Maquininhas de cartão em lojas estão virando alvos do cibercrime

(http://idgnow.uol.com.br/seguranca/2011/03/10/maquininhas-de-cartao-em-lojas-estao-virando-alvos-do-cibercrime)
Por Redação da Computerworld

Pesquisa aponta terminais como o alvo mais fácil para obtenção de dados pessoais; em São Paulo, polícia combate implante de máquinas viciadas.

Os sistemas de ponto de venda (POS – Point Of Sale) são cada vez mais alvos preferenciais dos cibercriminosos, devido a controles de segurança deficientes nos pagamentos com cartões de crédito e débito. A conclusão é de estudo encomendado pelas administradoras American Express, Visa e MasterCard à Trustwave, com foco, principalmente, em violações de cartões de pagamento a partir de transações geradas por pequenas empresas.

O estudo da Trustwave investigou 220 casos de violações de segurança dados em todo o mundo, em 2010. A grande maioria dos casos teve a ver com deficiências em dispositivos POS.

"Devido a várias vulnerabilidades conhecidas, os sistemas POS continuam a ser o método mais fácil para os criminosos obterem os dados necessários à execução de fraudes com cartões de pagamento”, afirma o Global Trustwave Security Report 2011.

Os dispositivos de POS leem a faixa magnética no verso do cartão, que contém as informações da conta, e as transmitem para o processamento de pagamentos. Apesar de existirem regras obrigatórias de segurança que os programadores devem usar nos dispositivos, como a norma Payment Application Data Security (PADS), a Trustwave diz que "esses controles raramente são implementados de forma adequada".

Leia também: Redes de micros zumbis já movimentam 10 bilhões de dólares por ano

Golpe no Brasil
No Brasil, golpes com máquinas de ponto de venda apoiam-se em técnicas mais simples, como a substituição dos terminais por aparelhos falsos. Ontem, quarta-feira (9/3), a Polícia Civil de São Paulo divulgou detalhes de uma operação de combate a um esquema de clonagem de cartões de débito e crédito.

Segundo informações publicadas nesta quinta-feira (10/3) pelo jornal O Estado de S.Paulo, lojas de pelo menos três shoppings da cidade – Bourbon, Anália Franco e Metrô Tatuapé – utilizavam máquinas instaladas por bandidos, que se passavam por técnicos de manutenção para trocar os equipamentos.

A polícia informou ao jornal que cada informação de cartão era vendida por até 50 reais. As máquinas eram da empresa Redecard – que, "por questões de segurança", preferiu não se manifestar.

Erros de autenticação
Além disso, muitas pequenas empresas dependem de integradores para suportar os dispositivos de POS. Integradores esses com práticas questionáveis de segurança. Em 87% dos casos de violação de privacidade de dados, os integradores tinham cometido erros nos sistemas de autenticação, revela a Trustwave.

"Segundo a nossa experiência, muitos integradores de dispositivos de POS não estão qualificados e não têm as melhores práticas de segurança, deixando os seus clientes vulneráveis a ataques”, diz o estudo.

Os POS são um alvo atraentes para os criminosos, pois a informação a que têm acesso nos cartões é mais completa, segundo a Trustwave.

Por exemplo, um ataque contra um site de comércio eletrônico pode revelar números de cartão de crédito e datas de expiração do cartão. São informações úteis apenas nas chamadas fraude de cartão não presente, como a compra de mercadorias em um site.

Já os dispositivos POS recolhem toda a informação contida da faixa magnética. O que torna possível, por exemplo, clonar o cartão para uso em uma ATM ou em um estabelecimento comercial.

O aumento da conformidade dos seus sistemas com o código de boas práticas Payment Card Industry Data Security Standard (PCI-DSS), criado pela indústria de cartões, pode ajudar a aumentar a segurança do uso dos POS. Ela proíbe, por exemplo, o armazenamento de dados da banda magnética no terminal POS e determina o uso de criptografia na transmissão.

Malware específico
E mesmo assim, há falhas. Em 2010, o estudo da Trustwave também descobriu uma nova tecnologia nociva dirigida a aplicações de POS, capaz de extrair dados cifrados. "O malware específico de POS é o mais sofisticado que temos visto, e semelhante ao das ATMs, detectado em 2009. Exige profundo conhecimento sobre o funcionamento da aplicação POS”, descreve o relatório da Trustwave.

Além disso, apesar de o PCI-DSS já estar bem difundido na América do Norte e na Europa, “outras áreas do mundo estão apensa no início da adoção“, considera a Trustwave. “Por exemplo, a América Latina e a Ásia-Pacífico estão muito aquém de outras áreas do mundo na identificação e reconhecimento de violação de dados, o que afeta negativamente o esforço global para combater o comportamento criminoso.”

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s