Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


ÚLTIMOS TREINAMENTOS DE 2017 SOBRE FRAUDES e DOCUMENTOSCOPIA

Veja aqui a programação dos últimos treinamentos sobre Falsificações e Fraudes Documentais (16/11) e sobre Prevenção e Combate a Fraudes em Empresas (30/11).

Acompanhe nosso Twitter

03/03/2012 - IP Jornal Escrever Comentário Enviar Notícia por e-mail Feed RSS

Vírus “chupa cabra”: ataques contra dispositivos de pagamento

Um elaborado esquema de roubo de dados de cartões de crédito em caixas automáticas foi detectado no Brasil. Temendo a disseminação do fenómeno, nomeadamente a sua possível chegada a Portugal, a Kaspersky Lab alerta instituições bancárias e emissoras de cartões de crédito para as consequências destes ataques.

Provavelmente já ouviu falar sobre o “Chupa Cabra”, uma criatura mítica que supostamente habita nalguns países da América Central. Recentemente, chegou a ser anunciado que a tal criatura foi capturada em Porto Rico. Esta história é bastante popular em certas partes do México e nos Estados Unidos, especialmente entre as comunidades latino-americanas. O nome “chupa cabra” também foi adoptado pelos carders brasileiros (criminosos especializados em clonar cartões de crédito) para designar equipamentos instalados em caixas electrónicas. Os criminosos usam este nome porque o “chupa cabra” instalado nestas caixas “chupa” as informações do cartão de crédito da vítima.

É muito comum encontrar artigos na imprensa dando conta da detenção de criminosos por instalarem dispositivos “chupa cabra” em caixas electrónicas de bancos. Alguns desses criminosos, por incompetência ou falta de sorte, muitas vezes são apanhados pelas câmaras de segurança do local ou até mesmo pela polícia, como os que aparecem no vídeo em http://www.youtube.com/watch?v=-iCs3dEHCyQ

De facto, instalar um chupa cabra numa caixa multibanco é algo arriscado para esses criminosos. E é exactamente por isso que os carders brasileiros se uniram aos criadores de códigos maliciosos para desenvolver uma forma mais fácil e segura de roubar informações e clonar cartões de créditos. Dessa cooperação nasceu o “vírus chupa cabra”, que já atravessou o oceano e chegou à Europa.

A ideia do vírus é simples: em vez de se arriscarem a instalar um chupa cabra em caixas multibanco, os criminosos desenvolveram uma maneira de instalar códigos maliciosos em computadores que usam Windows. Esses códigos maliciosos têm a função de interceptar a comunicação de PIN Pads - dispositivos do tipo que usamos para pagar contas em supermercados, postos de gasolina, lugares onde se aceita cartões de crédito e débito.

O vírus chupa cabra foi inicialmente detectado em Dezembro de 2010, sendo detectado como Trojan-Spy.Win32.SPSniffer e possui 4 variantes (A, B, C e D). Geralmente este vírus é altamente especializado e distribuído junto de alvos pré-estabelecidos. Infelizmente, este tipo de ataque está em franco crescimento – já sabemos de casos confirmados nos Estados Unidos usando a mesma técnica, e provavelmente pouco faltará para que se detectem casos similares entre nós.

Claro que os PIN Pads são protegidos pelos fabricantes. Estes equipamentos possuem recursos de hardware e software para assegurar que as chaves de segurança sejam apagadas caso alguém tente abrir ou adulterar o dispositivo. De facto, o PIN (a senha) é encriptado imediatamente ao ser digitado no teclado do dispositivo, usando uma variedade de esquemas de encriptação e chaves simétricas. Geralmente, os dispositivos usam um encoder triple DES, tornando muito difícil descobrir qual foi o PIN inserido no dispositivo, no acto da operação.

Mas havia um problema: estes dispositivos são sempre ligados a um computador através de porta USB ou serial, que se comunica com um software de TEF (Transferência electrónica de fundos). Assim, os PIN Pads antigos e desactualizados, ainda utilizados entre nós, são vulneráveis a uma falha de design: não encriptam alguns dados dos nossos cartões, como o “Track 1”, enviando-os em modo “texto simples” para o computador.

Os dados “Track 1” de um cartão de crédito e os dados públicos do CHIP não são encriptados no hardware desses PIN Pads. Esses dados geralmente são o número de cartão de crédito, a data de expiração, o service code e o CVV (Card Verification Value). Resumidamente, capturar esses dados é suficiente para que um criminoso possa clonar o cartão e começar a gastar o dinheiro das suas vítimas.

O malware instala um simples driver sniffer na porta serial ou USB, geralmente adaptados de softwares comerciais legítimos, “chupando” toda a informação que trafega entre o PIN Pad e o computador. As primeiras versões do vírus “chupa cabra” também instalavam um controlo Active X e uma DLL maliciosa para roubar todas as informações transmitidas em todas as portas seriais do computador, independentemente do dispositivo conectado.

As novas versões do “vírus chupa cabra” usavam o driver do TVicCommSpy (software legítimo, usado por programadores) com o mesmo objectivo: capturar os dados transmitidos via porta USB.

Adicionalmente, a DLL maliciosa também gravava todas as informações digitadas no teclado, actuando como um keylogger. Todos os dados capturados da Track 1 dos cartões de crédito e as informações dos computadores infectados eram gravadas num ficheiro e enviadas para o criminoso, geralmente através de e-mail.

Para se assegurar de que as informações roubadas seriam enviadas de modo “seguro”, o vírus usava um sistema simétrico de encriptação, com um nome de chave Unicode muito interessante: Robin Hood.

Uma vez detectado o problema no Brasil, as companhias de cartão de crédito passaram a instalar actualizações de firmware nos PIN Pads vulneráveis. Essa actualização corrigiu o problema por completo.

Esta é a história real do Trojan-Spy.Win32.SPSniffer, o vírus chupa cabra, que foi desenvolvido numa parceria entre os carders e criadores de vírus brasileiros. Mas uma parceria entre a Kaspersky Lab e uma companhia líder no segmento de cartões de crédito no Brasil conseguiu detectar, removendo o código malicioso.

A Kaspersky Lab continua atenta ao fenómeno, estando disponível para cooperar com as companhias de cartão de crédito, no sentido de recolher ficheiros e outros dados que possam ajudar os nossos produtos e detectar e remover estas ameaças.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 299 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2017 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal