Biometria na mira dos cibercriminosos: novos skimmers ameaçam caixas eletrônicos
22 de setembro de 2016 – Especialistas da Kaspersky Lab têm realizado investigações para detectar quais artimanhas cibercriminosos podem explorar para aplicar golpes de autenticação em caixas eletrônicos, mesmo com as mais modernas tecnologias desenvolvidas pelos bancos, como a biometria. Considerada pelas organizações financeiras uma das soluções mais promissoras na verificação de dados, e possível método a ser adotado em todos os terminais bancários, criminosos veem na identificação biológica uma nova oportunidade de roubo de informações sigilosas.
Caixas eletrônicos são visados por fraudadores para obter dados de cartões de crédito há anos, e teve início com simples skimmers, isto é, dispositivos caseiros conectados ao terminal para roubar informações da fita magnética e o código PIN do cartão com ajuda de webcams ou teclados falsos. Ao longo do tempo, o design desses dispositivos foi aprimorado de modo a torná-los menos perceptíveis. Com a implementação de cartões de pagamento com chip e código, a clonagem foi dificultada, porém não impossibilitada, uma vez que a evolução também migrou para os golpes, ao serem criados os ‘shimmers’ – artefatos muito parecidos, mas capazes de coletar informações suficientes do chip do cartão para realizar ataques de retransmissão on-line. Em resposta, o setor bancário tem usado novas soluções de autenticação, algumas baseadas na biometria.
De acordo com pesquisa realizada pela Kaspersky Lab no submundo do crime virtual, já existem pelo menos 12 vendedores oferecendo skimmers capazes de roubar impressões digitais das vítimas. E pelo menos três negociadores clandestinos estão pesquisando dispositivos para obter ilegalmente dados de sistemas de reconhecimento de impressões das palmas das mãos e da íris.
A primeira remessa de skimmers biométricos passou pela fase de “testes pré-venda” em setembro de 2015. Evidências coletadas pelos pesquisadores da Kaspersky Lab mostram que, durante avaliações iniciais, os desenvolvedores descobriram vários bugs. No entanto, o principal problema foi o uso de módulos GSM para a transferência de dados biométricos, considerada muito lenta para o grande volume de dados obtidos. Assim, novas versões dos skimmers usarão tecnologias de transferência de dados mais rápidas.
Também há sinais de discussões em comunidades secretas que indicam o desenvolvimento de aplicativos móveis baseados na colocação de máscaras sobre a face das pessoas. Com esse método, invasores podem pegar fotos de potenciais vítimas postadas nas mídias sociais e usá-las para enganar os sistemas de reconhecimento facial.
“O problema da biometria é que, ao contrário das senhas ou dos códigos PIN que podem ser facilmente modificados quando afetados, é impossível alterar impressões digitais ou imagens de íris. Ou seja, se suas informações forem comprometidas, este método de autenticação já não confiável. Por isso, é essencial manter seus dados protegidos e compartilha-los de modo seguro. Dados biométricos também são gravados nos atuais passaportes eletrônicos, bem como nos vistos. Se um invasor roubar este documento, além da certidão física, ele também terá os dados biométricos da vítima. A identidade da pessoa é roubada”, afirma Olga Kochetova, especialista em segurança da Kaspersky Lab.
O uso de ferramentas capazes de comprometer dados biométricos não é a única ameaça virtual potencial aos caixas eletrônicos, segundo pesquisadores da Kaspersky Lab, uma vez que hackers continuarão realizando golpes como ataques baseados em malware, de caixa preta e de rede, sempre com o objetivo de coletar informações que podem ser usadas posteriormente para roubar dinheiro dos bancos e de seus clientes.
Leia o relatório completo (em inglês) sobre o panorama das ameaças virtuais futuras voltadas aos caixas eletrônicos, bem como medidas que podem proteger os bancos dessas ameaças em Securelist.com.
Caixas eletrônicos são visados por fraudadores para obter dados de cartões de crédito há anos, e teve início com simples skimmers, isto é, dispositivos caseiros conectados ao terminal para roubar informações da fita magnética e o código PIN do cartão com ajuda de webcams ou teclados falsos. Ao longo do tempo, o design desses dispositivos foi aprimorado de modo a torná-los menos perceptíveis. Com a implementação de cartões de pagamento com chip e código, a clonagem foi dificultada, porém não impossibilitada, uma vez que a evolução também migrou para os golpes, ao serem criados os ‘shimmers’ – artefatos muito parecidos, mas capazes de coletar informações suficientes do chip do cartão para realizar ataques de retransmissão on-line. Em resposta, o setor bancário tem usado novas soluções de autenticação, algumas baseadas na biometria.
De acordo com pesquisa realizada pela Kaspersky Lab no submundo do crime virtual, já existem pelo menos 12 vendedores oferecendo skimmers capazes de roubar impressões digitais das vítimas. E pelo menos três negociadores clandestinos estão pesquisando dispositivos para obter ilegalmente dados de sistemas de reconhecimento de impressões das palmas das mãos e da íris.
A primeira remessa de skimmers biométricos passou pela fase de “testes pré-venda” em setembro de 2015. Evidências coletadas pelos pesquisadores da Kaspersky Lab mostram que, durante avaliações iniciais, os desenvolvedores descobriram vários bugs. No entanto, o principal problema foi o uso de módulos GSM para a transferência de dados biométricos, considerada muito lenta para o grande volume de dados obtidos. Assim, novas versões dos skimmers usarão tecnologias de transferência de dados mais rápidas.
Também há sinais de discussões em comunidades secretas que indicam o desenvolvimento de aplicativos móveis baseados na colocação de máscaras sobre a face das pessoas. Com esse método, invasores podem pegar fotos de potenciais vítimas postadas nas mídias sociais e usá-las para enganar os sistemas de reconhecimento facial.
“O problema da biometria é que, ao contrário das senhas ou dos códigos PIN que podem ser facilmente modificados quando afetados, é impossível alterar impressões digitais ou imagens de íris. Ou seja, se suas informações forem comprometidas, este método de autenticação já não confiável. Por isso, é essencial manter seus dados protegidos e compartilha-los de modo seguro. Dados biométricos também são gravados nos atuais passaportes eletrônicos, bem como nos vistos. Se um invasor roubar este documento, além da certidão física, ele também terá os dados biométricos da vítima. A identidade da pessoa é roubada”, afirma Olga Kochetova, especialista em segurança da Kaspersky Lab.
O uso de ferramentas capazes de comprometer dados biométricos não é a única ameaça virtual potencial aos caixas eletrônicos, segundo pesquisadores da Kaspersky Lab, uma vez que hackers continuarão realizando golpes como ataques baseados em malware, de caixa preta e de rede, sempre com o objetivo de coletar informações que podem ser usadas posteriormente para roubar dinheiro dos bancos e de seus clientes.
Leia o relatório completo (em inglês) sobre o panorama das ameaças virtuais futuras voltadas aos caixas eletrônicos, bem como medidas que podem proteger os bancos dessas ameaças em Securelist.com.
Nenhum comentário