Se você sabe o que são skimmers de ATM - você provavelmente sabe como agir para manter seu cartão de banco seguro. Você precisa ficar atento a qualquer anexo suspeito em um caixa eletrônico e evitar o uso de máquinas que pareçam suspeitas. Mas e se não houver nenhum acessório, e se o skimmer for completamente invisível?
É mesmo possível?
Receio, a resposta é sim. Na verdade, esse é exatamente o caso do grupo cibercriminoso Infector ATM descoberto pela Equipe Global de Pesquisa e Análise (GReAT) junto com nossa Equipe de Teste de Penetração. Os membros dessa gangue cibernética de língua russa podem transformar um caixa eletrônico em um skimmer.
Jackpot duplo
Parece que até mesmo os cibercriminosos amam a ideia de economia compartilhada: por que anexar dispositivos skimmer adicionais ao caixa eletrônico se todo o hardware de que precisam já está lá? Tudo o que eles precisam fazer é infectar um caixa eletrônico com um malware especial chamado Skimer e, em seguida, podem usar o próprio leitor de cartão do caixa eletrônico e o teclado de pinos para roubar todas as credenciais de cartão bancárias necessárias.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada!]
E não é isso quando se trata de compartilhar; se eles infectaram um caixa eletrônico, eles podem dar um passo adiante e controlar não apenas o teclado de pinos e os dispositivos de leitura de cartão, mas também o terminal. Assim, eles não apenas podem roubar credenciais de cartões, mas também enviar um comando para cuspir todo o dinheiro que o caixa eletrônico tem dentro de sua unidade de depósito em dinheiro.
Os criminosos por trás dessa campanha cibernética estão escondendo seus rastros com muito cuidado. Na verdade, é por isso que eles usam essas táticas duplas. Embora eles certamente possam sacar a qualquer momento, ordenando que todos os caixas eletrônicos que tenham infectado ejetem dinheiro, isso definitivamente levantaria suspeitas e provavelmente levaria a uma grande investigação. É por isso que eles preferem manter o malware no caixa eletrônico despercebido e coletar silenciosamente os dados do cartão esquecidos, deixando a segunda opção - saque instantâneo - para o futuro.
Como os culpados por trás do ATM Infector operam
Como dissemos em uma postagem recente de blog, embora a proteção dos caixas eletrônicos pareça muito impressionante do ponto de vista físico, muitas dessas máquinas blindadas são mais vulneráveis no ciberespaço. Nesse caso específico, os criminosos infectam caixas eletrônicos por meio de acesso físico ou por meio da rede interna do banco.
Depois de se instalar no sistema, o malware Skimer infecta o próprio núcleo computadorizado de um caixa eletrônico, dando aos criminosos controle total sobre os caixas eletrônicos infectados e os transformando em skimmers. Depois disso, o malware permanece escondido até que os criminosos decidam usar o caixa eletrônico infectado.
Para ativar o malware em um caixa eletrônico, o culpado insere um cartão especialmente criado com determinados registros em sua fita magnética. Depois de ler os registros, o malware Skimer pode executar o comando codificado ou responder a comandos por meio de um menu especial ativado pelo cartão.
Se o criminoso ejetar o cartão e em menos de 60 segundos inserir a chave de sessão correta usando o teclado de pinos, a interface gráfica do Skimer aparecerá no visor. Com a ajuda deste menu, o criminoso pode ativar 21 comandos diferentes, incluindo:
distribuir dinheiro (40 notas da cassete especificada);
coletar os detalhes dos cartões inseridos;
auto-exclusão;
atualização (a partir do código de malware atualizado embutido no chip do cartão);
salvar o arquivo com os dados dos cartões e PINs no chip do mesmo cartão;
ou imprimir os detalhes do cartão que coletou nos recibos do caixa eletrônico.
Como proteger
Em sua postagem do blog sobre Securelist, nossos especialistas fornecem recomendações para bancos sobre quais arquivos eles devem procurar em seus sistemas. O relatório completo sobre a campanha do Infector ATM foi compartilhado anteriormente com um público fechado que consiste em agências de aplicação da lei, CERTs, instituições financeiras e clientes de inteligência.
Quanto a pessoas comuns como você e eu, as coisas são bastante assustadoras com o ATM Infector: não há como definir se o ATM está infectado ou não sem escanear o entupimento do computador, já que superficialmente ele parece e funciona de maneira completamente normal.
Os bancos geralmente consideram a entrada do PIN como uma prova de que a transação foi realizada pelo proprietário do cartão ou o próprio proprietário é responsável pelo fato de o PIN ter sido comprometido. Seria difícil contestar a decisão do banco e é muito provável que ele nunca devolva o seu dinheiro.
Resumindo, você não pode proteger seu cartão 100% de um Infector de caixa eletrônico, mas ainda assim você tem algumas dicas que o ajudarão a manter pelo menos a maior parte do seu dinheiro.
1. Apesar de não ser possível identificar caixas eletrônicos infectados, você pode minimizar o risco usando máquinas localizadas de forma menos suspeita. A melhor opção é usar caixas eletrônicos nos escritórios dos bancos - é mais difícil para os culpados infectá-los e provavelmente estão sendo inspecionados pela equipe de tecnologia do banco com mais frequência.
2. Verifique todas as cobranças do cartão constantemente. A melhor forma de fazer isso é por meio de notificações por SMS: se o seu banco oferece esse serviço, é obrigatório utilizá-lo.
3. Se você vir uma transação que nunca fez - ligue para o seu banco imediatamente e bloqueie o cartão comprometido. Realmente, faça isso IMEDIATAMENTE. Quanto mais rápido você reagir, maior será a probabilidade de economizar pelo menos uma boa parte de seu dinheiro.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
