.
As razões pelas quais empresas e consumidores gostam de transações de pagamento sem contato – alta segurança e velocidade – são o que torna esses sistemas ruins para os cibercriminosos.
Se os malfeitores quiserem voltar a roubar dados e cometer fraudes, eles precisam encontrar uma maneira de forçar as transações para fora dos sistemas de toque para pagar, como Apple Pay e Google Pay e fazer com que as pessoas coloquem seus cartões de crédito de volta nos dispositivos PIN do ponto de venda (POS).
De acordo com os pesquisadores da Kaspersky, é isso que os operadores brasileiros por trás do malware Prilex POS fizeram.
A Kaspersky descobriu duas novas variantes do Prilex no início de 2022 e encontrou uma terceira em novembro que pode visar cartões de crédito habilitados para NFC e bloquear transações sem contato, forçando os pagantes a usarem as máquinas PIN menos seguras.
“O objetivo aqui é forçar a vítima a usar seu cartão físico, inserindo-o no leitor de PIN pad, para que o malware consiga capturar os dados provenientes da transação”, escrevem os pesquisadores em um relatório. relatório publicado esta semana.
Os novos recursos do malware se baseiam naqueles que já fazem do Prelix a ameaça de PDV mais avançada, acrescentam. Ele possui um esquema criptográfico exclusivo e pode corrigir o software de destino em tempo real, forçar downgrades de protocolo, executar transações GHOST e executar fraudes de cartão de crédito, inclusive nas tecnologias CHIP e PIN mais sofisticadas.
Uma vez que o comprador coloca o cartão de crédito na máquina PIN, todas essas técnicas podem entrar em ação.
A Prelix começou em 2014 visando caixas eletrônicos e, em alguns anos, trouxe os sistemas POS para o mix. No entanto, os pagamentos sem contato tornaram o roubo de dados das vítimas muito mais difícil e a adoção da ferramenta acelerou durante a pandemia, quando as pessoas ficaram mais cautelosas ao lidar com dinheiro.
O sistema tap-to-pay ativa o chip RFID do cartão, que envia um número de identificação único e a transação para o terminal, nenhum dos quais pode ser usado novamente. Não há nada para um cibercriminoso roubar.
“Os cartões de crédito sem contato oferecem uma maneira conveniente e segura de fazer pagamentos sem a necessidade de inserir ou passar o cartão fisicamente”, escreveram os pesquisadores. “Mas o que acontece se uma ameaça pode desabilitar esses pagamentos no EFT [electronic fund transfer] executando no computador e forçá-lo a inserir o cartão no leitor PINpad?”
Fazendo um mergulho mais profundo na última das três variantes do Prilex encontradas, os pesquisadores disseram que o malware inclui um arquivo baseado em regras que determina se deve capturar informações de cartão de crédito que também inclui uma opção para bloquear transações baseadas em NFC.
Quando o Prilex detecta e bloqueia uma transação sem contato, o software EFT faz com que o sistema PIN mostre uma mensagem de erro que diz “Erro sem contato, insira seu cartão”.
Ele também pode filtrar cartões de crédito por segmento e criar regras diferentes para cada segmento.
“Por exemplo, essas regras podem bloquear NFC e capturar dados do cartão apenas se o cartão for Black/Infinite, Corporate ou outro nível com um alto limite de transação, o que é muito mais atraente do que os cartões de crédito padrão com baixo saldo/limite,” os pesquisadores escreveram.
Tudo isso é uma vitória para os criminosos que visam os sistemas POS enquanto tentam encontrar seu caminho neste mundo cada vez mais sem contato.
“Enquanto o grupo procura uma maneira de cometer fraudes com números de cartão de crédito exclusivos, esse truque inteligente permite que ele continue operando”, escreveram eles. ®
.
