Atenção consumidores de plantão: o código de verificação do seu cartão não deve ser armazenado na internet
Cresceram os golpes e fraudes em compras pela internet. Elas costumavam ser feitas por criminosos usando cartões roubados ou clonados, em compras feitas presencialmente. As coisas mudaram depois que o cartão com chip foi introduzido no mercado por bandeiras como Europay, Mastercard e Visa. Fraudar cartões ficou muito mais difícil.
Por conta disso, criminosos passaram a praticar fraudes com cartões não presenciais. Essa é uma mudança nos golpes online. Detalhes de cartões podem ser roubados em grandes quantidades de lojas online e depois serem usados para comprar produtos em outros varejistas. Mas isso não deveria ser tão fácil, porque cartões incluem um número chamado código de verificação (CVV, do inglês Card Verification Value).
Ele é composto por três (mais comum) ou quatro dígitos (nos cartões American Express) únicos impressos nas costas do cartão. Esse código é pedido para finalizar uma transação, mas nunca deveria ser armazenado online. Sua função é provar ao varejista que o cliente tem a posse do cartão.
O problema é que, na dark web, há um volume imenso de detalhes de cartões, descritos como “fullz”, uma gíria em inglês que significa “full information” (informação completa, em tradução livre). E essas informações estão à venda de um criminoso para outro. “Fullz” indicam que tudo o que é preciso para transações fraudulentas está disponível na internet, inclusive os números CVV.
O ponto é saber como os criminosos conseguem esses números, que não deveriam ser armazenados em nenhum lugar da internet.
Protegendo o CVV
Os detalhes de um cartão são protegidos principalmente por um padrão de segurança conhecido como Padrão de Segurança de Dados da Indústria de Pagamento com Cartão (PCI DSS*, do inglês Payment Card Industry Data Security Standard, ou somente PCI). A conformidade é exigida por qualquer empresa que aceite pagamentos com cartão:
“Não armazenar o código de verificação do cartão (três ou quatro dígitos impressos na frente ou nas costas do cartão usado para verificar transações não presenciais) depois da autorização”.
Há alguns problemas com o PCI. Há uma alegação de que nenhum varejista ou comerciante em conformidade com o PCI tenha sofrido violação de dados - e isso pode ser verdade - mas a conformidade é avaliada e confirmada em auditorias anuais. É possível que uma empresa esteja tecnicamente em conformidade naquele dia, mas não durante os outros 364 dias do ano.
O Relatório de Segurança de Pagamento 2019 da Verizon* faz três observações interessantes. Primeiro, nenhuma das empresas investigadas sobre violações de cartões de pagamentos durante o ano passado estavam em conformidade com o PCI na época do problema. Segundo, o número de empresas entrando em conformidade está aumentando, mas, terceiro, o número de empresas mantendo a conformidade ao longo do ano está diminuindo. Somente 37% dessas empresas conseguiram manter conformidade com o PCI ao londo de todo 2018.
Mesmo que seja possível que alguns números CVVs vendidos na dark web como “fullz” tenham sido roubados de bancos de dados online, isso é muito improvável e raro. Temos que procurar as fontes dos crimes envolvendo números CVV em outro lugar: em ataques de malwares contra PCs e ataques tipo Magecart contra varejistas e comerciantes.
Roubo de CVVs
Ataques contra usuários de PCs
Há quatro formas principais de ataques malware contra PCs que são projetados para roubar detalhes de cartões de crédito, incluindo o CVV. Há o ataque phishing, o infostealer, o keylogger e a inserção de malware no navegador.
Phishing é baseado no uso de engenharia social para persuadir os usuários a visitarem um site malicioso. Isso pode ser via um link falso em uma mensagem de e-mail, um link parecido ao de um site legítimo ou links inseridos em um anexo. Depois que um usuário visita o site malicioso, mais engenharia social é usada para levar a vítima a inserir os detalhes do seu cartão de crédito, que é capturado e enviado aos criminosos.
Keyloggers incluem malwares de diferentes níveis de sofisticação que podem buscar por gatilhos (como acesso ao site de um banco ou um grande varejista) e depois capturar as teclas digitadas no teclado. Qualquer detalhe de um cartão é reconhecido, gravado e enviado ao criminoso.
Infostealers fazem ataques mais rápidos. Se um PC está infectado, o malware verifica o sistema e rouba dados confidenciais, incluindo detalhes de pagamento. Isso pode ser feito em apenas alguns segundos. Infostealers mais persistentes podem, também, deixar um keylogger para atividades mais duradouras.
Inserção de malwares no navegador infiltram-se no computador da vítima. Geralmente ele foca somente em um ou dois dos maiores bancos e varejistas nacionais. Ao detectar a visita de um usuário em algum desses sites, ele carrega sua própria cópia da página de acesso do banco ou da página de pagamento do varejista. Os dados inseridos nessa réplica são capturados e enviados ao criminoso. Depois disso, o usuário geralmente recebe uma mensagem de erro dizendo que o usuário precisa recarregar a página e tentar novamente. Então, o usuário completa a transação corretamente e pode não descobrir nunca que os detalhes do seu cartão foram roubados.
O princípio chave por trás desses ataques é que os detalhes do cartão, incluindo o número CVV, podem ser roubados diretamente do usuário, em um estado ainda não criptografado. Esse tipo de ação exige muito esforço para um retorno limitado (um PC de cada vez). Assim, provavelmente não respondem sozinhos por todo o volume de fullz disponíveis na web. Mesmo assim, as chances são de que esse tipo de ataque aumente nos próximos anos, acompanhando o crescimento de “malwares como serviço”. Isso acaba com muitos dos esforços de ser um criminoso e tornar malwares disponíveis para criminosos aspirantes de habilidade técnica limitada.
Pelo imenso número de roubos de CVVs, precisamos olhar para os ataques Magecart contra varejistas.
Magecart
Magecart era o nome de um grupo cibercriminoso que aplicava um tipo específico de ataque. O objetivo era ganhar acesso ao sistema de pagamento de um varejista, depois usar um malware para capturar os detalhes do cartão em tempo real, na medida em que eram inseridos na conclusão de uma compra. Esse tipo de ataque é conhecido como web skimming. A ação implica no roubo de detalhes de pagamento em cartão, incluindo o CVV, na medida em que são inseridos, ainda em formato de texto, e antes de serem criptografados pelo varejista. O usuário e, sem dúvida nenhuma, também o varejista nem desconfiarão do roubo até que o malware seja descoberto.
A metodologia de ataque foi copiada por muitos outros grupos criminosos, fazendo com que o termo Magecart passasse a ser sinônimo desse tipo de ataque, e não apenas a uma gangue. Imagina-se que existam dezenas de grupos criminosos Magecart. Na medida em que foram descobertos, eles foram nomeados em sequência: Magecart 1, Magecart 2, Magecart 3, etc.
Algumas das gangues por trás dos diferentes grupos são cibercriminosos infames de longa data. O Magecart 5, por exemplo, é considerado o grupo de Carbanak, responsável por alguns dos maiores roubos online realizados nos últimos anos. Suspeita-se que o grupo também seja responsável pelo ataque Ticketmaster Magecart.
A violação da Ticketmaster, ocorrida em 2018, foi um ataque à cadeia de suprimentos. Primeiro, o Magecart 5 invadiu a Inbenta, um fornecedor de software terceirizado da Ticketmaster. A partir desse ponto, o grupo conseguiu adicionar seu próprio código a um JavaScript personalizado usado no processo de pagamento da Ticketmaster. O código foi baixado e utilizado, roubando detalhes de pagamento de quase 40 mil usuários.
O ataque a uma cadeia de suprimentos é uma abordagem comum, mas não única, nos ataques Magecart. Em 2019, um ataque Magecart comprometeu a plataforma de comércio eletrônico PrismWeb, que atendia lojas de campus de faculdades nos EUA e no Canadá. O código malicioso de skimming foi inserido nas bibliotecas de JavaScript usadas por lojas individuais. Mais de 200 lojas de 176 universidades nos EUA e 21 no Canadá foram infectadas.
O ataque a British Airways* em 2018 não foi à cadeia de suprimentos, mas manteve o estilo skimming do Magecart. “O Magecart configurou uma infraestrutura direcionada e personalizada para se misturar especificamente ao site da British Airways e evitar que fosse detectado pelo tempo que fosse possível”, explicam os pesquisadores da RiskIQ*. “Mesmo que não dê para saber o alcance que os criminosos tiveram aos servidores da British Airways, o fato de que eles conseguiram modificar um recurso do site significa que o acesso foi significativo, e como provavelmente eles tiveram acesso muito tempo antes do início do ataque, isso é um aviso contundente sobre a vulnerabilidade de ativos voltados para a Web”.
Estima-se que até 500 mil clientes da British Airways podem ter sido afetados por essa violação de dados, fazendo com que órgãos reguladores de proteção de dados do Reino Unido aplicassem uma multa de quase 230 mil dólares à empresa* por conta de sua segurança frágil.
Se compararmos o número de detalhes de cartões de crédito, incluindo números CVV, que podem ser roubados em um único ataque Magecart aos PCs alvos, fica claro que a maioria dos “fullz” disponíveis na dark web foram provavelmente roubados por diversas gangues Magecart. Esses ataques continuam acontecendo e, ainda pior, devem aumentar durante 2020.
Como se proteger
É difícil proteger as informações dos nossos cartões de pagamento. Podemos defender nossos próprios PCs, mas não podemos fazer nada contra ataques focados em varejistas.
Podemos usar um antivírus de boa qualidade e atualizado em nossos PCs. Ele é capaz de detectar e bloquear a maioria dos malwares. Precisamos estar vigilantes para reconhecer e ignorar tentativas de phishing. E deveríamos manter nossos navegadores sempre atualizados e/ou usar um navegador mais seguro.
Mas não há nada que possamos fazer para evitar ataques Magecart contra varejistas, a não ser ficarmos alertas e preparados. As organizações foram avisadas sobre a necessidade de se conscientizarem sobre o fato de que já foram ou serão invadidas. Isso exige que elas precisem de um plano de resposta para esse tipo de incidente.
Nós precisamos de uma abordagem similar, imaginando que nossos detalhes de pagamento podem ser roubados a qualquer momento e saber o que fazer ao descobrir isso. Podemos usar contas para compras online que não tenham mais dinheiro do que se pode perder. Podemos monitorar nossas contas bancárias para ver se alguma compra estranha foi feita. E podemos ficar de olho em nosso crédito no mercado. E podemos utilizar cartões virtuais que, em muitos casos, servem apenas para uma compra online.