Uma nova (e afrontosa) modalidade de fraude de cartão de crédito foi descoberta e anunciada recentemente por pesquisadores da empresa de segurança cibernética Kaspersky. O golpe vem sendo aplicado desde o final de 2016, tendo sido visto inicialmente no Brasil, mas podendo ter se espalhado para outros países.
O modus operandi do golpe é bastante complexo e altamente tecnológico, mas engenhoso a ponto de colocar em xeque a segurança dos cartões com chip EMV. Só que há outro fator que chama – e muito – a atenção: a organização da empresa criminosa, que disponibiliza até mesmo suporte técnico via chat para outros fraudadores conseguirem aplicar o golpe.
É, é isso mesmo!
Há pouco explicamos aqui mesmo que o Brasil é um dos países campeões de fraude on-line, dentre outros motivos, por ter sido também um dos pioneiros na adoção do cartão chipado, que promove um alto grau de segurança para transações presenciais (validadas mediante senha). Com o desuso da tarja magnética em nosso sistema de pagamentos, os golpes migraram para a internet, tornando o nosso e-commerce um dos mais vulneráveis do planeta. Mas os hackers, segundo descoberta da Kaspersky, conseguiram criar uma maneira impressionante de burlar a segurança dos chips.
Entendendo o chip EMV
Vamos entrar aqui em um assunto mais técnico, sinta-se à vontade para rolar este texto até o próximo intertítulo. Mas, caso queira entender um pouquinho mais sobre como funciona um cartão EMV e o nível de audácia destes cibercriminosos brasileiros, continue a leitura normalmente.
Aquele chipzinho em nossos cartões é muito mais poderoso do que imagina. Ele não só armazena informações financeiras como também é capaz de rodar algumas aplicações. Quando inserimos o plástico chipado mas maquininhas (POS), inicia-se uma sequência de quatro atos entre cartão e o terminal. São eles:
- 1º ato – Inicialização: o cartão “se apresenta” para o POS, mostrando os dados que armazena e as aplicações que pode rodar;
- 2º ato – Identificação: Identificação: o POS se certifica de que aquele cartão realmente existe;
- 3º ato – Verificação: É aqui que o portador se identifica e autoriza a negociação entre cartão e POS, inserindo a senha;
- 4º ato – Transação: Apertado o botãozinho verde, inicia-se um agilíssimo fluxo financeiro e de informações até piscar na tela “Transação aceita”.
Tudo isso acontece em segundos, e com altíssimo nível de proteção criptográfica. Contudo, destas quatro etapas, somente a inicialização e a transação são obrigatórias – a identificação e a verificação podem ser opcionais! E aí está a brecha descoberta pelos hackers.
Como funciona o golpe
A Kaspersky descobriu que os criminosos desenvolveram um software que infecta as maquininhas e roda no chip do cartão. O aplicativo malicioso burla as etapas de identificação e verificação e ainda retira a proteção criptográfica daquela comunicação, copiando e transmitindo os dados do cartão a uma terceira parte.
Uma vez que os dados financeiros do portador são copiados, os criminosos podem vender aquelas informações para fraudadores realizarem compras no e-commerce. No entanto, este golpe permite um novo “modelo de negócios”: o estelionatário pode adquirir um kit para copiar estes cartões fisicamente, por conta de uma importante característica da fraude.
Acontece que este vírus, quando instalado no próprio chip de um cartão clonado, quebra a necessidade da validação da senha no POS. O software, basicamente, intercepta a comunicação logo após o cliente apertar a tecla verde e força uma autenticação em si próprio – é como se ele, cheio de lábia, falasse para a maquininha: “Hey, por que isso? Vamos pular esta etapa, já te mostrei quem sou e tenho certeza de que você não tem motivos para desconfiar de mim. Acredite em mim, vai”. E funciona!
Na prática, o que acontece é o seguinte: qualquer senha que for digitada estará correta, porque o próprio cartão fará esta autorização. Prato cheio para a realização de uma clonagem física de cartão (de débito ou crédito), usando um aparelho facilmente adquirido por aproximadamente R$ 100!
Como eles contaminaram o POS?
Se você chegou até aqui, imagino que ainda tenha esta dúvida. Afinal de contas, como os criminosos contaminaram as maquininhas com o vírus?
Bem… basicamente, com uma tática de “phishing B2B” – por e-mail ou telegrama, eles enviavam um comunicado falso aos estabelecimentos informando a necessidade de uma “atualização” nos terminais de processamento de cartão. Esta atualização, porém, baixava um programa malicioso que infectava os POS et voilà.
Simples assim…
Tire suas dúvidas com o chat
De acordo com a descoberta da Kaspersky, os criminosos revendem o kit de clonagem de cartão por um preço bastante baixo (cerca de R$ 100), com direito a atendimento via chat para tirar as principais dúvidas do “cliente”. Ou seja: o fraudador não precisa ter conhecimento algum para clonagem de cartões: basta apenas contratar este “serviço”.
Esta, aliás, é mais uma mostra de movimentos cada vez mais presentes no submundo do crime cibernético, como Ferramentas da fraude as a service e economia da recorrência voltada para a fraude: criminosos desenvolvem sistemas e aplicações e os disponibilizam para venda ou assinatura recorrente para que outros estelionatários tirem proveito. A descoberta da Kaspersky não foi a primeira e, certa e infelizmente, não será a última.
Sobre a Konduto
Somos a primeira empresa do mundo a considerar o comportamento de navegação e compra do usuário em um site de e-commerce para calcular o risco de fraude em uma transação. Nosso sistema utiliza todas as técnicas tradicionais da análise de risco (validação de dados cadastrais, revisão manual, fingerprint, geolocalização) e ainda conta com filtros de inteligência artificial. Essa combinação é capaz de aumentar consideravelmente a precisão do antifraude e beneficia a operação do lojista.
Nossos cases de sucesso mostram que a Konduto tem a mais moderna e eficiente tecnologia para barrar fraudes on-line. Temos clientes de todos os segmentos do e-commerce e somos reconhecidos pela imprensa e pelo mercado de tecnologia como uma das empresas brasileiras mais inovadoras do setor.
Entre em contato conosco no e-mail oi@konduto.com e nos diga como a Konduto pode ajudar o seu e-commerce!
