Todos nós sabemos estar atentos aos batedores de carteira. Mesmo que a educação infantil não inclua dicas sobre como cuidar do bolso ao ar livre, a própria vida oferece oportunidades para aprender regras simples. O mesmo pode ser dito com os hackers. Hoje, as atividades de hackers amplamente divulgadas na Internet são conhecidas até mesmo por crianças.
Mas os carders têm menos popularidade, o que é uma pena, pois você corre um risco significativamente alto de ser vítima de suas atividades. Esses ladrões se especializam em roubar credenciais de cartão com a ajuda de hardware furtivo em miniatura instalado em caixas eletrônicos – skimmers. Mesmo com o esforço combinado da polícia, bancos e sistemas de pagamento, a quantidade de dinheiro roubado de contas de cartão continua a crescer.
Carders são um pouco como batedores de carteira (eles usam habilidades de quiromancia semelhantes) e, em um grau menor, são um pouco como hackers também – o que eles fazem não é possível sem empregar alguns truques de alta tecnologia e de PC.
Para se tornar seu alvo, você só precisa usar seu cartão do banco para sacar dinheiro. Se o seu cartão não estiver equipado com um chip, a situação é pior para você e melhor para eles: os cartões não chipados perdem dinheiro com muito mais facilidade. Para aumentar suas chances de ser vítima de carders, basta pular a opção de notificações por SMS do seu banco, inserir seu cartão em qualquer caixa eletrônico que encontrar na rua e mostrar com orgulho o PIN que você inseriu. Você deixaria os criminosos extremamente gratos.
Falando sério, esse negócio ilícito cresceu e evoluiu ao longo dos anos. Seu princípio permanece o mesmo: use técnicas furtivas para ler os dados da tarja magnética de um cartão, procurar o código PIN, clonar o cartão e sacar o máximo de dinheiro da conta bancária correspondente. No entanto, as técnicas de roubo de dados evoluíram muito.
Apenas negócios
Havia ocasiões em que os carders usavam skimmers DIY, instalavam hardware desajeitado nas bandejas de entrada do ATM e corriam o risco de serem pegos em flagrante ao extrair os dados manualmente. Os tempos mudaram. A indústria evoluiu e os entusiastas do skimmer DIY estão extintos. Hoje, o skimming é um processo bem organizado e altamente automatizado.
O primeiro elo na cadeia do processo são os produtores e vendedores de soluções de hardware prontas para uso com componentes disponíveis em massa. Os negócios são feitos on-line e as mercadorias são enviadas por meio de serviços de correio – isso é mais seguro para os criminosos.
Para ver a prova de quão popular é o hardware de skimming, basta digitar uma simples solicitação em qualquer mecanismo de busca. Os kits contendo um leitor invisível para extrair dados de um cartão de plástico, um painel virtual para obter códigos PIN e um dispositivo de clonagem junto com o software correspondente são vendidos por US $ 1.500 a US $ 2.000. Alguns anos atrás, essas ofertas chegariam a US $ 10.000, conforme estimado por Brian Krebs, um especialista em infosec.
Os compradores de pacotes de skimming não precisam ser hackers proficientes: eles recebem manuais detalhados, alguns até contendo uma seção de ‘melhores práticas’. As instruções são tão detalhadas que vão ao ponto de incluir recomendações sobre o uso adequado da bateria pela primeira vez para garantir que o leitor tenha uma longa vida útil da bateria.
Maravilhas da tecnologia
O progresso da tecnologia, juntamente com a demanda massiva, impulsionou a evolução dos componentes eletrônicos usados para atividades ilícitas. Os especialistas em segurança recomendam examinar qualquer caixa eletrônico em busca de peculiaridades, mas essas recomendações estão se tornando gradualmente desatualizadas.
Primeiro, fornecedores criminosos experientes vendem hardware que mal se distingue dos componentes originais do ATM. Mesmo um usuário consciente não seria capaz de diferenciá-los: a bandeja de entrada suja é feita do mesmo tipo de plástico e é da mesma cor que a legítima. E a forma da falsa é apenas ligeiramente diferente.
Essa semelhança é alcançada por meio de uma adaptação deliberada de elementos de ATM em modelos amplamente usados - qualquer mercado tem grandes bancos atendendo muitos clientes. Claro, os bancos usam técnicas anti-skimming como uma medida contrária.
Em segundo lugar, existem leitores instalados por carders dentro de caixas eletrônicos através das bandejas de entrada. Esta novidade foi mencionada no recente relatório emitido pela European ATM Security Team, uma organização sem fins lucrativos. Pior ainda, alguns desses dispositivos não se preocupam em ler a fita magnética – eles usam os próprios recursos de computação do ATM para fazer isso.
Extrair dados roubados manualmente também é um método antigo. Os novos modelos de skimmer são equipados com um módulo GSM que serve para enviar dados criptografados (sim, os carders precisam lutar contra a concorrência!) De fita magnética por meio de redes celulares comuns.
Cuidado com o seu PIN
Desde então, obter um código PIN continua sendo o elo mais fraco. Para procurar PINs, os culpados usam câmeras furtivas em miniatura ou até mesmo dispositivos móveis comuns como um iPod Touch, que é notável por sua fina altura Z e bateria poderosa.
Uma câmera é instalada acima do teclado ou em outro lugar da sala. Os carders gostam particularmente de estandes de folhetos onde os bancos costumam exibir seus materiais de marketing. Como um elemento do interior de qualquer banco, dificilmente são percebidos como algo perigoso.
No entanto, se uma pessoa que tenta sacar dinheiro cobrir o bloco com a mão, a câmera não terá mais nenhuma utilidade. Além disso, o vídeo não é muito conveniente para enviar ou processar e requer muito trabalho manual.
Painéis de vaidade finos para teclados de ATM estão ficando muito mais baratos e agora custam menos de mil euros no mercado negro, complicando ainda mais a situação. Não adianta mais cobrir o pad – os painéis ainda irão detectar seu PIN. Enviar automaticamente um código de 4 dígitos em um SMS para o banco de dados de um carder é muito mais fácil do que processar vídeos longos, e todo o processo é muito mais automatizado.
Claro, o painel de toucador se projeta visivelmente sobre o teclado original, mas dificilmente qualquer usuário examinaria de perto o teclado e procuraria por folga. Visto de cima, toda a construção parece muito normal – os painéis de toucador são feitos com o mesmo aço e tintas de qualidade dos teclados ATM originais.
Existe mais uma técnica usada em skimming: eles protegem o software que usam para decodificar e clonar as informações. É assim que os carders se protegem de criminosos concorrentes e policiais.
Se uma senha incorreta for usada, o software não informa ao usuário que ela está incorreta – ele simplesmente se fecha. Dando qualquer senha incorreta plausível para a polícia, um skimmer diz que o programa é apenas um pequeno pedaço de software inofensivo que ele baixou recentemente. Ah, e que pena que não vai começar…
Para provar que se tratava de um programa usado para atividades ilícitas, os policiais precisam contratar especialistas qualificados para analisar o código, o que é um processo trabalhoso e demorado.
Com tudo isso dito, a tecnologia é apenas parte da história. Muitas operações de skimming permanecem manuais e muito arriscadas. Contaremos essa parte da história em nosso próximo artigo e daremos algumas dicas para proteger sua conta bancária dos culpados.
