Se você usa caixas eletrônicos e bombas de gasolina, você deve estar ciente desses ataques. Com o conhecimento correto, é realmente fácil identificar a maioria dos skimmers - embora, assim como com todo o resto, esses tipos de ataques continuem mais avançados.
Como funcionam os skimmers
Um skimmer tradicionalmente tem dois componentes. O primeiro é um pequeno dispositivo que geralmente é inserido no slot do cartão. Quando você insere seu cartão, o dispositivo cria uma cópia dos dados na faixa magnética do cartão. O cartão passa pelo dispositivo e entra na máquina, então tudo parece estar funcionando normalmente, mas os dados do cartão acabaram de ser copiados.
A segunda parte do dispositivo é uma câmera. Uma pequena câmera é colocada em algum lugar onde é possível ver o teclado - talvez no topo da tela de um caixa eletrônico, logo acima do teclado numérico ou ao lado do teclado. A câmera está apontada para o teclado e captura você inserindo seu PIN. O terminal continua a funcionar normalmente, mas os invasores simplesmente copiaram a tarja magnética do cartão e roubaram seu PIN.
Os invasores podem usar esses dados para programar um cartão falso com os dados de tarja magnética e usá-lo em outros caixas eletrônicos, inserindo seu PIN e retirando dinheiro de suas contas bancárias.
Tudo dito, os skimmers também estão se tornando cada vez mais sofisticados. Em vez de um dispositivo instalado em um slot de cartão, um skimmer pode ser um dispositivo pequeno e imperceptível inserido no próprio slot do cartão, muitas vezes chamado de brilho.
Em vez de uma câmera apontada para o teclado, os atacantes também podem estar usando uma sobreposição - um teclado falso instalado sobre o teclado real. Quando você pressiona um botão no teclado falso, ele registra o botão que você pressionou e pressiona o botão real embaixo. Estes são mais difíceis de detectar. Ao contrário de uma câmera, elas também garantem a captura do seu PIN.
Skimmers geralmente armazenam os dados que capturam no próprio dispositivo. Os criminosos têm que voltar e recuperar o skimmer para obter os dados capturados. No entanto, mais skimmers estão agora transmitindo esses dados sem fio via Bluetooth ou até mesmo conexões de dados celulares.
Como identificar skimmers de cartão de crédito
Aqui estão alguns truques para detectar skimmers de cartas. Você não consegue localizar todos os skimmer, mas você deve dar uma olhada rápida antes de retirar dinheiro.
- Agite o leitor de cartão: Se o leitor de cartas se movimentar quando você tentar balançá-lo com a mão, algo provavelmente não está certo. Um leitor de cartão real deve ser anexado ao terminal tão bem que não se mova - um skimmer sobreposto pelo leitor de cartão pode se mover.
- Olhe para o terminal: Dê uma rápida olhada no próprio terminal de pagamento. Alguma coisa parece um pouco fora de lugar? Talvez o painel inferior tenha uma cor diferente do resto da máquina, porque é um pedaço falso de plástico colocado sobre o painel inferior real e o teclado. Talvez exista um objeto de aparência estranha que contenha uma câmera.
- Examine o teclado: O teclado parece um pouco espesso ou diferente de como costuma ser se você já usou a máquina antes? Pode ser uma sobreposição no teclado real.
- Verifique se há câmerasConsidere onde um invasor pode ocultar uma câmera - em algum lugar acima da tela ou do teclado, ou até mesmo no porta-folheto da máquina.
- Use o Skimmer Scanner para Android: Se você usa um smartphone Android, há uma nova ferramenta chamada Skimmer Scanner que verifica os dispositivos Bluetooth próximos e detecta os skimmers mais comuns no mercado. Não é infalível, mas essa é uma excelente ferramenta para encontrar skimmers modernos que transmitem seus dados por Bluetooth.
Outras precauções básicas de segurança que você deve tomar
Você pode encontrar skimmers comuns e baratos com truques como tentar sacudir o leitor de cartões. Mas aqui está o que você deve sempre fazer para se proteger ao usar qualquer terminal de pagamento:
- Proteja seu PIN com sua mão: Quando você digitar seu PIN em um terminal, proteja o teclado PIN com a mão. Sim, isso não protege você contra os skimmers mais sofisticados que usam sobreposições de teclado, mas é muito mais provável que você encontre um skimmer que usa uma câmera. Eles são muito mais baratos para os criminosos comprarem. Esta é a dica número um que você pode usar para se proteger.
- Monitore suas transações de conta bancária: Você deve verificar regularmente suas contas bancárias e contas de cartão de crédito online. Verifique se há transações suspeitas e notifique seu banco o mais rápido possível. Você quer detectar esses problemas o mais rápido possível. Não espere até que seu banco lhe envie uma declaração impressa por mês, depois que o dinheiro foi retirado de sua conta por um criminoso. Ferramentas como o Mint.com - ou um sistema de alerta que seu banco pode oferecer - também podem ajudar aqui, notificando você quando ocorrem transações incomuns.
- Use os sistemas de pagamento sem contato: Quando aplicável, você também pode ajudar a se proteger usando ferramentas de pagamento sem contato, como o Android Pay ou o Apple Pay. Estes são inerentemente seguros e ignoram completamente qualquer tipo de sistema de furto, de modo que o seu cartão (e os dados do cartão) nunca chegam perto do terminal. Infelizmente, a maioria dos caixas eletrônicos ainda não aceita métodos sem contato para retiradas, mas pelo menos isso está se tornando cada vez mais comum em bombas de gasolina.
A indústria está trabalhando em soluções … Lentamente
Assim como a indústria skimmer está constantemente tentando encontrar novas maneiras de roubar suas informações, a indústria de cartões de crédito está avançando com novas tecnologias para manter seus dados seguros. A maioria das empresas mudou recentemente para os chips EMV, o que torna quase impossível roubar os dados do cartão, já que eles são significativamente mais difíceis de replicar.
O problema é que, embora a maioria das empresas de cartões e bancos tenha adotado rapidamente essa nova tecnologia em seus cartões, muitos leitores de cartões - terminais de pagamento, caixas eletrônicos, etc. - continuam usando o método tradicional de furto. Enquanto esses tipos de sistemas ainda estiverem em vigor, os skimmers sempre serão um risco. Até hoje, não posso dizer que vi um único terminal de caixa eletrônico ou bomba de gasolina que utiliza o sistema de chips, e ambos têm a maior probabilidade de ter um coletor de dados conectado. Espero que comecemos a ver o sistema de fichas se tornar mais prolífico nos terminais de pagamento à medida que passarmos para 2018.
Mas até então, você pode usar os passos encontrados nesta peça para se proteger, tanto quanto possível. Como eu disse, não é infalível, mas fazer o que você pode ajudar a proteger seus dados e suas finanças nunca é uma má ideia.
Para saber mais sobre esse tema aterrador - ou apenas para ver fotos de todo o hardware de skimming envolvido - confira a série All About Skimmers, de Brian Krebs, no Krebs on Security. Está um pouco datado neste momento, com muitos dos artigos que datam de 2010, mas ainda é muito relevante para os ataques de hoje e vale a pena lê-los se você estiver interessado.
