agosto 06, 2014

[Segurança] Roubo de senhas em caixas eletrônicos

Nos últimos dias eu vi alguns casos de dispositivos para roubo de senhas em caixas eletrônicos sendo compartilhados no Facebook. Tais dispositivos são conhecidos em inglês como "skimmer" e, no Brasil, como "chupa-cabra". Mas esse tipo de golpe é antigo: eu mesmo já bloguei sobre este assunto em 2009 e três vezes em 2010. O Brian Krebs já escreceu dezenas de artigos sobre isso em seu blog.

Um dos primeiros casos que eu me lembo de ter visto publicamente foi de um chupa-cabra instalado em um caixa eletrônico do Bradesco, que tinha um leitor de cartões colocado na abertura do cartão para copiar a tarja magnética e um porta-panfletos falso ao lado do caixa eletrônico, que escondia uma pequena câmera para o criminoso gravar as senhas digitadas pelos clientes.



Uma técnica comum de fraude em caixas eletrônicos consiste em bloquear a saída de dinheiro (dispenser) para evitar a saída das notas. Desta forma, o cliente acha que o caixa eletrônico está com defeito e não deixou o dinheiro sair. Em seguida o criminoso retorna ao local para retirar o bloqueio e pegar o dinheiro.



O vídeo abaixo mostra um dispositivo colocado na frente da saída de dinheiro imitando a saída original do caixa eletrônico, mas que bloqueia a saída das notas.


Frequentemente os criminosos instalam o chupa-cabra na frente da leitora de cartões do caixa eletrônico e, para capturar a senha, instalam um teclado falso ou, mais normalmente, utilizam uma pequena câmera para gravar o cliente digitando sua senha.



O vídeo abaixo, de uma TV Colombiana, mostra um caixa eletrônico aonde o criminoso colocou uma leitora falsa sobre a original, inclusive feita com o memso material transparente. Uma micro câmera foi escondida dentro do dispositivo usado para esconder a digitação da senha.


Um tipo de golpe assustadoramente comum, mas muito complexo, é criar uma frente falsa de caixa eletrônico, que faz ao mesmo tempo a leitura do cartão de débito e intercepta a digitação da senha. A complexidade é tanta que tais dispositivos tem uma tela falsa, que simula a tela original do caixa eletrônico. Alguns destes dispositivos enviam os dados roubados via comunicação wireless (wi-fi ou pela rede de telefonia celular).

Em 2010 a Polícia Civil do Rio de Janeiro apreedeu um equipamento deste tipo e o batizou de "Robocop". Ele simulava uma frente completa de um caixa eletrônico e, assim, era capaz de copiar de uma única vez os dados dos cartões de débito e as senhas dos clientes. Segundo a polícia, o equipamento custava em torno de R$ 60 mil no mercado negro de São Paulo.

Recentemente um dispositivo assim foi encontrado em um banco no Espírito Santo.



Este vídeo, que eu vi no Facebook, mostra um dispositivo similar:
\



Não custa lembrar uma dica importante: se você suspeitar de um caixa eletrônico, seja discreto e saia imediatamente do local. Somente ligue para a polícia quando estiver bem longe. Não tente bancar o herói nem queira sair na TV. Os criminosos gastam muito dinheiro para comprar um equipamento de chupa-cabra,e muitos deles não ficam contentes quendo alguém acaba com a festa deles.

Para saber mais sobre fraudes em caixa eletrônicos usando chupa-cabras, visite a página "All About Skimmers" do fabricante de dispositivos anti-skimming ase-ng, e visite também o blog do Brian Krebs.

Ah, embora este post tenha sido dedicado ao tema de chupa-cabras para o roubo de senhas via um dispositivo físico, nos úntimos anos temos ouvido cada vez se falar mais sobre o desenvolvimento de malwares específicos para infectar caixas eletrônicos, Ou seja, há muita emoção no ar, para todos os gostos ;)

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.