Como identificar e evitar escumadores de cartão de crédito

O momento em que comecei a me preocupar seriamente com os cartões de crédito e cartões de débito não foi quando toda a minha conta bancária foi transferida para a Turquia ou quando tive que substituir um cartão de crédito três vezes em dois meses por causa de cobranças fraudulentas. Foi quando soube que roubar um número de cartão de crédito é tão fácil quanto conectar um leitor de fita magnética a um computador e abrir um processador de texto. Cada furto cuspe o número do cartão de crédito, sem necessidade de configuração extra. Dispositivos mais avançados para roubar suas informações são instalados pelos criminosos diretamente nos caixas eletrônicos e nos leitores de cartão de crédito. Eles são chamados de skimmers, e se você for cuidadoso, poderá evitar ser vitimado por esses dispositivos insidiosos.

O que são Skimmers?

Os skimmers são essencialmente leitores de cartão maliciosos conectados aos terminais de pagamento reais, para que possam coletar dados de todas as pessoas que roubam seus cartões. O ladrão geralmente precisa voltar à máquina comprometida para pegar o arquivo que contém todos os dados roubados, mas com essas informações em mãos, ele pode criar cartões clonados ou simplesmente invadir contas bancárias para roubar dinheiro. Talvez a parte mais assustadora seja que os skimmers geralmente não impedem que o caixa eletrônico ou o leitor de cartão de crédito funcionem corretamente, dificultando sua detecção.

Os ataques clássicos de desnatação chegaram para ficar e provavelmente continuarão sendo um problema mesmo agora que os bancos mudaram para os cartões com chip EMV, de acordo com Stefan Tanase, pesquisador de segurança da Kaspersky Lab. Mesmo se os cartões tiverem um chip, os dados ainda estarão na tira magnética do cartão para serem compatíveis com os sistemas que não suportam o chip, ele nos disse. Mesmo agora, muito depois do lançamento de cartões EMV nos EUA, alguns comerciantes ainda exigem que os clientes usem as tarjas magnéticas.

O skimmer ATM típico é um pequeno dispositivo que se encaixa em um leitor de cartão existente. Na maioria das vezes, os atacantes também colocam uma câmera escondida em algum lugar nas proximidades para registrar números de identificação pessoal, ou PINs, usados ​​para acessar contas. A câmera pode estar no leitor de cartões, montado na parte superior do caixa eletrônico ou até no teto. Alguns criminosos instalam um PIN falso nos teclados reais para capturar o PIN diretamente, ignorando a necessidade de uma câmera.

A imagem acima é uma escumadeira da vida real em uso em um caixa eletrônico. Você vê aquele pedaço amarelo esquisito e volumoso? Esse é o skimmer. É fácil identificá-lo, pois possui uma cor e um material diferentes dos da máquina-alvo, mas existem outros sinais indicadores. Abaixo do slot onde você insere o cartão, há setas levantadas embutidas na caixa plástica da máquina. Você pode ver como as setas cinza estão muito próximas ao compartimento do leitor amarelo, quase sobrepostas. É um sinal de que um skimmer foi instalado sobre o existente, pois o leitor de cartão real teria algum espaço entre o slot do cartão e as setas.

De Skimmers a Shimmers

Quando os bancos dos EUA finalmente alcançaram o resto do mundo e começaram a emitir cartões com chip, foi um grande benefício para os consumidores. Esses cartões com chip, ou cartões EMV, oferecem segurança mais robusta do que as simples tarjas magnéticas dos cartões de crédito mais antigos. Mas os ladrões aprendem rápido e levaram anos para aperfeiçoar ataques na Europa e no Canadá que visam cartões com chip.

Em vez de skimmers, que ficam em cima dos leitores de tarja magnética, os shimmers estão dentro dos leitores de cartão. Estes são dispositivos muito, muito finos e não podem ser vistos de fora. Quando você desliza o cartão, o shimmer lê os dados do chip no seu cartão, da mesma maneira que um skimmer lê os dados na tarja magnética do cartão.

Existem algumas diferenças importantes, no entanto. Por um lado, a segurança integrada que acompanha o EMV significa que os invasores podem obter apenas as mesmas informações que obteriam de um skimmer. Em seu blog, o pesquisador de segurança Brian Krebs explica que "os dados coletados pelos shimmers não podem ser usados ​​para fabricar um cartão baseado em chip, mas podem ser usados ​​para clonar um cartão de tarja magnética. Embora os dados normalmente sejam armazenados na tarja magnética de um cartão é replicado dentro do chip em cartões habilitados para chip, o chip contém componentes de segurança adicionais não encontrados em uma tarja magnética ".

O verdadeiro problema é que os shimmers são muito mais difíceis de detectar porque ficam dentro de caixas eletrônicos ou máquinas de ponto de venda. O brilho mostrado abaixo foi encontrado no Canadá e reportado ao RCMP. É pouco mais que um circuito integrado impresso em uma fina folha de plástico. Se os proprietários do dispositivo comprometido não tivessem sido cuidadosos, isso poderia ter roubado as informações de todos que o usavam.

Os fabricantes de caixas eletrônicos não aceitaram esse tipo de fraude. Os caixas eletrônicos mais recentes possuem dispositivos antitipagem robustos, às vezes incluindo sistemas de radar destinados a detectar objetos inseridos ou conectados ao caixa eletrônico. No entanto, um pesquisador da conferência de segurança da Black Hat conseguiu usar o dispositivo de radar de um caixa eletrônico para capturar PINs como parte de um esquema elaborado.

As ameaças são reais e estão evoluindo; é por isso que é tão importante verificar rapidamente qualquer caixa eletrônico ou leitor de cartão de crédito antes de usá-lo.

Verificar adulteração

Ao se aproximar de um caixa eletrônico, verifique se há sinais óbvios de violação na parte superior do caixa eletrônico, perto dos alto-falantes, do lado da tela, do próprio leitor de cartão e do teclado. Se algo parecer diferente, como cor ou material diferente, gráficos que não estão alinhados corretamente ou qualquer outra coisa que não pareça correta, não use esse caixa eletrônico. O mesmo vale para os leitores de cartão de crédito na fila do caixa ou nos postos de gasolina.

Se você estiver no banco, é uma boa ideia dar uma olhada rápida no caixa eletrônico ao lado do seu e compará-lo. Se houver diferenças óbvias, não use nenhuma delas e relate a violação suspeita ao seu banco. Por exemplo, se um caixa eletrônico tem uma entrada de cartão intermitente para mostrar onde você deve inserir o cartão e o outro caixa eletrônico tem um slot de leitor comum, você sabe que algo está errado. A maioria dos skimmers é colada em cima do leitor existente e obscurece o indicador piscando.

Se o teclado não parecer correto - grosso demais, talvez -, pode haver uma sobreposição de arrebatar o PIN, portanto, não o use.

Wiggle Everything

Mesmo que não consiga ver nenhuma diferença visual, empurre tudo, disse Tanase. Os caixas eletrônicos são solidamente construídos e geralmente não possuem peças soltas. Os leitores de cartão de crédito têm mais variações, mas ainda assim: puxe peças salientes como o leitor de cartão. Veja se o teclado está firmemente conectado e apenas uma peça. Alguma coisa se move quando você a pressiona?

Os skimmers leem a tarja magnética quando o cartão é inserido; portanto, mexa um pouco o cartão enquanto o coloca, aconselha Tanase. O leitor precisa que a faixa se mova em um único movimento, porque, se não estiver reta, não poderá ler os dados corretamente. Se o caixa eletrônico é do tipo em que ele pega o cartão e o devolve no final da transação, o leitor está do lado de dentro. Mexer o cartão quando você o inserir no slot não interferirá na transação, mas frustrará o skimmer.

Essa tática não funciona com shimmers e não funciona com nenhum caixa eletrônico que captura e retém seu cartão enquanto a transação está em andamento. No entanto, ainda existem maneiras de se proteger ao usar essas máquinas.

Pense em seus passos

Sempre que você digitar o PIN do seu cartão de débito, suponha que alguém esteja procurando. Talvez esteja sobre seu ombro ou através de uma câmera escondida. Cubra o teclado com a mão ao inserir seu PIN, disse Tanase. Essa é uma boa política, mesmo que você não note nada de estranho no caixa eletrônico. A obtenção do PIN é essencial, pois os criminosos não podem usar os dados roubados da tarja magnética sem eles, disse-nos Tanase. Obviamente, isso pressupõe que o invasor esteja usando uma câmera e não uma sobreposição para obter seu PIN.

Os criminosos frequentemente instalam skimmers em caixas eletrônicos que não estão localizados em locais muito ocupados, pois não querem ser vistos instalando hardware malicioso ou coletando os dados coletados. Os caixas eletrônicos dentro dos bancos são geralmente mais seguros por causa de todas as câmeras, embora alguns criminosos ousados ​​ainda consigam instalá-los lá. O caixa eletrônico dentro de uma mercearia ou restaurante é geralmente mais seguro do que o que fica do lado de fora na calçada. Pare e considere a segurança do caixa eletrônico antes de usá-lo.

Dito isto, nenhum lugar é seguro de um criminoso empreendedor. Veja este vídeo, por exemplo. O ladrão instala um skimmer no ponto de venda dentro de uma mercearia em segundos.

As chances de ser atropelado por um skimmer são maiores no final de semana do que durante a semana, já que é mais difícil para os clientes denunciar os caixas eletrônicos suspeitos ao banco. Os criminosos normalmente instalam escumadeiras aos sábados ou domingos e os removem antes que os bancos reabram na segunda-feira.

Sempre que possível, não use as tarjas magnéticas do seu cartão para realizar a transação. Para os leitores de cartão de crédito nas lojas, sinta-se embaixo do teclado PIN para inserir um cartão e um chip EMV para inserir um slot. Quando você usa seu chip EMV, o cartão é autorizado no dispositivo e suas informações pessoais nunca são transmitidas. Isso força os criminosos a atacar o funcionamento interno dos leitores habilitados para EMV. Embora seja possível quebrar os leitores EMV, é muito mais difícil do que o deslizamento de tarja magnética.

Se o terminal do cartão de crédito aceitar transações NFC, considere usar o Apple Pay, o Samsung Pay ou o Android Pay. Esses serviços tokenizam as informações do seu cartão de crédito, para que suas informações pessoais nunca sejam expostas. Se um criminoso de alguma forma intercepta as informações, ele recebe apenas um número de cartão de crédito virtual inútil. Observe que em certos dispositivos, o Samsung Pay pode simular uma transação de tarja magnética se você segurar o telefone sobre o leitor de cartão. Isso é muito mais seguro do que usar seu cartão de crédito real.

Um cenário que geralmente exige o uso da tarja magnética é o pagamento de combustível em uma bomba de gasolina. Eles são propensos a ataques, porque muitos ainda não suportam transições EMV ou NFC, e porque os atacantes podem obter acesso às bombas sem serem notados. É muito mais seguro entrar e pagar no caixa. Se não houver um caixa de plantão, use as mesmas dicas para o uso de caixas eletrônicos e investigue o leitor de cartões antes de usá-lo.

Ataques e soluções digitais

O recente hack da British Airways introduziu um novo conceito: o skimmer de cartões digitais. Em vez de um dispositivo físico para capturar as informações do seu cartão ou um site falso de phishing que o leva a inserir seus dados, um skimmer digital é um software malicioso injetado em um site legítimo.

O combate a esse tipo de ataque depende das empresas para garantir que seus sites e serviços estejam seguros. Mas existem algumas coisas que os consumidores podem fazer para se proteger. Uma opção é usar cartões de crédito virtuais. Estes são números fictícios de cartão de crédito vinculados à sua conta real do cartão de crédito. Se um deles estiver comprometido, você não precisará obter um novo cartão de crédito, basta gerar um novo número virtual. Alguns bancos, como o Citi, oferecem isso como um recurso, então pergunte ao seu se ele está disponível.

Se você não pode obter um cartão virtual de um banco, o Abine Blur oferece cartões de crédito mascarados aos assinantes. Estes são cartões de crédito pré-pagos que você pode criar em tempo real e usar para compras on-line. A Abine até fornece um nome e endereço de cobrança falsos para usar, disfarçando ainda mais suas informações pessoais. Se uma delas estiver exposta, você não perderá dinheiro ou informações particulares.

Outra opção é se inscrever nos alertas do cartão. O Ally Bank, por exemplo, enviará um alerta para o seu telefone sempre que seu cartão de débito for usado. Isso é útil, pois você pode identificar imediatamente compras falsas. Se o seu banco fornecer uma opção semelhante, tente ativá-lo.

Fique atento

Se você não notar um skimmer e os dados do cartão forem roubados, tenha coragem. Desde que denuncie o roubo ao emissor do cartão (para cartões de crédito) ou ao banco (onde você tem sua conta) o mais rápido possível, você não será responsabilizado pelo valor perdido e seu dinheiro será devolvido. Os clientes corporativos, por outro lado, não têm a mesma proteção legal e podem ter mais dificuldade em recuperar seu dinheiro.

Além disso, tente usar um cartão de crédito sempre que possível. Uma transação de débito é uma transferência imediata de renda e requer uma reivindicação FDIC que pode levar semanas para ser processada. As transações com cartão de crédito podem ser interrompidas e revertidas a qualquer momento, e isso pressiona os comerciantes a proteger melhor seus caixas eletrônicos e terminais de ponto de venda.

Os relatórios oportunos são muito importantes em casos de fraude; portanto, fique de olho nas transações com cartão de crédito e débito. Aplicativos de finanças pessoais como o Mint.com podem ajudar a facilitar a tarefa de classificar todas as suas transações.

• Abine Blur Premium Abine Blur Premium
• Federais alertam para 'Jackpotting' ATM Hacks nos EUA Federados alertam para 'Jackpotting' ATM Hacks nos EUA
• Assista a um Skimmer de cartões ser instalado em segundos Assista a um Skimmer de cartões ser instalado em segundos

Por fim, preste atenção ao seu telefone. Bancos e empresas de cartão de crédito geralmente têm políticas muito ativas de detecção de fraude e entrarão em contato imediatamente com você, geralmente por telefone ou SMS, se perceberem algo suspeito. Responder rapidamente pode significar interromper os ataques antes que eles possam afetá-lo, portanto, mantenha seu telefone à mão.

Lembre-se: se algo não parecer certo em um caixa eletrônico ou em um leitor de cartão de crédito, simplesmente não o use. Sempre que puder, use o chip em vez da tira do seu cartão. Sua conta bancária agradecerá.