Na primeira parte de nossa série, discutimos a tecnologia usada por 'requerentes' de cartões bancários. Hoje, vamos revelar outra parte da história, cobrindo como os criminosos realizam os processos de skimming mais perigosos.
Terceirização de processos de skimming
Para a maioria das atividades de um cardador, ele não precisa ser altamente qualificado. No entanto, algumas operações - incluindo o processo de instalação de hardware - são bastante arriscadas. Às vezes, essas funções são delegadas a 'especialistas' terceirizados.
Um profissional qualificado gasta cerca de 30 segundos instalando o equipamento de escumação. Isso só é feito após a conclusão de vários estágios de trabalho de preparação e coleta de inteligência, incluindo a análise de um local e câmeras de vigilância, bem como determinar o horário comercial mais silencioso - tudo isso sem a ajuda de um assistente estacionado nas proximidades do objeto.
Um instalador proficiente também é difícil de remover. Um cavalheiro de cabeça fria e bem vestido precisa apenas alegar que acabou de notar algo estranho no caixa eletrônico e que deseja confirmar suas suspeitas antes de chamar a polícia. A trapaça é então muito difícil de provar, especialmente se o culpado se livrou da cola e dos aparelhos de instalação. É por isso que os bancos recomendam aos usuários não tocar em nada suspeito e chamar a polícia imediatamente.
Além dos caixas eletrônicos, os carders estão interessados em outros tipos de terminais que aceitam cartões bancários. Isso inclui terminais em postos de gasolina, máquinas de venda de bilhetes em estações de trem - e geralmente todos os tipos de máquinas de venda automática. Eles provocam menos suspeita de pessoas comuns - em comparação com caixas eletrônicos - e são menos protegidos.
Colheita criminosa
Assim que o hardware de skimming é instalado, os criminosos estão trabalhando no próximo estágio do golpe - a 'colheita'. Eles têm que aproveitar esse tempo para clonar o máximo de cartões possível antes que o golpe seja descoberto: assim que o banco souber que uma campanha de skimming ocorreu, as chances são maiores de que os titulares dos cartões coletados os bloqueiem. Para observar a situação, o cúmplice do cartão deve estar estacionado em um carro ou um café em frente ao caixa eletrônico visado.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Se ninguém perceber que os caixas eletrônicos têm alguns 'ajustes', o golpe funciona até que a bateria se esgote totalmente, comprometendo até mil credenciais de cartão. Se ninguém perceber que os caixas eletrônicos têm alguns 'ajustes' e os oficiais de segurança do banco permanecerem desavisados, o golpe funciona até que a bateria se esgote totalmente, comprometendo até mil credenciais de cartão.
Os criminosos mais gananciosos desmontam o equipamento, e os carders mais espertos o abandonam para sempre para minimizar o risco de serem pegos. O lucro acumulado dos cartões roubados pode valer milhares de dólares, o que compensa qualquer custo de equipamento.
Retirar dinheiro dos cartões clonados é um ramo separado e de alto risco desse tipo de negócio criminoso - é por isso que essa parte do golpe é frequentemente terceirizada. Via de regra, várias pessoas, chamadas de 'mulas', estão envolvidas neste processo.
Às vezes, as mulas simplesmente dão o dinheiro para o escumador especializado em cardar, lucrando com uma porcentagem combinada da receita. Mas existem esquemas em que as mulas compram pacotes de dados de banda magnética roubados e agem de forma autônoma, frequentemente de outras partes do mundo.
Rudeza não é boa
A razão pela qual roubar dinheiro de cartões bancários é tão fácil reside no primitivismo da tecnologia de segurança correspondente. Os primeiros cartões bancários baseados em banda magnética surgiram há algumas gerações, em meados do século passado, quando o equipamento para roubar e clonar credenciais de cartão ainda era desconhecido.
A razão pela qual roubar dinheiro de cartões bancários é tão fácil reside no primitivismo da tecnologia de segurança correspondente. Os dados gravados na banda magnética são, de fato, protegidos por nada além de um código PIN curto e vulnerável que serve para justificar as transações. Existem vários tipos de tecnologia de proteção avançada, que apareceram posteriormente, mas permanecem opcionais.
Nem é preciso dizer, mas os sistemas de pagamento e os bancos passaram anos criando uma solução para esse problema. Os cartões EMV mais robustos, equipados com uma banda magnética e um chip integrado, são usados na Europa há mais de 20 anos.
A diferença aqui é o fato de que um chip não pode ser clonado da mesma forma que uma fita magnética. Um caixa eletrônico solicita um chip de cartão para criar uma chave única, que pode ser roubada, mas não será válida para outra transação.
Pesquisadores de segurança relataram várias vulnerabilidades de cartões EMV, mas eles são complicados de usar na prática. Portanto, essa evolução pode tirar os skimmers do mercado, mas há um problema: a migração para os cartões EMV é um processo longo, complexo e caro que envolve várias partes.
Todos devem migrar: sistemas de pagamento, bancos, empresas adquirentes, produtores de terminais POS e ATMs e muitos outros. É por isso que muitos países, incluindo mercados desenvolvidos, usam cartões não EMV antiquados.
Dito isso, mesmo um cartão baseado em EMV pode perder dinheiro. Para fornecer compatibilidade retroativa com terminais legados e aumentar a resiliência, uma transação pode ser concluída sem o uso do chip, com base nos dados da fita magnética.
Nos Estados Unidos, com um programa em escala real de implantação de EMV em todo o país atualmente em execução, os carders estão mais ativos, conforme relatado pela European ATM Security Team. A Indonésia e a Tailândia na Ásia e a Bulgária e a Romênia na Europa também lideram em termos de risco.
Os bancos podem reembolsar o dinheiro roubado pelos titulares de cartões, especialmente nos casos em que a responsabilidade pode ser transferida para outro agente - seja um sistema de pagamento, um proprietário de caixa eletrônico ou uma seguradora. Provavelmente, o titular do cartão será responsabilizado, e há vários casos em que esse foi o caso.
Regras de sobrevivência
Não há maneiras infalíveis de garantir 100% que seu cartão não será vítima de um coletor de caixas eletrônicos, mas algumas dessas dicas simples podem atenuar os riscos.
Se sua placa não estiver equipada com um chip EMV, você não deve usá-lo de forma alguma. Seu banco pode substituí-lo por um cartão EMV sob demanda. O uso do chip não garante total segurança, mas pode mitigar o risco.
Habilite a opção de notificações por SMS para rastrear melhor as transações. Quanto mais cedo você descobrir evidências de roubo, maiores serão as chances de receber o dinheiro de volta.
Se você não é um viajante frequente, descubra se o seu banco pode limitar a geografia das operações do seu cartão (quando você vai para o exterior, pode simplesmente 'ligar' o país para o qual está viajando). Trata-se de uma medida muito eficiente, que já provou o seu valor em vários países europeus.
Não use o cartão com muito dinheiro. Quanto menos transações você o usar, especialmente em novos lugares (por exemplo, no exterior), melhor. Para operações de alto risco, você pode usar um cartão separado com um limite baixo.
Se você usar um caixa eletrônico, escolha aqueles localizados em áreas bem iluminadas e seguras - por exemplo, dentro de uma agência bancária. Respectivamente, evite usar caixas eletrônicos autônomos em esquinas isoladas de shopping centers.
Ao inserir seu PIN, fique o mais próximo possível do caixa eletrônico e cubra o teclado numérico com a mão. Painéis de vaidade especiais ainda são um caso raro, e as chances são maiores de que uma câmera ou seu vizinho olhe para o PIN. Não se esqueça de alterar regularmente seu PIN (em um caixa eletrônico de confiança ou com a ajuda de um funcionário do banco), especialmente após transações arriscadas.
Fique de olho nas curiosidades no caixa eletrônico e na área circundante. Nem todos os cardadores são profissionais ou usam equipamentos proficientes. Além disso, nem pense em passar seu cartão por um 'limpador de fita magnética' especial localizado perto do caixa eletrônico (por mais estranho que pareça, muitas pessoas compram esse truque simples).
Conte todas as contas que você recebe em um caixa eletrônico. Existem 'armadilhas' especiais instaladas em bandejas que capturam notas de banco individuais. Se um caixa eletrônico não devolver seu cartão, isso também pode ser parte do golpe - ligue para o banco imediatamente, sem sair do terminal. Esses golpes se tornaram muito populares nos países europeus após a implantação do EMV - neste caso, os carders precisam do seu cartão com um chip.
Não deixe o cartão sem supervisão ao pagar em restaurantes e lojas - há uma série de scanners manuais compactos para clonar o cartão e um PIN é fácil de ignorar.
Não mostre seu cartão para estranhos e nunca envie ou poste fotos do cartão, mesmo que seja de um lado. Muitos sites legados permitem concluir transações sem um código CVV2, que é impresso no verso do cartão, muito menos sem usar o suporte de autenticação de dois fatores (com senhas SMS de uso único).
Fique alerta. Um cartão de banco é uma ferramenta útil, mas às vezes sua conveniência joga contra nós. Lembre-se: é melhor ser ridículo e paranóico do que lamentar e falir.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
