Fraude com malware realiza “compras fantasmas” em máquinas de cartão
A “fraude fantasma” contra maquininhas de cartão de crédito é o novo modo de operação do Prilex, um grupo brasileiro de cibercriminosos especializados em golpes financeiros. Atuantes desde 2016, eles agora clonam chips a partir da manipulação dos terminais de venda, usando táticas de engenharia social diretamente nos estabelecimentos comerciais.
Após um sumiço de cerca de um ano, a partir de 2021, os bandidos retornaram agora com um novo esquema, voltado para a realização de transações fantasmas enquanto explora sistemas e portas de comunicação dos terminais. De acordo com a Kaspersky, que revelou o retorno da quadrilha, se trata de um ataque furtivo, no qual nem comerciantes nem clientes percebem a fraude até que seja tarde demais.
Na hora do pagamento em uma máquina infectada, o malware instalado pelo Prilex rouba a chave de autenticação do cartão, mas simula um erro na transação. Assim, o vendedor pode tentar realizar a operação novamente e ela funciona da segunda vez. Entretanto, no meio do caminho, o token roubado é enviado aos criminosos, que também possuem maquininhas registradas no nome de empresas fantasmas, onde são feitas transações fraudulentas.
O comprometimento dos dispositivos acontece por meio de engenharia social, com os membros da quadrilha avaliando a movimentação de estabelecimentos e se passando por técnicos e representantes das operadoras de cartão ou terminais. Eles falam sobre a necessidade de atualizar o sistema dos terminais, quando na verdade, instalam o malware e ferramentas de acesso remoto.
O golpe também ganhou elementos mais arrojados, como um sistema que detecta o número de transações realizadas em cada terminal e bloqueia ou não a exploração de acordo com esse total. De acordo com Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina, esse é um aspecto que demonstra uma profissionalização cada vez maior do Prilex, juntamente com um sistema que estabelece persistência e oculta o malware da detecção por softwares de segurança.
Outro ponto que deixa isso claro é a atuação do banco como fornecedor de malware como serviço, vendendo suas soluções para outros grupos que desejam realizar ataques. Isso acontece desde 2019, mas os preços dispararam — as ofertas que, há três anos, custavam US$ 3.500 (aproximadamente R$ 18.800 em conversão direta), agora podem estar saindo por mais de US$ 13.000, ou cerca de R$ 69.000. De acordo com a Kaspersky, a nova proposta ainda não teve sua origem confirmada, mas a apuração indica se tratar do Prilex.
Indicadores e detalhes técnicos também foram publicados pela Kaspersky, para que especialistas busquem sinais de comprometimento nos terminais. Além disso, a recomendação é que os lojistas se certifiquem da identidade de supostos representantes de empresas e confirmem a necessidade de atualização dos equipamentos antes de permitirem que terceiros tenham acesso aos terminais.
Fonte: Canaltech