Identidades digitais são usadas em fraudes com cartões de crédito

10 abr 2019

Certamente você já pensou sobre isso, mas acidentes de avião chamam muito mais atenção da mídia do que os de trânsito, apesar do número de vítimas por ano desse último ser muito maior. O mesmo se aplica a outras áreas como cibersegurança e cibercrime.

Em 2014, quando descobrimos o Carbanak, o grupo de cibercriminosos que roubou mais de um bilhão de dólares, causou grande comoção. No entanto, não devemos esquecer as fraudes de cartão de crédito que são mais comuns, acontecem todos os dias e envolvem perdas financeiras muito mais significativas. Por exemplo, o The Nilson Report estima que em 2018, esse tipo de golpe foi responsável pelo desvio de cerca de U$ 24 bilhões e deverá aumentar consideravelmente este ano. O Carding – nome usado por cibercriminosos e especialistas em segurança para denominar fraude de cartão – não chegou ao fim. Na verdade, cresce vertiginosamente.
Pode parecer surpreendente, cada vez mais, os bancos implementam sistemas rígidos de segurança e soluções antifraude inteligentes baseadas em aprendizado de máquina, além de todos os tipos de proteção contra roubo de valores por meio dos cartões. Em teoria, isso deveria pelo menos impedir que os cibercriminosos iniciantes aplicassem esse golpe, mas as estatísticas mostram o oposto. De fato, se você perguntar em um fórum da Darknet “Quais são os primeiros passos para uma carreira no cibercrime?”. Certamente, a resposta será “carding“.

Felizmente, o carding tornou-se complicado graças às medidas de segurança implementadas pelos bancos e pelas plataformas de pagamento. Mas, infelizmente, os sistemas antifraude não funcionam perfeitamente e os serviços, ferramentas e lojas especiais necessários para roubar dinheiro de cartões de crédito estão disponíveis para qualquer pessoa.

Impressão digital: peça outra identidade para fraudar seu cartão

O pesquisador da Kaspersky Lab Sergey Lozhkin descobriu uma loja na Darknet chamada Genesis usada para vender máscaras digitais. Nosso colega já apresentou essas informações na Security Analist Summit 2019. Basicamente, uma máscara é a impressão digital de um usuário – o histórico web, o sistema operacional e as informações do navegador, como plugins instalados e assim por diante – e os dados sobre o comportamento: o que faz online e como o faz.

Mas por que os cibercriminosos vendem máscaras e como elas se relacionam com o carding? As máscaras digitais são usadas em sistemas antifraude para verificar usuários. Se ela corresponder à exibida anteriormente pelo usuário, a proteção contra este tipo de golpe considerará a atividade legítima. Portanto, no caso de muitos bancos, eles nem precisarão de um código 3D Secure por SMS, nem notificarão o usuário para confirmar.

Portanto, se um cibercriminoso conseguir roubar sua máscara digital e suas credenciais bancárias online, o sistema antifraude pensará que é você e não acionará nenhum alarme. Dessa forma, todo o dinheiro da sua conta pode ser roubado em um piscar de olhos.

Esta é a razão pela qual alguns cibercriminosos extraem os dados dos dispositivos dos usuários e os colocam à venda na loja Genesis. Outros os compram para se tornarem proprietários da máscara digital, por valores entre U$ 5 e U$ 200, dependendo da quantidade de informações e credenciais incluídas.

Para isso, usam um plugin de navegador gratuito desenvolvido pelas pessoas por trás da Genesis, conhecido como Genesis Security. O plugin permite aos cibercriminosos usarem a máscara digital para recriar a identidade virtual do usuário legítimo e, portanto, enganar os sistemas antifraude. Em resumo, modifica os parâmetros analisados ​​pela proteção contra fraude para corresponder aos comportamentos do dispositivo da vítima e reproduzi-los.

Coleção de impressões digitais

Então, onde os cibercriminosos da Genesis obtêm todos os dados que vendem? A resposta é simples, mas um pouco vaga: a partir de vários tipos de malware.

Nem todos os malware tentam criptografar dados para pedir resgate ou roubar dinheiro assim que o dispositivo é acessado. Outros permanecem escondidos, reunindo todas as informações silenciosamente e fazendo as máscaras digitais mais tarde vendidas na Genesis.

Outras formas de evitar sistemas antifraude

O primeiro método para se esquivar dos sistemas antifraude é parecer familiar, assim como, o oposto, fingir ser completamente diferente. E, como os cibercriminosos pensam em tudo, existe um serviço online para isso também.

Completamente novo significa que quase não há parâmetros correspondentes entre a máscara digital usada e qualquer outra que o serviço possui em seu banco de dados. Ou seja, o cibercriminoso não pode fazer login em uma plataforma com proteção contra fraude, já que a instalação de um novo navegador no computador segue alguns dos parâmetros (tais como hardware, resolução de tela e outras informações), sendo os mesmos aqueles da máscara digital usada anteriormente.

No entanto, um serviço chamado Sphere permite que os cibercriminosos criem uma nova identidade digital e personalizem todos os parâmetros para que o sistema de prevenção de fraudes os veja como algo completamente novo. Assim, não tendo motivo nenhum para não confiar nesse novo usuário.

Diga não aos doppelgangsters

O problema é que não importa o sistema de prevenção de fraudes, essas técnicas ainda funcionam, porque esses algoritmos que determinam se o usuário tem permissão para acessar às contas, dependem dos mesmos dados que os cibercriminosos compilam.

Então, como você pode se proteger contra fraudes de cartões?

Quanto aos bancos, introduzir autenticação de dois fatores obrigatória, mesmo usando dados biométricos, como leitor de impressões digitais (real, não digital), análise de íris ou  reconhecimento facial. Além disso, as instituições financeiras devem conhecer os diferentes tipos de fraude que surgem, caso contrário, não implementarão medidas para combater novos golpes.

Do ponto de vista do usuário, para protegê-lo contra esse tipo de fraude de cartão, você precisa garantir que ninguém receba sua máscara digital. E, para isso, pode instalar uma que removerá os malwares que tentarem falsificar seus dados.