{"id":20783,"date":"2023-02-02T15:33:15","date_gmt":"2023-02-02T18:33:15","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20783"},"modified":"2023-11-27T09:48:45","modified_gmt":"2023-11-27T12:48:45","slug":"criminosos-brasileiros-criam-golpe-para-transacoes-por-aproximacao","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/criminosos-brasileiros-criam-golpe-para-transacoes-por-aproximacao\/20783\/","title":{"rendered":"Criminosos brasileiros criam golpe para transa\u00e7\u00f5es por aproxima\u00e7\u00e3o"},"content":{"rendered":"

Um cliente aproxima seu dispositivo port\u00e1til da maquininha, mas o pagamento por aproxima\u00e7\u00e3o n\u00e3o funciona. Por qu\u00ea? Talvez o pr\u00f3prio dispositivo esteja danificado, talvez o chip leitor esteja falhando, mas pode ser outra coisa: o terminal pode estar infectado com o malware Prilex, que ca\u00e7a cart\u00f5es banc\u00e1rios; e agora \u00e9 capaz de bloquear transa\u00e7\u00f5es por aproxima\u00e7\u00e3o.<\/p>\n

Nossos especialistas descobriram tr\u00eas novas varia\u00e7\u00f5es do Prilex<\/a>, considerado por eles a amea\u00e7a mais avan\u00e7ada para pontos de vendas (PDV). A nova investiga\u00e7\u00e3o mostra que as modifica\u00e7\u00f5es recentes tornam o Prilex o primeiro malware no mundo capaz de bloquear pagamentos por aproxima\u00e7\u00e3o (via NFC) nos dispositivos infectados. Ao impedir a transa\u00e7\u00e3o, o consumidor \u00e9 for\u00e7ado a usar o cart\u00e3o de cr\u00e9dito f\u00edsico \u2013 o que permitir\u00e1 a realiza\u00e7\u00e3o da transa\u00e7\u00e3o fantasma anunciada no ano passado<\/a>.<\/p>\n

O que \u00e9 o Prilex e por que ele bloqueia transa\u00e7\u00f5es NFC?<\/h2>\n

O Prilex \u00e9 um grupo brasileiro especializado em fraudes financeiras que ganhou notoriedade por sua evolu\u00e7\u00e3o gradativa, migrando de um malware de\u00a0caixas eletr\u00f4nicos (ATMs) para um modular avan\u00e7ado que realiza fraudes em\u00a0pontos de venda (PDV). Essa amea\u00e7a frauda pagamentos com cart\u00e3o, ao roubar dados importantes da transa\u00e7\u00e3o para efetuar uma nova transa\u00e7\u00e3o fantasma (GHOST, em ingl\u00eas) usando outro equipamento (este, de propriedade do criminoso). Este esquema permite realizar golpes mesmo em cart\u00f5es protegidos por chip e senha. Mas o Prilex conseguiu ir ainda mais longe.<\/p>\n

Recentemente, durante uma an\u00e1lise em um ambiente real infectado pelo Prilex, nossos pesquisadores encontraram tr\u00eas novas modifica\u00e7\u00f5es com capacidade de bloquear as transa\u00e7\u00f5es de pagamento por aproxima\u00e7\u00e3o, que se tornaram extremamente populares no Brasil e no mundo durante e ap\u00f3s a pandemia.<\/p>\n

Como o Prilex infecta os terminais de pagamento?<\/h2>\n

Os sistemas de pagamento contactless<\/em> tradicionais, como cart\u00f5es de d\u00e9bito e cr\u00e9dito, tags de seguran\u00e7a e outros dispositivos inteligentes, inclusive dispositivos m\u00f3veis, usam a identifica\u00e7\u00e3o por radiofrequ\u00eancia (RFID). Mas, recentemente, Samsung Pay, Apple Pay, Google Pay, Fitbit Pay e aplicativos m\u00f3veis de bancos implementaram a tecnologia NFC para possibilitar transa\u00e7\u00f5es sem contato.<\/p>\n

Mesmo com essa medida de prote\u00e7\u00e3o, o Prilex aprendeu a impedir essas transa\u00e7\u00f5es, criando uma regra na execu\u00e7\u00e3o do golpe. Essas regras especificam se as informa\u00e7\u00f5es do cart\u00e3o de cr\u00e9dito devem ou n\u00e3o ser capturadas e a op\u00e7\u00e3o de bloquear transa\u00e7\u00f5es por NFC.<\/i><\/p>\n

\"Trecho

Trecho do arquivo de regras do Prilex fazendo refer\u00eancia ao bloqueio do NFC<\/p><\/div>\n

Transa\u00e7\u00f5es NFC criam um n\u00famero de cart\u00e3o \u00fanico para cada pagamento, esse detalhe que o Prilex usa para detectar este tipo de opera\u00e7\u00e3o e bloque\u00e1-la. O PINpad ou a \u201cmaquininha\u201d apresentar\u00e1 a seguinte mensagem ap\u00f3s o bloqueio: \u201cErro aproxima\u00e7\u00e3o. Insira o cart\u00e3o\u201d.<\/p>\n

\"\"<\/a><\/p>\n

O objetivo dos cibercriminosos \u00e9 for\u00e7ar a v\u00edtima inserir o cart\u00e3o f\u00edsico no leitor, de modo que o malware possa capturar os dados da transa\u00e7\u00e3o, incluindo o n\u00famero do cart\u00e3o f\u00edsico, al\u00e9m de poder capturar o criptograma para efetuar a transa\u00e7\u00e3o GHOST (confira detalhes dessa opera\u00e7\u00e3o fraudulenta<\/a> no an\u00fancio de 2022). Outra novidade nas amostras mais recentes do Prilex \u00e9 a possibilidade de filtrar cart\u00f5es de cr\u00e9dito de acordo com seu segmento e criar regras diferentes para segmentos diferentes. Por exemplo, eles podem bloquear o NFC e capturar dados do cart\u00e3o somente se o cart\u00e3o for Black\/Infinite, corporativo, ou algum outro com limite de transa\u00e7\u00f5es alto \u2013 que s\u00e3o mais atraentes que os cart\u00f5es de cr\u00e9dito de outros segmentos, com saldo\/limite baixo.<\/p>\n

\"Esquema

Esquema explicativo do roubo do criptograma e do funcionamento do golpe da transa\u00e7\u00e3o fantasma<\/p><\/div>\n

\u201c<\/em>Os pagamentos por aproxima\u00e7\u00e3o fazem parte de nossa rotina e as estat\u00edsticas mostram que o segmento de varejo lidera a lista com uma participa\u00e7\u00e3o superior a 59% da receita global de pagamentos contactless em 2021. Essas transa\u00e7\u00f5es s\u00e3o extremamente convenientes e especialmente seguras, isso mostra a criatividade e conhecimento t\u00e9cnico dos criadores do Prilex com rela\u00e7\u00e3o aos meios de pagamento. O bloqueio foi uma sa\u00edda inusitada, por\u00e9m eficaz. Isso faz o grupo brasileiro ser o primeiro a conseguir realizar fraudes com essa tecnologia, mesmo que forma indireta\u201d<\/em>, afirma\u00a0Fabio Assolini, chefe da Equipe Global de Pesquisa e An\u00e1lise (GReAT) da Kaspersky na Am\u00e9rica Latina<\/strong>.<\/p>\n

O Prilex est\u00e1 em opera\u00e7\u00e3o na Am\u00e9rica Latina desde 2014 e supostamente est\u00e1 por tr\u00e1s de\u00a0um dos maiores ataques nessa regi\u00e3o. Durante o carnaval do Rio\u00a0em 2016, o grupo capturou dados de mais de 28 mil cart\u00f5es de cr\u00e9dito e roubou o dinheiro de mais de mil caixas eletr\u00f4nicos de um banco brasileiro. Eles tamb\u00e9m j\u00e1 atuam mundialmente \u2013 em 2019, foram\u00a0identificados na Alemanha<\/a> ao fraudar cart\u00f5es de d\u00e9bito Mastercard, emitidos pelo banco alem\u00e3o OLB, sacando mais de \u20ac\u00a01,5 milh\u00e3o de cerca de 2 mil clientes. At\u00e9 agora, as modifica\u00e7\u00f5es mais recentes foram detectadas apenas no Brasil, mas poder\u00e3o ser disseminadas para outros pa\u00edses e regi\u00f5es.<\/p>\n

Saiba mais sobre o novo malware para PDV Prilex em\u00a0Securelist<\/a>.<\/p>\n

Como se proteger<\/strong><\/h2>\n