Sanduíche do mal: hackers clonaram milhares de cartões no Subway
A história é mais ou menos recente e foi revelada em 8 de dezembro pela corte distrital do estado de New Hapmshire (EUA). Ela conta como os hackers acabaram ensinando uma pesada lição à rede de sanduíches Subway desde 2008 e como o simples ato de pagar pela refeição com um cartão de crédito pode facilmente virar uma dor de cabeça dos demônios.
Ráquers da Romênia, aqueles vampiros danadinhos, teriam conseguido acesso a dados de cartões de créditos provenientes dos computadores nos pontos-de-venda de franqueados da rede Subway, assim como de pelo menos mais 50 outros distribuidores menores.
O resultado? Mais de US$ 3 milhões de obamas em fraude e um festival de reclamações junto às operadoras financeiras.
Para causar o mesmo rombo em qualquer outro lugar, para quem estiver disposto a assumir os estúpidos e lucrativos riscos, a traquitana envolvida não tem nada de sofisticado. A maioria dos softwares está disponível gratuitamente na rede e, para variar, tudo vai depender muito mais do descuido do usuário, do que do poder sanguessuga do crime.
A porta de entrada foi o fato de que muitos funcionários não rodavam os protocolos de autenticação em cada máquina do ponto de venda, o que figurou como o principal facilitador. No caso do Subway em particular foram mais de 80.000 vítimas, até que o administrador do sistema central notasse que alguma coisa estava errada. Evan Schuman e mais uma das operadoras de crédito descobriram a fraude quase que ao mesmo tempo.
Para começar, toda a ação dos hackers baseava-se praticamente em dois pontos: acesso remoto a máquinas vulneráveis e descuidadas rodando o software de ponto-de-venda (caixa, pedidos, estoque, etc) em praticamente todos os franqueados da rede. Para arrematar no óbvio, um cavalo de tróia (xp.exe) fazia o logging completo de todas as máquinas e até backdoor foi instalado para que fossem reconectadas frequentemente. Uma desgraça.
Ou seja, bastava passar o cartão de crédito que alguém estaria esperando do outro lado da “bandeja”. As informações eram subtraídas em massa. Considerando que a rede Subway processa uma quantidade substancial de pedidos diariamente em todo o país, dá para imaginar quantos funcionários já estão procurando outro emprego enquanto você termina esse texto.
Como normalmente um esquema assim amplo não dá para ser executado por apenas uma pessoa, os dados estava sendo vendidos à vontade na internet por meio de domínios nos EUA mesmo, comprados com os próprios cartões de crédito. Um dos indiretamente envolvidos, Cezar Iulian Butu, prensava novos cartões clonados em uma casa na Bélgica e gastava o dinheiro com apostas nas lojas locais.
Já um fato um pouco mais recente, anunciado ontem: a atacadista do mesmo setor Restaurant Depot teve um número ainda maior de cartões e dados bancários subtraídos: mais de 200 mil cartões.
Uma empresa de auditoria de segurança reportou que um malware foi instalado em todo os sistema de processamento de transações de crédito e cartões de débito, comprometendo os dados de milhares de clientes da empresa de 21 de Setembro até o dia 18 de Novembro.
A empresa publicou uma carta aos seus clientes informando que contratou uma empresa análise forense e que está a disposição para reembolsar todos os seus clientes eventuais gastos causados por sua ‘falha’.
A Symantec estima que o cybercrime renda uma média de US$ 144 bilhões de dólares por ano. Para que se tenha uma base de comparação, todos os assaltos à banco no ano de 2010 nos EUA somaram US$ 43 milhões e o mercado global de cocaína no mundo totaliza US$ 85 bilhões.
O crime tem evoluído continuamente, mas o usuário padrão ainda continua inocente.
