Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


ÚLTIMOS TREINAMENTOS DE 2017 SOBRE FRAUDES e DOCUMENTOSCOPIA

Veja aqui a programação dos últimos treinamentos sobre Falsificações e Fraudes Documentais (16/11) e sobre Prevenção e Combate a Fraudes em Empresas (30/11).

Acompanhe nosso Twitter

15/02/2012 - Decision Report Escrever Comentário Enviar Notícia por e-mail Feed RSS

Vírus chupa cabra: ataques aos dispositivos de pagamento


Você provavelmente já ouviu falar sobre o “Chupa Cabra”, uma criatura mítica que supostamente habita alguns países da América Central. Em tempos recentes chegou-se a anunciar que a tal criatura foi capturada em Porto Rico. Essa história é bastante popular em partes do México e nos Estados Unidos, especialmente entre as comunidades latino-americanas. O nome “chupa cabra” também foi adotado pelos carders brasileiros (criminosos especializados em clonar cartões de crédito) para designar equipamentos instalados em caixas eletrônicos. Eles usam esse nome porque o “chupa cabra” instalado nesses caixas irá “chupar” as informações do cartão de crédito da vítima.

É muito comum encontrar matérias na imprensa mostrando criminosos sendo presos por instalarem dispositivos “chupa cabras” em caixas eletrônicos de bancos. Alguns desses criminosos, por incompetência ou falta de sorte, muitas vezes são pegos pelas câmeras de segurança do local ou até mesmo pela polícia.

De fato, instalar um chupa cabra em um caixa eletrônico é algo arriscado para esses criminosos. E é exatamente por isso que os carders brasileiros juntaram forças com os criadores de códigos maliciosos no país para desenvolver um jeito mais fácil e seguro de roubar informações e clonar cartões de créditos. Dessa cooperação nasceu o “vírus chupa cabra”.

A idéia é simples: os criminosos desenvolveram uma maneira de instalar códigos maliciosos em computadores que usam Windows. Esses códigos maliciosos tem a função de interceptar a comunicação de PIN Pads - dispositivos do tipo que usamos para pagar contas em supermercados, postos de gasolina, lugares onde se aceita cartões de crédito e débito.

O vírus chupa cabra foi primeiramente detectado no Brasil em Dezembro de 2010, sendo detectado como Trojan-Spy.Win32.SPSniffer e possui 4 variantes (A, B, C e D). Geralmente esse vírus é altamente especializado e distribuído para alvos pré-estabelecidos. Infelizmente esse tipo de ataque está em franco crescimento – já sabemos de casos confirmados nos Estados Unidos usando a mesma técnica, e provavelmente há casos similares em outros lugares do mundo.

Ação criminosa

Claro que os PIN Pads são protegidos pelos fabricantes. Esses equipamentos possuem recursos de hardware e software para assegurar que as chaves de segurança sejam apagadas caso alguém tente abrir ou adulterar o dispositivo. De fato, o PIN (a senha) é criptografado imediatamente ao ser digitado no teclado do dispositivo, usando uma variedade de esquemas criptográficos e chaves simétricas. Geralmente os dispositivos usam um encoder triple DES, tornando muito difícil descobrir qual foi o PIN inserido no dispositivo, no ato da operação.

Mas havia um problema: estes dispositivos sempre são conectados a um computador através de porta USB ou serial, que se comunica com um software de TEF (Transferência eletrônica de fundos). PIN Pads antigos e desatualizados, ainda utilizados no Brasil nessa data eram vulneráveis a uma falha de design: eles não costumavam criptografar alguns dados do seu cartão, como o “Track 1”, enviando-os em modo “texto plano” para o computador.

Os dados “Track 1” de um cartão de crédito e os dados públicos do CHIP não eram criptografados no hardware desses PIN Pads. Esses dados geralmente são o número de cartão de crédito, a data de expiração, o service code e o CVV (Card Verification Value), resumidamente, capturando esses dados eram suficientes para que um criminoso pudesse clonar seu cartão e começar a gastar seu dinheiro.

O malware instalava um simples driver sniffer na porta serial ou USB, geralmente adaptados de softwares comerciais legítimos como o Eltima e o TVicPort, “chupando” toda a informação que trafegava entre o PIN Pad e o computador. As primeiras versões do vírus “chupa cabra” também instalava um controle Active X e uma DLL maliciosa para roubar todas as informações transmitidas em todas as portas seriais do computador, não importam qual dispositivo estivesse conectado nelas.

Disseminação

As novas versões do “virus chupa cabra” usavam o driver do TVicCommSpy (software legítimo, usado por desenvolvedores) com o mesmo objetivo: capturar os dados transmitidos via porta USB.

Adicionalmente a DLL maliciosa também gravava todas as informações digitadas no teclado, atuando como um keylogger. Todos os dados capturados da Track 1 dos cartões de crédito e as informações dos computadores infectados eram gravadas em um arquivo e enviadas para o criminoso, geralmente através de e-mail.

Para se assegurar de que as informações roubadas seriam enviadas em um modo “seguro”, o vírus usava um sistema simétrico de criptografia, com um nome de chave Unicode muito interessante: Robin Hood.

Uma vez que o problema foi detectado, as companhias de cartão de crédito no Brasil passaram a instalar atualizações de firmware nos PIN Pads vulneráveis. Essa atualização corrigiu o problema por completo.

Essa é a história real do Trojan-Spy.Win32.SPSniffer, o vírus chupa cabra, que foi desenvolvido numa parceria entre os carders e criadores de vírus brasileiros. Mas uma parceria entre a Kaspersky Lab e uma companhia líder no segmento de cartões de crédito no Brasil proveu detecção e remoção do código malicioso.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 1006 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2017 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal