“Agarre e dê uma mexida”
Já faz algum tempo que não escrevemos sobre skimmers de cartas, que costumavam desempenhar um papel importante no crime cibernético global.
Hoje em dia, muitas, se não a maioria, das histórias de violações cibernéticas e crimes cibernéticos giram em torno de ransomware, da darkweb e da nuvem, ou de alguma combinação profana dos três.
Nos ataques de ransomware, os criminosos não precisam realmente se aproximar pessoalmente da cena do crime e suas recompensas são extraídas on-line, normalmente usando tecnologias pseudoanônimas, como a darkweb e as criptomoedas.
E em alguns crimes cibernéticos baseados na nuvem, especialmente aqueles geralmente chamados de ataques à cadeia de suprimentos, os criminosos nem precisam acessar a sua rede.
Se eles conseguirem encontrar um terceiro para quem você carrega regularmente dados preciosos, ou de quem você baixa rotineiramente software confiável, então eles poderão ir atrás desse terceiro e causar os danos lá.
Nos recentes ataques de ciberextorsão, dezenas de grandes marcas foram chantageadas devido ao roubo de dados de funcionários e clientes, mesmo que esses dados tenham sido roubados indiretamente.
Nos ataques MOVEit, por exemplo, os dados foram roubados de prestadores de serviços, como empresas de processamento de folhas de pagamento, que usaram software de transferência de arquivos com bugs para aceitar uploads supostamente seguros de seus próprios clientes.
Sem o conhecimento das empresas que foram chantageadas e dos serviços de processamento de folha de pagamento que usaram, o software de transferência de arquivos MOVEIt permitiu que criminosos também realizassem downloads não autorizados de dados armazenados.
Exploração de dia zero do MOVEit usada por gangues de violação de dados: como, por que e o que fazer…
A fraude de cartões de crédito, por outro lado, é um crime muito mais flagrante, tanto para os seus perpetradores como para as suas vítimas.
Os skimmers de cartão visam extrair informações privadas essenciais para o seu cartão bancário, no exato momento em que você o usa.
Notoriamente, os skimmers de cartão não buscam apenas os dados armazenados no próprio cartão, mas também o PIN que serve como seu segundo fator de autenticação.
Quer o seu cartão tenha uma faixa magnética facilmente clonável ou um chip seguro que não pode ser clonado, ou ambos, o seu PIN nunca é armazenado no cartão real.
Portanto, os criminosos skimming normalmente usam câmeras ocultas em miniatura para espionar seu PIN ao vivo enquanto você o digita.
Ironicamente, talvez, os caixas eletrônicos dos bancos, mais conhecidos como caixas eletrônicos, sejam um local perfeito para equipamentos de fraude de cartões.
Os caixas eletrônicos quase sempre agarram seu cartão mecanicamente e o colocam diretamente na máquina, fora da vista e do alcance.
(Aparentemente, isso ocorre por dois motivos principais: primeiro porque esse processo tende a cortar quaisquer fios não autorizados soldados no cartão que possam conectá-lo ao mundo exterior enquanto ele está em uso, e segundo porque permite que o banco confisque o cartão se ele estiver em uso. pensa que pode ter sido roubado.)
Em outras palavras, adicionar um leitor de tarja magnética falso a um caixa eletrônico é geralmente mais eficaz do que fazer a mesma coisa em qualquer terminal tap-to-pay ou chip e PIN, onde a tarja magnética completa nunca passa para dentro ou sobre o leitor.
Além disso, os caixas eletrônicos sempre pedem seu PIN e geralmente possuem muitos recursos de superfície convenientes onde uma pequena câmera pode ser escondida à vista de todos.
Outra ironia, lobbies de bancos bem iluminados que visam proporcionar um ambiente tranquilizador são, por vezes, um lugar melhor para skimmers de cartões do que caixas eletrônicos mal iluminados em ruas laterais.
Num caso que recordamos, o átrio do multibanco num edifício no centro da cidade que servia vários bancos tinha sido equipado com uma porta de “segurança” fora do horário comercial para que os clientes se sentissem mais seguros.
A porta foi projetada para evitar que qualquer pessoa ficasse entre os caixas eletrônicos a noite toda, porque os possíveis usuários de caixas eletrônicos tinham que passar algum tipo de cartão de banco na entrada para obter acesso inicial.
Em vez de melhorar a segurança, contudo, isto piorou a situação, porque os bandidos simplesmente instalaram um leitor de cartões oculto na própria porta, sugando assim os dados dos cartões de todos os bancos antes que qualquer cliente chegasse aos caixas eletrônicos reais.