Um cliente aproxima seu dispositivo portátil do terminal POS — mas o pagamento sem contato não funciona. Porque? Talvez o próprio dispositivo esteja danificado, ou talvez o chip leitor NFC esteja falhando, mas pode ser outra coisa: o terminal POS pode estar infectado com o malware Prilex, que caça cartões bancários; e agora é capaz de bloquear transações sem contato.
O que é Prilex e por que ele bloqueia transações NFC?
Prilex é um grupo cibercriminoso que está caçando dados de cartões bancários desde 2014. Recentemente, tem se concentrado em ataques através de terminais POS. No final do ano passado, nossos especialistas do Strong Lab realizaram um estudo detalhado sobre a evolução desse malware e concluíram que o Prilex é um dos primeiros grupos que aprenderam a clonar transações de cartão de crédito, mesmo aquelas protegido pela tecnologia chip-and-PIN.
Mas o Prilex continua a evoluir: ao investigar um incidente, nossos especialistas descobriram novas amostras desse malware. Uma de suas novidades é a capacidade de bloquear transações via NFC. As transações baseadas em NFC podem gerar um identificador exclusivo válido para apenas uma transação – algo que não é muito atraente para um golpista. Então, ao impedir o pagamento sem contato, os invasores estão tentando convencer o cliente a colocar o cartão no dispositivo.
Como o Prilex infecta os terminais POS e quem ele caça?
De acordo com o relatório do nosso especialista, os invasores usam métodos de engenharia social para infectar um terminal. Normalmente, eles tentam convencer os funcionários do ponto de venda de que precisam atualizar o software do terminal com urgência. Para isso, eles estão prontos para enviar seu “especialista técnico” diretamente à loja, ou pelo menos pedir para fornecer acesso remoto instalando o programa AnyDesk.
O grupo Prilex está interessado em organizações engajado no comércio varejista; ou seja, usando terminais POS. De particular interesse para eles são os dispositivos que operam em movimentados shoppings de grandes cidades: milhares de cartões podem passar por eles diariamente.
A atividade da Prilex é observada principalmente na região da América Latina. No entanto, os cibercriminosos modernos geralmente pegam emprestado as ferramentas uns dos outros, então é possível que o mesmo malware seja usado em outras regiões. Na verdade, há evidências de que o mesmo malware (ou pelo menos tecnologia) já foi usado na Alemanha.
Como se manter seguro?
Se você trabalhe no varejo e perceba que seu terminal começou a rejeitar pagamentos sem contato, esse é um bom motivo para entrar em contato com sua equipe de TI, no mínimo (se o problema for o hardware, eles o consertarão; se houver uma infecção, eles trarei segurança da informação ou especialistas terceirizados para ajudar).
Para empresas de varejo (especialmente grandes redes com muitas filiais), é importante desenvolver regulamentos internos e explicar a todos os funcionários exatamente como o suporte técnico e/ou equipes de manutenção devem operar. Isso deve, pelo menos, impedir o acesso não autorizado aos terminais POS. Além disso, aumentar a conscientização dos funcionários sobre as ameaças cibernéticas mais recentes é sempre uma boa ideia: dessa forma, eles ficarão muito menos suscetíveis a novos truques de engenharia social.
