de quatro ou seis dígitos. Quando a chave é o PIN, o software da ATM ou do ponto de venda converte-o automaticamente num algoritmo de sentido único chamado hash. Assim, se alguém captura a transferência de dados, verá apenas o valor hash resultante mas não os quatro ou seis dígitos originais.
Por si mesmo, um PIN que passou pelo hash é uma sequência inútil de números. Não se podem digitar os números porque esses dígitos seriam convertidos num outro valor. Em vez disso, é necessário encontrar um modo de gerar esse hash, o que não era muito fácil.
Mas em 2008, o FBI revelou que criminosos usaram os PINs de clientes do Citibank durante um golpe em Manhattan. De acordo com documentos da agência, eles localizaram os dados do PIN por meio de uma falha de segurança, analisaram e decifraram o algoritmo utilizado, e geraram então uma tabela com todos os números possíveis de quatro e seis dígitos que o algoritmo podia produzir – algo que é chamado, em criptografia, de Tabela Rainbow.
Os criminosos não tiveram de achar o número exacto do PIN, tinham apenas de encontrar um número de quatro ou seis dígitos capaz de produzir o mesmo valor hash.
Apesar dos criminosos poderem reproduzir o valor hash cifrado, não podem sacar mais do que uma certa quantia de dinheiro durante uma única transação ou num certo período de tempo – a menos que alguém dentro do banco ajuste esses valores. Isso aconteceu a 8 de Novembro de 2008, quando um grupo roubou a empresa de processamento de pagamentos RBS Worldpay, ligada ao Royal Bank of Scotland. Em 12 horas, eles sacaram cerca de 9,4 milhões de dólares de caixas eletrónicas em 230 cidades de todo o mundo. Durante o processo, alguém dentro do banco esteve a aumentar os limites de saque das contas – num dos casos, para 500 mil dólares.
Em resultado desta operação, um suspeito natural da Estónia foi extraditado para os Estados Unidos em Agosto de 2010. Outro – Victor Pleshchuk, de 28 anos – foi condenado a quatro anos de liberdade condicional por um tribunal russo. Um terceiro suspeito, não identificado, permanece em liberdade.
Desde os ataques de 2008, as redes bancárias e de cartões de crédito melhoraram consideravelmente os seus sistemas de defesa. Os fabricantes das caixas eletrónicas oferecem agora uma melhor protecção dos dados, por meio de tecnologias avançadas. Por exemplo, os filtros de privacidade fazem com que os ecrãs das TM se tornem ilegíveis quando vistos de certos ângulos, para prevenir a acção de bisbilhoteiros. Algumas caixas têm teclados afundados para que as câmaras de vídeo não possam registar a sua senha, e agitam os cartões inseridos para que os aparelhos de skimming não os possam ler.
Apesar dos avanços, quando estiver diante de uma caixa eletrónica e tiver qualquer razão para suspeitar de que ela pode estar comprometida, não a use. Passe os dedos no leitor do cartão para ver se há algo solto ou que simplesmente não bate certo. Se descobrir algo estranho, informe o banco e procure outra caixa para realizar a sua transacção.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 352 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal