{"id":6491,"date":"2016-08-26T00:38:37","date_gmt":"2016-08-25T21:38:37","guid":{"rendered":"https:\/\/kasperskydaily.com\/brazil\/?p=6491"},"modified":"2019-11-22T07:31:24","modified_gmt":"2019-11-22T10:31:24","slug":"chip-and-pin-cards-insecure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/chip-and-pin-cards-insecure\/6491\/","title":{"rendered":"Cart\u00f5es com chips ainda s\u00e3o vulner\u00e1veis"},"content":{"rendered":"<p>A ind\u00fastria banc\u00e1ria investe muito esfor\u00e7o, tempo e dinheiro para proteger cart\u00f5es de banco. Por anos, a prote\u00e7\u00e3o consistia em n\u00famero em relevo e campos de assinatura, mas agora, na maioria das vezes, chips inteligentes e senhas de uso \u00fanico\u00a0 s\u00e3o o que separam os cibercriminosos de seu dinheiro.<\/p>\n<p>Os novos chips e cart\u00f5es com PIN (um <a href=\"https:\/\/en.m.wikipedia.org\/wiki\/EMV\" target=\"_blank\" rel=\"noopener nofollow\">padr\u00e3o EMV<\/a>) prometem melhor seguran\u00e7a do que os\u00a0com tarja magn\u00e9tica. Contudo, logo que desenvolvidos, criminosos tentaram violar essa prote\u00e7\u00e3o. Felizmente, criminosos n\u00e3o s\u00e3o os \u00fanicos testando-os. Especialistas em seguran\u00e7a tamb\u00e9m fazem dos cart\u00f5es com chip objeto de estudo. Pesquisadores associados a empresas buscam por vulnerabilidades em equipamentos e na arquitetura dos sistemas de pagamento,\u00a0 com o objetivo de reportar essas falhas\u00a0aos desenvolvedores para\u00a0que possam corrigi-las antes que os criminosos as encontrem.<\/p>\n<p>Uma\u00a0apresenta\u00e7\u00e3o de\u00a0pesquisadores na Black Hat causou tanto esperan\u00e7a quanto ansiedade: sim, criminosos podem roubar dinheiro dos cart\u00f5es com chip, mas as pessoas n\u00e3o s\u00e3o completamente incapazes de se proteger. Dois funcion\u00e1rios da NCR Corp, empresa que desenvolve terminais de pagamento, <a href=\"https:\/\/threatpost.com\/researchers-bypass-chip-and-pin-protections-at-black-hat\/119637\/\" target=\"_blank\" rel=\"noopener nofollow\">apresentaram<\/a> um tipo de ataque utilizado em lojas e postos de gasolina. A partir de um computador RaspberryPi pequeno e barato, os pesquisadores conseguiram hackear as comunica\u00e7\u00f5es entre o computador principal de uma loja (a caixa registradora) e o m\u00f3dulo de pagamento (o teclado da senha).<\/p>\n<p>Em geral, comunica\u00e7\u00f5es entre os dois sistemas t\u00eam de ser criptografadas, mas em muitos casos, o terminal est\u00e1 cheio de criptografia pouco eficiente. Por isso, criminosos podem utilizar ataques <a href=\"https:\/\/www.kaspersky.com.br\/blog\/what-is-a-man-in-the-middle-attack\/462\/\" target=\"_blank\" rel=\"noopener\">Man-in-the-Middle<\/a>: interceptam as comunica\u00e7\u00f5es entre o m\u00f3dulo de pagamento e o computador principal e as desencriptam.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"pt\" dir=\"ltr\">Conhe\u00e7a os riscos ocultos nos cart\u00f5es banc\u00e1rios |<a href=\"http:\/\/t.co\/l060Nefdc6\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/l060Nefdc6<\/a> <a href=\"http:\/\/t.co\/91WwNzHXru\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/91WwNzHXru<\/a><\/p>\n<p>\u2014 Kaspersky Brasil (@Kasperskybrasil) <a href=\"https:\/\/twitter.com\/Kasperskybrasil\/status\/596649610615136256?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 8, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>O ataque n\u00e3o extrai dados por meio da seguran\u00e7a b\u00e1sica do chip: certos dados, como a senha, est\u00e3o encriptados e nunca s\u00e3o transmitidos abertamente. Contudo, o criminoso pode obter outras informa\u00e7\u00f5es, dados que normalmente est\u00e3o gravados na tarja magn\u00e9tica.<\/p>\n<p>Dessa forma, criminosos podem descobrir o nome do dono do cart\u00e3o e outros dados necess\u00e1rios para fazer pagamentos online com o aux\u00edlio do cart\u00e3o da v\u00edtima. Nesse caso, criminosos ainda precisam do c\u00f3digo CVV ou CVC2 da parte de tr\u00e1s do cart\u00e3o \u2013 normalmente mantido em segredo durante a transmiss\u00e3o. Contudo, eles\u00a0podem tentar enganar os donos, os convencendo a fornecer essa informa\u00e7\u00e3o. Al\u00e9m do mais, terminais possuem a capacidade de exibir notifica\u00e7\u00f5es personalizadas, que v\u00e3o al\u00e9m dos tradicionais \u201cInsira o seu cart\u00e3o\u201d e \u201cDigite sua senha\u201d, por exemplo: \u201cdigite seu CVV (ou CVC2)\u201d.<\/p>\n<p>Outra abordagem interessante: um criminoso pode for\u00e7ar a exibi\u00e7\u00e3o de uma mensagem como \u201cErro, insira senha novamente\u201d \u2013 dessa vez o terminal pensaria se tratar de uma informa\u00e7\u00e3o aberta, que n\u00e3o demanda seguran\u00e7a. Caso isso funcione, o terminal interpreta uma informa\u00e7\u00e3o segura como insegura e os criminosos obt\u00e9m o PIN da v\u00edtima .<\/p>\n<p>Pesquisadores possuem duas dicas simples para donos de cart\u00f5es que querem se manter fora da mira dos criminosos. Primeiro, nunca digite sua senha duas vezes durante uma transa\u00e7\u00e3o. Se voc\u00ea se deparar com um erro e uma solicita\u00e7\u00e3o para digitar sua senha novamente, cancele a transa\u00e7\u00e3o, retire seu cart\u00e3o, insira novamente e digite a senha novamente (apenas uma vez). Fique alerta e ignore qualquer pergunta incomum feita pelo terminal \u2013 especialmente \u201cDigite seu CVC\/CVV2?\u201d<\/p>\n<p>A segunda dica n\u00e3o \u00e9 aplic\u00e1vel a todo e qualquer pa\u00eds, mas \u00e9 interessante. Especialistas da NCR elogiam os sistemas de pagamento mobile (como o Apple Pay), ent\u00e3o pagar com seu rel\u00f3gio ou celular pode ser ainda mais seguro do que com cart\u00e3o de cr\u00e9dito.<\/p>\n<p>Claro, utilizar o bom e velho dinheiro \u00e9 a melhor prote\u00e7\u00e3o que voc\u00ea poderia desejar contra fraudes banc\u00e1rias e de cart\u00e3o de cr\u00e9dito.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A ind\u00fastria banc\u00e1ria investe muito esfor\u00e7o, tempo e dinheiro para proteger cart\u00f5es de banco. Por anos, a prote\u00e7\u00e3o consistia em n\u00famero em relevo e campos de assinatura, mas agora, na<\/p>\n","protected":false},"author":32,"featured_media":6492,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[1014,1015,40],"class_list":{"0":"post-6491","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-cartoes","10":"tag-pin","11":"tag-seguranca"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/chip-and-pin-cards-insecure\/6491\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/chip-and-pin-cards-insecure\/7528\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/chip-and-pin-cards-insecure\/7552\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/chip-and-pin-cards-insecure\/7528\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/chip-and-pin-cards-insecure\/8959\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/chip-and-pin-cards-insecure\/8786\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/chip-and-pin-cards-insecure\/12790\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/chip-and-pin-cards-insecure\/2365\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/chip-and-pin-cards-insecure\/12787\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/chip-and-pin-cards-insecure\/5989\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/chip-and-pin-cards-insecure\/5257\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/chip-and-pin-cards-insecure\/8482\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/chip-and-pin-cards-insecure\/12355\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/chip-and-pin-cards-insecure\/12790\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/chip-and-pin-cards-insecure\/12787\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/chip-and-pin-cards-insecure\/12787\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/cartoes\/","name":"cart\u00f5es"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6491","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=6491"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6491\/revisions"}],"predecessor-version":[{"id":13150,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/6491\/revisions\/13150"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/6492"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=6491"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=6491"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=6491"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}