Mais uma vez caixa
eletrônico foi alvo de criminosos, desta vez na cidade de Belo Jardim, Agreste de Pernambuco. Bandidos instalaram um
chupa-cabra na máquina dentro na agência da Caixa Econômica Federal que fica localizada na rua José Robalinho.
Segundo informações repassadas pelos grupos de WhatsApp do Blog Se liga, o equipamento foi descoberto por um cliente da agência que desconfiou no momento do depósito o envelope não ter sido efetuado normalmente, em seguida o cliente acionou os policiais do 15° BPM de Belo Jardim.
Como funcionam os
chupa-cabras de caixas eletrônicos
Todos temos que ter cuidado
com os batedores de carteira. Mesmo quando ainda somos crianças, temos que
cuidar dos nossos bolsos quando estamos na rua, a vida em si nos oferece
oportunidades para aprender estas regras. O mesmo ocorre com os hackers. Hoje
em dia, as atividades dos hackers são amplamente divulgadas na Internet e
conhecidas até mesmo por crianças.
Mas os “chupa-cabras”
perderam a popularidade ultimamente, mas ainda assim representam um grande
risco aos cidadãos comuns. Este tipo de pessoa se especializa em roubar
credenciais de cartões com a ajuda de miniatura de hardware que instalam em
caixas eletrônicos de maneira discreta. Mesmo com o esforço combinado da
polícia, bancos e sistemas de pagamento, a quantidade de dinheiro roubado de
contas de cartões continua crescendo.
Estes ladrões são como os
batedores de carteira e, em menor grau, são parecidos com os hackers (o que
eles fazem não é possível sem o emprego de alguns truques de alta tecnologia e
PC).
Para tornar-se seu alvo,
você só precisa usar o seu cartão para sacar dinheiro. Se o seu cartão não
estiver equipado com um chip, a situação fica pior para você e melhor para
eles: os cartões sem chip são mais fáceis de roubar. Para aumentar o risco de serem
vítimas dos “chupa-cabras”, basta pular a opção de notificações por SMS do
banco, inserindo o seu cartão em qualquer caixa eletrônico e colocando o PIN.
Desta maneira você rebecerá uma mensagem dos ladrões como forma de
agradecimento pela “ajuda”.
Falando sério, este negócio
ilícito tem crescido e evoluido ao longo dos anos. Seu objetivo continua sendo
o mesmo: usar técnicas furtivas para ler dados da banda magnética, procurar o
código PIN, clonar o cartão e retirar a quantidade máxima de dinheiro da conta
bancária correspondente. No entanto, as técnicas de roubo de dados evoluiu
muito.
Apenas negócios
Houve momentos em que estes
ladrões utilizavam leitores de cartão DIY (Do It Yourself- Faça você mesmo),
instalando um hardware desajeitado nas caixas de entrada de um caixa eletrônico
automático, com o risco de ser apanhado em flagrante ao extrair os dados
manualmente. Mas agora os tempos mudaram. A indústria mudou, e os entusiastas
do DIY estão extintos. Hoje em dia, um roubo é bem organizado e com processos
que já estão altamente automatizados.
O primeiro elo da cadeia
deste processo são os produtores e vendedores de soluções de hardware feitos de
componentes que já estão disponíveis em grandes quantidades. Os acordos são
assinados e pagos online, e os produtos são enviados via serviços de correio –
é a maneira mais segura para os criminosos.
Para ver a prova de como os
hardware para roubar são populares, basta digitar fazer uma simples busca em
qualquer navegador. Os kits contém um leitor para extrair dados de um cartão de
crédito, um painel para obter códigos PIN, e um dispositivo de clonagem
incluído com o software correspondente, eles são vendidos por 1.500 – 2.000
dólares, em comparação com os preços que se encontravam há alguns anos, que chegavam
até os 10 mil dólares segunda a estimativa de Brian Krebbs, especialista em
segurança da informação.
Os compradores destes
pacotes para roubar não precisam ser hackers proficientes: eles têm à
disposição manuais detalhados contendo seções inclusive sobre as “melhores
práticas”. As instruções são tão detalhadas que incluem até recomendações para
o primeiro uso da bateria e assim garantir que o leitor desfrute de uma vida
útil da bateria!
Maravilhas da tecnologia
O progresso da tecnologia,
juntamente com a enorme demanda, alimentou a evolução de componentes
eletrônicos utilizados para atividades ilícitas. Os especialistas em segurança
recomendam analisar os caixas eletrônicos para detectar estas peculiaridades,
mas estas recomendações estão cada vez mais ultrapassadas.
Em primeiro lugar, os
fornecedores de criminosos experientes vendem hardware que apenas pode
distinguir-se de componentes eletrônicos originais. Até mesmo um usuário
consciente não seria capaz de distingui-los: a caixa de entrada é feita do
mesmo tipo de plástico e da mesma cor, apenas um pouco diferente na forma.
Essa semelhança se consegue
através da adaptação deliberada de elementos de falsos caixas eletrônicos em
modelos mais comuns.
Em segundo lugar, há
leitores que são instalados dentro dos caixas eletrônicos através da caixa de
entrada do caixa. Esta nova técnica foi revelada em um relatório recente
realizado pela European ATM Security Team.
Este novo tipo de
dispositivos nem sequer tem que ler as bandas magnéticas dos cartões, uma vez
que utilizam os recursos dos próprios caixas para executar as tarefas.
As tecnologias dos
criminosos avançaram tanto que já não faz falta extrair os dados roubados de
forma manual. Os novo leitores estão equipados com um módulo GSM que envia de
maneira criptografada dos dados dos cartões através das redes de telefonia
celular.
Vigie o seu PIN
Desde então, a obtenção de
um código PIN continua sendo o elo mais fraco. A fim de procurar PINs, os
criminosos instalam câmeras espiãs em miniatura em cima dos teclados dos caixas
ou em alguma parte do banco.
Para instalar suas câmeras
espiãs, os “chupa-cabras” costumam utilizar os stands que os bancos exibem seus
folhetos institucionais. Uma vez que é muito comum encontrar estes locais nos
bancos, raramente são percebidos como algo perigoso.
No entanto, o simples fato
de tapar o teclado com a mão na hora de inserir a senha pessoal, pode resultar
uma medida de segurança eficaz contra as câmeras espiãs.
Conseguir painéis numéricos
falsos para os caixas é cada vez mais simples (podem comprá-los por menos de
100 euros no mercado ilegal), o que agrava a situação. Aqui, já não serviria em
nada cobrir o painel ao ingressar o PIN, uma vez que o mesmo usuário estaria
escrevendo sua senha e enviando-a direto para os criminosos via SMS, sem você
nem se dar conta. Naturalmente, esta medida é muito mais eficaz para os
“chupa-cabras” que as câmeras espiãs, uma vez que já não têm que processar
manualmente cada vídeo.
É claro que o painel falso
sobressai visivelmente sobre o teclado original, mas dificilmente qualquer
usuário poderia examinar de perto isso. Além disso, estes painéis duplicados
utilizam o mesmo tipo de metal e cor de pintura que os originais, por isso, sua
identificação resulta muito difícil.
Existe uma técnica que os
fraudadores usam habitualmente: eles guardam o software que eles usam para
decodificação e clonagem da informação. Desta forma, os criminosos se protegem
si mesmos das forças de segurança e de outros fraudadores.
Se você inseri uma senha
incorreta, o software de clonagem não informará o usuário que inseriu sua senha
incorreta, simplesmente desligará. Nesse sentido, as autoridades terão que
empregar técnicos especialistas para analisar o código dos programas, o que é
uma tarefa muito complexa e demanda muito tempo.
Com tudo o que eu disse, a
tecnologia é apenas uma parte da história. Muitas operações de skimming ainda
são executadas manualmente ainda são muito arriscadas. Vamos relacionar essa
parte da história no próximo artigo e daremos dicas para proteger sua conta
bancária.