Golpe que bloqueia pagamento por aproximação para forçar uso do cartão físico: o que se sabe


Alvo do vírus Prilex é o computador das lojas, que está conectado por cabo à máquina de cartão. Esquema forja até dois erros na hora da compra: um na tentativa de pagar por aproximação e outro quando a pessoa usa o cartão físico para tentar concluir a operação. Ilustração de máquina de pagamento com cartão conectada a um computador
Wagner Magalhães/g1
Golpistas continuam visando o roubo de dados de cartões de crédito durante compras físicas. Agora, eles também conseguem detectar e bloquear pagamentos por aproximação, para forçar que a vítima insira o cartão na máquina e digite a senha.
Só assim conseguem os dados que precisam para tentar fazer uma compra fraudulenta depois.
Para tirar dúvidas sobre o tema, o g1 conversou com Fabio Assolini, chefe da equipe global de pesquisa da Kaspersky na América Latina. A empresa de cibersegurança foi quem revelou, na última terça-feira (31), que uma nova versão do golpe foi detectada primeiro no Brasil.
E o g1 também ouviu Adriana Umeda, do comitê de segurança e prevenção a fraudes da Abecs, a associação das empresas de cartões de crédito e serviços.
Abaixo, veja em 10 perguntas e respostas o que se sabe sobre o golpe até agora e como se proteger.
Qual é o passo a passo do golpe?
Como o golpe foi descoberto? Alguém foi vítima?
Como os bandidos conseguem entrar no computador das lojas?
O programa malicioso infecta as maquininhas?
Por que eles bloqueiam o pagamento por aproximação?
Que dados são capturados do cartão físico inserido?
Como eles fariam uma compra indevida com esses dados?
A loja não consegue saber?
Como me proteger?
Sou lojista. No que devo prestar atenção para evitar o golpe?
1) Qual é o passo a passo do golpe?
Um vírus infecta o computador da loja, que está ligado por um cabo à máquina de cartão. Ele possibilita que os bandidos interfiram na comunicação entre esses dois equipamentos.
Para conseguir pegar os dados da vítima e ainda permitir que a compra aconteça na loja, sem despertar suspeita, os criminosos provocam até duas mensagens de erro. Acompanhe:
Se a vítima optar pelo pagamento por aproximação, os bandidos conseguem detectar e impedir essa cobrança, exibindo uma mensagem falsa de erro na tela na máquina de cartão, a fim de forçar que o cliente insira um cartão físico para fazer o pagamento;
Na primeira tentativa de pagar inserindo o cartão e a senha, os criminosos produzem mais um aviso de erro — por exemplo, de senha. Na verdade, nessa tentativa que aparentemente deu errado, eles já capturam os dados do chip do cartão e o código de transação, para tentar fazer compras fraudulentas mais tarde;
Sem saber disso e acreditando que houve apenas mais um erro, o cliente tenta pela segunda vez o pagamento com o cartão físico, que dá certo. Aquele valor será recebido pela loja.
2) Como o golpe foi descoberto? Alguém foi vítima?
O vírus, chamado Prilex, é conhecido há alguns anos pelas empresas de cibersegurança. Segundo a Kaspersky, a quadrilha brasileira por trás desse programa malicioso já visou caixas eletrônicos, cartões de débito, inclusive no exterior, sempre buscando driblar as proteções desses sistemas.
“Não é uma novidade, a gente convive com essa potencial ameaça desde 2014, 2015”, confirma Adriana Umeda, da associação das empresas de cartões. “Como todo vírus, ele vai evoluindo.”
Em setembro do ano passado, a quadrilha passou a fazer compras fraudulentas inserindo o vírus no computador das lojas, para ter acesso ao sistema de pagamento por cartão.
Agora, a Kaspersky diz que uma nova versão do Prilex permite bloquear pagamentos por aproximação, que são mais seguros.
Essa novidade foi detectada no computador de um de seus clientes no Brasil, uma empresa de médio porte, cujo nome não foi revelado.
“É um caso concreto, temos todas as evidências desse ataque”, afirma Fabio Assolini, da Kaspersky.
A Abecs, por sua vez, informou que não recebeu nenhum relato dessa nova versão vindo das empresas que fazem parte da associação até a última quinta-feira (2).
Como funciona o golpe que fez com que caixas eletrônicos europeus cuspissem milhões em notas de dinheiro
3) Como os bandidos conseguem entrar no computador das lojas?
Assolini diz que, no caso dessa empresa no Brasil que foi alvo do golpe, os bandidos conseguiram instalar o vírus no computador da companhia se fazendo passar por funcionários do setor de pagamentos, que precisariam fazer uma manutenção.
Para isso, os criminosos entraram em contato por telefone e pediram que fosse baixado um arquivo enviado por eles, para poderem fazer a suposta manutenção no sistema.
“Na rede dele (cliente da Kaspersky), havia instalações do software de acesso remoto, que é comumente usado nesse tipo de abordagem”, afirma o especialista.
“O criminoso pode ir (à loja) presencialmente, fazer isso por telefone, tentando enganar o funcionário. Ou contar com a ajuda de alguém interno… Existem ‘n’ maneiras de eles instalarem o Prilex no computador”, completa.
4) O programa malicioso infecta as maquininhas?
Não. Ele age no computador ao qual a máquina está ligada por cabo, como é bastante comum nos caixas de supermercados e grandes lojas.
Essas máquinas funcionam basicamente como um teclado e como um receptor do cartão (ou da tecnologia de aproximação). A cobrança, em si, depende do computador.
Elas são diferentes das máquinas de pagamento por cartão que não usam cabo e que são autossuficientes (têm um software embutido e não estão ligadas ao computador da loja). Essas não estão entre as que aparecem na operação do Prilex, segundo a Kaspersky.
“É no computador (da loja) que o Prilex vai se instalar”, diz Assolini. “A maquininha é segura, antifraude, nenhuma praga consegue alterá-la. Se você tentar abri-la ou mexer com o software (nas que possuem), ela vai parar de funcionar.”
5) Por que eles bloqueiam o pagamento por aproximação?
O pagamento por aproximação é bloqueado porque os criminosos “não conseguem fazer nada com os dados (desse tipo de operação)”, diz Assolini.
Mensagem de erro aparece quando compra por aproximação é bloqueada em novo golpe contra cartões de crédito
Reprodução/ Kaspersky
Isso porque os sistemas de rádiofrequência e de NFC usados nessa modalidade geram uma “identidade” (número do cartão) que é única para cada pagamento. É o mesmo que acontece quando se usa um cartão virtual no celular.
Não é possível para os bandidos aproveitar esses dados em uma compra posterior. Somente com o número do cartão físico, que não muda a cada compra, é que a quadrilha pode aplicar o golpe.
“Continue pagando por aproximação. É tão seguro que os criminosos precisam a forçar as pessoas a inserirem o cartão (físico)”, recomenda o analista da Kaspersky.
6) Que dados são capturados do cartão físico?
O cartão inserido na máquina e o ato de digitar a senha possibilitam que o vírus que está no computador infectado leia as informações contidas no chip e obtenha os dados do cartão físico e o chamado criptograma, de acordo com a Kaspersky.
O criptograma é um código que identifica cada transação financeira realizada na máquina de cobrança.
Na primeira tentativa de pagar inserindo o cartão, o criptograma já é gerado e é capturado junto com os dados do chip. Mas, segundo Assolini, os bandidos conseguem “segurar” a transação, que não é completada naquele momento, gerando um novo erro.
Os dados capturados nessa operação serão usados pela quadrilha em uma tentativa de compra posterior, no mesmo valor que a que o cliente está tentando concluir na loja.
O consumidor, por sua vez, acredita que de fato ocorreu um erro e tenta pela segunda vez pagar com o cartão físico. Essa transação é concluída normalmente.
7) Como eles fariam uma compra indevida com esses dados?
Este é um ponto que não está completamente esclarecido.
Para concluir a fraude, a quadrilha precisa fazer a “compra fantasma” em um “ponto de venda” próprio, que pode estar em nome de laranjas.
Só que, em tese, o criptograma (chave gerada para cada transação financeira) capturado na primeira tentativa de pagamento com o cartão inserido na máquina não poderia ser usado depois que uma segunda tentativa foi concluída com sucesso.
“O criptograma tem um contador, chamado de ATC (sigla em inglês para ‘contador de transações chip’). As empresas adquirentes monitoram o ATC e conseguem pegar a fraude”, explica Assolini.
Ele se refere às companhias que fazem a comunicação da transação entre a loja, as bandeiras do cartão e os bancos que emitiram o cartão.
Um artigo publicado pela Kaspersky em setembro do ano passado, no entanto, diz que o Prilex já seria capaz até de gerar novos criptogramas, inclusive alterando valores de compra, a partir daquele que foi capturado.
“Captura [de dados] é uma coisa, utilização é outra”, pontua Adriana Umeda, da Associação das Empresas de Cartões.
Segundo ela, para a compra fraudulenta ser concretizada precisaria haver quase que “um alinhamento de astros”, compara. “(Teria que) ser bem sucedido na coleta (dos dados) ter um comércio conivente (onde seria feita a compra fraudulenta), o emissor (do cartão) teria que estar com as defesas baixas… A dificuldade é grande.”
Tentando não desperdiçar chances, os criminosos conseguem filtrar quais empresas têm alto fluxo de transações com cartão. E, agora, detectam também o tipo de cartão do cliente (por exemplo Black, normalmente associado a saldos e limites maiores), relatou a Kaspersky.
Mesmo assim, a fim de aumentarem as chances de que a compra indevida seja autorizada, os bandidos costumam usam o mesmo valor da que houve em loja, segundo Assolini. Essa atitude também chamaria menos a atenção da vítima.
“Você vê (dois valores iguais) no seu extrato e pensa que é aquela (tentativa) que não deu certo e que ela será excluída depois. Você espera (para reclamar da compra indevida)”, afirma o analista.
Assolini diz que não está claro quando a tentativa de “compra fantasma” acontece. “Imagino que não deva demorar muito (em relação ao momento em que os dados são capturados). Mas minha visibilidade está limitada à ação do malware (vírus)”, explica.
8) A loja não consegue saber?
Em tese, não. Cabe aos lojistas cuidarem para que o computador, que é o alvo do vírus, não seja acessado por ninguém que não for autorizado e que não seja baixado nenhum programa e nem utilizado nenhum link suspeito.
Na dúvida, o ideal é fazer contato com a empresa responsável pelo sistema de pagamento eletrônico antes de qualquer ação.
9) Como posso me proteger?
O que complica é que nem toda mensagem de erro na máquina de cartão significa tentativa de golpe.
“O erro de leitura pode acontecer independentemente de ser um risco desse, pode ser problema técnico”, lembra Adriana, da Abecs.
Para Assolini, quem mais deve se preocupar com as inovações do Prilex é o lojista e o setor de pagamentos eletrônicos, e não o consumidor. Em todo caso, podem ser seguidas algumas recomendações:
caso apareça a mensagem de erro no pagamento por aproximação, insista em pagar por aproximação em outra máquina.
se não existir essa possibilidade ou se surgir novamente aviso de erro, recorra a alternativas como Pix ou dinheiro, em vez de inserir o cartão físico.
suspeite ainda mais se a máquina apresentar uma mensagem pedindo para que você insira o cartão. Esse aviso não é comum: as maquininhas costumam apenas informar que houve erro.
acompanhe regularmente a fatura do cartão; se suspeitar de algo, entre em contato com a operadora;
se possível, cadastre seu celular no aplicativo do banco para receber mensagem sempre que uma compra for autorizada com seu cartão.
10) Sou lojista. No que devo prestar atenção para evitar o golpe?
Lojistas devem redobrar a atenção com qualquer solicitação para verificar ou atualizar seu computador/sistema de pagamento;
Antes de fazer o download de algum software solicitado, devem entrar em contato com a empresa do cartão para saber se aquilo é de praxe ou se algo está errado.
Initial plugin text