{"id":10137,"date":"2018-03-09T15:48:01","date_gmt":"2018-03-09T18:48:01","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10137"},"modified":"2019-11-22T07:21:39","modified_gmt":"2019-11-22T10:21:39","slug":"chip-n-pin-cloning","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/chip-n-pin-cloning\/10137\/","title":{"rendered":"Cibercrime brasileiro cria m\u00e9todo para clonar cart\u00f5es com chip"},"content":{"rendered":"

Recentemente, os Estados Unidos passaram do uso da faixa magn\u00e9tica insegura em cart\u00f5es de cr\u00e9dito e d\u00e9bito para cart\u00f5es de chip e PIN mais bem protegidos, regulados pelo padr\u00e3o EMV. \u00c9 um grande passo para aumentar a seguran\u00e7a das transa\u00e7\u00f5es e reduzir a fraude.<\/p>\n

No entanto, nossos pesquisadores descobriram recentemente que cibercriminosos brasileiros desenvolveram uma maneira de roubar dados e clonar cart\u00f5es de chip e PIN (senha de quatro d\u00edgitos). Nossos especialistas apresentaram sua pesquisa em nossa confer\u00eancia\u00a0SAS 2018<\/a>.<\/p>\n

Fraudes em caixas eletr\u00f4nicos e al\u00e9m<\/h3>\n

Ao pesquisar malware para caixas eletr\u00f4nicos usado por um grupo brasileiro chamado Prilex, nossos pesquisadores trope\u00e7aram em uma vers\u00e3o modificada. Ela traz alguns recursos adicionais \u200b\u200bpara infectar terminais de ponto de servi\u00e7o (POS) e coletar dados de cart\u00f5es.<\/p>\n

Este malware foi capaz de modificar o software do POS para permitir a um terceiro capturar a comunica\u00e7\u00e3o entre o device e o banco. Foi assim que os criminosos obtiveram os dados. Basicamente, quando voc\u00ea paga em uma loja cujo POS est\u00e1 infectado, os dados do cart\u00e3o s\u00e3o transferidos imediatamente para os criminosos.<\/p>\n

No entanto, ter os n\u00fameros \u00e9 apenas metade da batalha. Para roubar dinheiro, tamb\u00e9m precisavam clonar cart\u00f5es, um processo mais complicado pelos chips e suas autentica\u00e7\u00f5es m\u00faltiplas.<\/p>\n

O grupo Prilex desenvolveu uma infra-estrutura que permite a seus \u201cclientes\u201d criarem cart\u00f5es clonados \u2013 em teoria n\u00e3o deveria ser poss\u00edvel.<\/p>\n

Para saber como, \u00e9 melhor primeiro dar uma olhada em como funcionam cart\u00f5es EMV. Quanto \u00e0 clonagem, tentaremos manter o mais simples poss\u00edvel.<\/p>\n

Como o padr\u00e3o chip-e-PIN funciona<\/h3>\n

O chip no cart\u00e3o n\u00e3o \u00e9 apenas mem\u00f3ria flash, mas um pequeno computador capaz de executar aplicativos. Ao ser introduzido em um terminal POS, come\u00e7a uma seq\u00fc\u00eancia de etapas.<\/p>\n

O primeiro passo \u00e9 a inicializa\u00e7\u00e3o: o terminal recebe informa\u00e7\u00f5es b\u00e1sicas, como nome do titular, data de validade e a lista de aplicativos que o cart\u00e3o pode executar.<\/p>\n

O segundo \u00e9 uma etapa opcional chamada autentica\u00e7\u00e3o. O terminal verifica se o cart\u00e3o \u00e9 aut\u00eantico, processo que envolve a valida\u00e7\u00e3o usando algoritmos criptogr\u00e1ficos. \u00c9 mais complicado do que precisa ser discutido aqui.<\/p>\n

O terceiro, tamb\u00e9m optativo, \u00e9 a verifica\u00e7\u00e3o do titular; ele deve fornecer o c\u00f3digo PIN ou uma assinatura (depende de como o cart\u00e3o foi programado). Este passo \u00e9 para garantir que a pessoa tentando pagar com um cart\u00e3o \u00e9 a mesma para a qual foi emitido.<\/p>\n

Em quarto, a transa\u00e7\u00e3o acontece. Observe que apenas os passos 1 e 4 s\u00e3o obrigat\u00f3rios. Em outras palavras, a autentica\u00e7\u00e3o e a verifica\u00e7\u00e3o podem ser ignoradas \u2013 a\u00ed que os brasileiros entram.<\/p>\n

Cart\u00e3o ilimitado<\/h3>\n

Ent\u00e3o, temos um cart\u00e3o capaz de executar tarefas e, durante seu primeiro aperto de m\u00e3o, o POS solicita informa\u00e7\u00f5es sobre os aplicativos dispon\u00edveis. O n\u00famero e a complexidade das etapas necess\u00e1rias para a transa\u00e7\u00e3o dependem dos aplicativos dispon\u00edveis.<\/p>\n

Os clonadores de cart\u00f5es criaram um applet Java para os cart\u00f5es executarem. O app possui dois recursos: primeiro, informa ao terminal POS n\u00e3o haver necessidade de autentica\u00e7\u00e3o de dados. Isso significa nada de opera\u00e7\u00f5es criptogr\u00e1ficas, poupando a tarefa quase imposs\u00edvel de obter as chaves privadas do cart\u00e3o.<\/p>\n

Mas isso ainda deixa a autentica\u00e7\u00e3o do PIN. No entanto, existe uma op\u00e7\u00e3o no padr\u00e3o EMV para escolher como entidade verificadora o\u2026 seu cart\u00e3o. Ou, mais precisamente, um aplicativo em execu\u00e7\u00e3o nele.<\/p>\n

Voc\u00ea leu direito: o c\u00f3digo dos cibercriminosos pode dizer que um PIN \u00e9 v\u00e1lido, independentemente do inserido. Isso significa que o criminoso que empunha o cart\u00e3o clonado pode simplesmente digitar quatro d\u00edgitos aleat\u00f3rios \u2013 sempre ser\u00e3o aceitos.<\/p>\n

Fraude de cart\u00e3o como servi\u00e7o<\/h3>\n

A infraestrutura Prilex criada inclui o applet Java, um aplicativo de cliente chamado \u201cDaphne\u201d para escrever a informa\u00e7\u00e3o em cart\u00f5es inteligentes (dispositivos de leitor\/gravador de cart\u00f5es inteligentes e cart\u00f5es inteligentes em branco s\u00e3o baratos e legais para comprar). O mesmo software \u00e9 usado para verificar a quantidade de dinheiro que pode ser retirada do cart\u00e3o.<\/p>\n

A infra-estrutura tamb\u00e9m inclui o banco de dados com n\u00fameros de cart\u00f5es e outros dados. Se o cart\u00e3o \u00e9 d\u00e9bito ou cr\u00e9dito n\u00e3o importa; \u201cDaphne\u201d pode criar clones de ambos. Os bandidos vendem tudo como um pacote, principalmente para outros criminosos no Brasil, que ent\u00e3o criam e usam os cart\u00f5es clonados.<\/p>\n

Conclus\u00e3o<\/h3>\n

De acordo com o relat\u00f3rio da Aite 2016 Global Consumer Card Fraud<\/a>, \u00e9 seguro assumir que todos os usu\u00e1rios foram comprometidos. Se voc\u00ea usa um cart\u00e3o com uma faixa magn\u00e9tica ou um cart\u00e3o chip-and-PIN mais seguro n\u00e3o importa \u2013 se voc\u00ea tiver um cart\u00e3o, sua informa\u00e7\u00e3o provavelmente foi roubada.<\/p>\n

Agora que os criminosos desenvolveram um m\u00e9todo para realmente clonar os cart\u00f5es, isso come\u00e7a a parecer uma amea\u00e7a muito s\u00e9ria. Se voc\u00ea quiser evitar a perda de quantias significativas de dinheiro com a fraude de cart\u00e3o, recomendamos o seguinte:<\/p>\n