Menu

ATMs: cinco mitos de segurança

Rogério Freitas, Technical Account Manager da Vasco Security para o Brasil e América Latina Rogério Freitas, Technical Account Manager da Vasco Security para o Brasil e América Latina

Há um crescente vetor de risco no uso dos caixas eletrônicos que nada tem a ver com erros do cliente

Rogério Freitas (*)

Segundo dados da Pesquisa Febraban de Tecnologia Bancária 2017, realizada pela Federação Brasileira de Bancos em parceria com a consultoria Deloitte, o canal de autoatendimento bancário (ATM) respondeu por cerca de 15% de todo o volume de transações realizadas no país no ano passado. 

Considerados estratégicos para o setor por oferecerem conveniência e comodidade, esses equipamentos são alvos atraentes para os criminosos, apesar dos expressivos esforços da indústria para aumentar sistematicamente a sua segurança. 

Recentemente, descobriu-se no Brasil um novo esquema de fraude: ao invés de simplesmente ler as informações da faixa magnética como um skimmer típico, um dispositivo instalado no ATM simplesmente retira o chip dos cartões - que pode ser inserido em um cartão em branco para uso futuro - deixando um grande buraco no cartão original. Os criminosos também instalaram uma câmera para registrar o nome da pessoa e o seu número PIN. 

Por causa dessa importância, acredito que é necessário rever alguns mitos sobre a segurança dos caixas eletrônicos. 

Mito 1: aparelhos que roubam dados são facilmente vistos e evitados

No início do século, aparelhos grotescos feitos à mão eram realmente facilmente vistos por aparecerem quando anexados à unidade de leitura da ATM. Não é mais assim. Hoje, os criminosos possuem componentes de interface para ATM que são feitos sob medida para encaixar com perfeição nos leitores de cartão de fabricantes específicos. A qualidade é excepcional e alguns desses aparelhos são difíceis de serem localizados mesmo para um especialista treinado.

Mito 2: cartões com chip impedem a ação de hackers

O lançamento da tecnologia de cartões com chip (EMV) teve início há uma década na Europa e vem se disseminando pelo mundo, inclusive no Brasil. De uma forma geral, ela tem sido bem-sucedida em reduzir as fraudes em cartões. Nas regiões em que a tecnologia EMV foi adotada, essa modalidade de fraude registrou queda, ou melhor, migrou para explorar os canais onde o cartão físico não está presente. Isso não significa que essa tecnologia sempre consegue prevenir fraudes.

Infelizmente, pesquisadores ligados à área de segurança já detectaram que existem formas de burlar essa proteção através de aparelhos ultrafinos de metal ou plástico instalados nos leitores e completamente invisíveis para um observador. Eles não podem ser anulados e acabam realizando transações não autorizadas.

Mito 3: apenas hackers sofisticados podem fraudar ATMs

Os profissionais de segurança da área bancária podem incorrer em um erro ao presumir que seus ATMs são à prova de hackers não sofisticados. Um exemplo recente: cinco adolescentes da Califórnia que foram presos por colocar dispositivos de roubo de dados de cartões em três ATMs localizadas em bancos. Eles foram pegos graças ao alerta de um cliente que teve problemas em um dos terminais atacados.

Uma análise do dispositivo empregado mostrou que não é mais necessário um profundo conhecimento tecnológico ou muita habilidade para construir um dispositivo de roubo de dados. Hoje, qualquer interessado pode se tornar um ladrão profissional neste segmento com um modesto investimento em dinheiro.

Mito 4: os ATMs serão mais seguros se os clientes forem mais cautelosos

Culpar o cliente por falta de cuidado quando uma fraude desse tipo ocorre tem sido uma postura adotada há muito tempo pelos profissionais de TI e de segurança. Mas o fato é que há um crescente vetor de risco que nada tem a ver com erros do cliente.

Estamos falando da Internet das coisas (IoT), de aparelhos de uso pessoal que são integrados sem fio à Internet. Estamos aprendendo cada vez mais sobre os desafios à segurança presentes na IoT e um exemplo já é claro de risco direto aos ATMs.

Pesquisadores do Stevens Institute of Technology e da Binghamton University constataram que um relógio inteligente pessoal ou um controlador de atividades físicas de pulso podem ser empregados para o roubo de um código de identificação de acesso a um ATM.

Isso é possível pelo sensor de movimento nesses aparelhos que podem coletar informações sobre o movimento das mãos e os dados correspondentes, tornando possível determinar o código de acesso. O estudo publicado por eles – “Amigo ou inimigo: seu aparelho pessoal revela seu código de acesso” – descreve um algoritmo com uma impressionante taxa de sucesso. Ele pode adivinhar a senha e o código de acesso com 80% de sucesso na primeira tentativa e com 90% em três tentativas.

Mito 5: esquemas de fraude de ATMs empregam apenas dispositivos finos de cópia ou câmeras escondidas

Para serem bem-sucedidos na defesa dos ATMs, os profissionais de segurança dos bancos devem olhar além dos ataques que empregam aparelhos furtivamente inseridos nos leitores ou em câmeras escondidas. Os criminosos estão agora na fase high tech ao incorporar o furto e a tecnologia de transmissão dos dados diretamente na placa de circuito de um ATM.

Um fabricante da Europa Oriental está produzindo componentes com o recurso Bluetooth para instalação em uma placa de circuito que operam como um leitor de cartão e um teclado para a inserção da senha de acordo com um relato em KrebsOnSecurity.

Uma vez instalado, esse componente permite o roubo dos dados dos cartões dos clientes de um ATM, que são transmitidos para aparelhos receptores Bluetooth localizados nas proximidades. Esse processo de integração de componentes fraudulentos em circuitos de ATMs pode fazer com que a fraude ocorra durante anos sem ser detectada.

A luz no fim do túnel

Até 2019, cerca de 2 bilhões de pessoas usarão um dispositivo móvel para transações bancárias. O canal ATM, é claro, é apenas uma parte da abordagem multicanal que os bancos possuem. Existem soluções amigáveis e convenientes baseadas em plataformas móveis e protegidas pela tecnologia RASP (Runtime Application Auto Protection), já disponíveis, que minimizam esses esquemas de risco de fraude combinando múltiplos recursos de segurança. O cenário continua a evoluir e as instituições financeiras precisam estar atentas.

 

(*) Technical Account Manager da Vasco Security para o Brasil e América Latina

Deixe um comentário

Certifique-se de preencher os campos indicados com (*). Não é permitido código HTML.

voltar ao topo

Finanças

TI

Canais

Executivos Financeiros

EF nas Redes