Como funcionam os skimmers de cartão de crédito e como identificá-los

automatizado-transação-máquina-ou-atm

Um skimmer de cartão de crédito é um dispositivo malicioso que os criminosos anexam a um terminal de pagamento – mais comumente em caixas eletrônicos e bombas de gasolina. Quando você usa um terminal que foi comprometido de tal forma, o skimmer irá criar uma cópia do seu cartão e capturar seu PIN (se for um cartão ATM).

Se você usa caixas eletrônicos e bombas de gasolina, deve estar ciente desses ataques. Armado com o conhecimento certo, é realmente muito fácil localizar a maioria dos skimmers – embora, assim como tudo o mais, esses tipos de ataques continuem a ficar mais avançados.

Como funcionam os skimmers

Um skimmer tradicionalmente tem dois componentes. O primeiro é um pequeno dispositivo que geralmente é inserido no slot de cartão. Ao inserir o cartão, o dispositivo cria uma cópia dos dados na fita magnética do cartão. O cartão passa pelo dispositivo e entra na máquina, de modo que tudo parecerá estar funcionando normalmente – mas os dados do cartão acabaram de ser copiados.

A segunda parte do dispositivo é uma câmera. Uma pequena câmera é colocada em algum lugar onde possa ver o teclado – talvez no topo da tela de um caixa eletrônico, logo acima do teclado numérico ou ao lado do teclado. A câmera é apontada para o teclado e captura você inserindo seu PIN. O terminal continua a funcionar normalmente, mas os invasores apenas copiaram a faixa magnética do seu cartão e roubaram seu PIN.

Os invasores podem usar esses dados para programar um cartão falso com os dados da tarja magnética e usá-lo em outros caixas eletrônicos, inserindo seu PIN e retirando dinheiro de suas contas bancárias.

atm-skimmer-card-reader

Dito isso, os skimmers também estão se tornando cada vez mais sofisticados. Em vez de um dispositivo instalado sobre um slot de cartão, um skimmer pode ser um dispositivo pequeno e imperceptível inserido no próprio slot de cartão, geralmente chamado de shimmer .

Em vez de uma câmera apontada para o teclado, os invasores também podem estar usando uma sobreposição – um teclado falso instalado sobre o teclado real. Quando você pressiona um botão no teclado falso, ele registra o botão pressionado e pressiona o botão real por baixo. São mais difíceis de detectar. Ao contrário de uma câmera, eles também capturam seu PIN.

Recomendado:  Mesmo 25 anos depois, o Iomega Zip é inesquecível

pin-can-be-capture-by-atm-skimmer-camera

Os skimmers geralmente armazenam os dados que capturam no próprio dispositivo. Os criminosos precisam voltar e recuperar o skimmer para obter os dados que são capturados. No entanto, mais skimmers estão agora transmitindo esses dados sem fio por Bluetooth ou até mesmo por conexões de dados de celular.

Como detectar skimmers de cartão de crédito

Aqui estão alguns truques para identificar skimmers de cartas. Você não consegue identificar todos os skimmer, mas definitivamente deve dar uma olhada rápida antes de retirar o dinheiro.

  • Sacudir o leitor de cartão : se o leitor de cartão se mover quando você tentar sacudi-lo com a mão, provavelmente algo não está certo. Um leitor de cartão real deve ser conectado ao terminal tão bem que não se mova – um skimmer sobreposto ao leitor de cartão pode se mover.
  • Veja o Terminal : dê uma olhada rápida no próprio terminal de pagamento. Alguma coisa parece um pouco fora do lugar? Talvez o painel inferior seja de uma cor diferente do resto da máquina porque é um pedaço de plástico falso colocado sobre o painel inferior real e o teclado. Talvez haja um objeto de aparência estranha que contém uma câmera.
  • Examine o teclado : O teclado parece um pouco grosso ou diferente do que normalmente parece se você já usou a máquina antes? Pode ser uma sobreposição sobre o teclado real.
  • Verifique se há câmeras : considere onde um invasor pode esconder uma câmera – em algum lugar acima da tela ou do teclado, ou mesmo no porta-brochuras da máquina.
  • Use o Skimmer Scanner para Android: Se você usa um telefone Android, há uma ótima ferramenta nova chamada Skimmer Scanner, que fará a varredura de dispositivos Bluetooth próximos e detectará os skimmers mais comuns no mercado. Não é à prova de falhas, mas é uma excelente ferramenta para localizar skimmers modernos que transmitem seus dados por Bluetooth.
Recomendado:  Como desligar as luzes de LED nas unidades Wi-Fi Eero

Se você encontrar algo muito errado – um leitor de cartão que se move, uma câmera oculta ou um teclado sobreposto – certifique-se de alertar o banco ou a empresa responsável pelo terminal. E, claro, se algo simplesmente não parece certo, vá para outro lugar.

possível-atm-skimmer-card-reader-attachment

Outras precauções básicas de segurança que você deve tomar

Você pode encontrar skimmers comuns e baratos com truques como tentar sacudir o leitor de cartão. Mas aqui está o que você sempre deve fazer para se proteger ao usar qualquer terminal de pagamento:

  • Proteja seu PIN com a mão : ao digitar seu PIN em um terminal, proteja o teclado PIN com a mão. Sim, isso não o protegerá contra os skimmers mais sofisticados que usam sobreposições de teclado, mas é muito mais provável que você encontre um skimmer que usa uma câmera – eles são muito mais baratos para os criminosos comprarem. Esta é a dica número um que você pode usar para se proteger.
  • Monitore suas transações de conta bancária : Você deve verificar regularmente suas contas bancárias e contas de cartão de crédito online. Verifique se há transações suspeitas e notifique seu banco o mais rápido possível. Você deseja resolver esses problemas o mais rápido possível – não espere até que o seu banco envie um extrato impresso por e-mail um mês após o dinheiro ter sido retirado de sua conta por um criminoso. Ferramentas como o Mint.com – ou um sistema de alerta que seu banco possa oferecer – também podem ajudar aqui, notificando-o quando ocorrem transações incomuns.
  • Use sistemas de pagamento sem contato: quando aplicável, você também pode ajudar a se proteger usando ferramentas de pagamento sem contato, como Android Pay ou Apple Pay. Ambos são intrinsecamente seguros e ignoram completamente qualquer tipo de sistema de furto, de modo que seu cartão (e os dados do cartão) nunca cheguem realmente perto do terminal. Infelizmente, a maioria dos caixas eletrônicos ainda não aceita métodos sem contato para saques, mas pelo menos isso está se tornando cada vez mais comum nas bombas de gasolina.
Recomendado:  O que é o processo de tempo de execução do servidor cliente (csrss.exe) e por que ele está sendo executado no meu PC?

escudo-atm-pino-com-sua-mão

A indústria está trabalhando em soluções … Lentamente

Assim como a indústria de skimmer está constantemente tentando encontrar novas maneiras de roubar suas informações, a indústria de cartão de crédito está avançando com novas tecnologias para manter seus dados seguros. A maioria das empresas mudou recentemente para  os chips EMV , o que torna o roubo dos dados do cartão quase impossível, uma vez que são significativamente mais difíceis de replicar.

O problema é que, embora a maioria das empresas de cartão e bancos tenham sido bastante rápidos em adotar essa nova tecnologia em seus cartões, muitos leitores de cartão – terminais de pagamento, caixas eletrônicos, etc. – continuam a usar o método tradicional de furto. Enquanto esses tipos de sistemas ainda estiverem em funcionamento, os skimmers sempre serão um risco. Até hoje, não posso dizer que tenha visto um único caixa eletrônico ou terminal de bomba de gasolina que utilize o sistema de chip, sendo que ambos têm a maior probabilidade de ter um skimmer conectado. Esperamos começar a ver o sistema de chip se tornar mais prolífico nos terminais de pagamento à medida que fazemos a transição para 2018.

Mas, até lá, você pode usar as etapas encontradas nesta peça para se proteger tanto quanto possível. Como eu disse, não é à prova de falhas, mas fazer o que você pode ajudar a proteger seus dados e suas finanças nunca é uma má ideia.


Para aprender mais sobre esse tópico assustador – ou apenas para ver fotos de todo o hardware de skimming envolvido – confira a série All About Skimmers de Brian Krebs em Krebs on Security. Está um pouco desatualizado neste ponto, com muitos dos artigos que datam de 2010, mas ainda é muito relevante para os ataques de hoje e vale a pena ler se você estiver interessado.

Crédito da imagem: Aaron Poffenberger no Flickr , nick v no Flickr