Chupa-cabra de caixa eletrônico fica mais fino para roubar seus dados

Novo equipamento encontrado nos EUA tem apenas 0,68 mm de espessura; escondido no caixa eletrônico, ele copia dados da tarja magnética do cartão

Giovanni Santa Rosa

Nos últimos anos, os golpes envolvendo Pix e roubo de celulares dominaram o noticiário, mas isso não quer dizer que ataques a caixas eletrônicos desapareceram. Nos EUA, investigadores encontraram uma nova versão do chupa-cabra. Mais fino, ele consegue obter dados de cartões e senhas para fraudes.

O mecanismo foi revelado pelo repórter de cibersegurança Brian Krebs em seu site Krebs on Security. O golpe envolve um aparelho para copiar dados da tarja magnética dos cartões e uma câmera minúscula para observar e aprender a senha do cliente.

O equipamento para roubar os dados do cartão chama a atenção pela espessura minúscula: apenas 0,68 mm, só um pouco mais que o cartão em si, que costuma ter 0,52 mm.

Já a câmera é instalada em um painel falso na frente do caixa, escondida no que parece ser um espelho para o consumidor observar se há alguém atrás dele. Minúscula, ela consegue observar o teclado numérico e guardar o PIN de quatro dígitos do cliente.

Câmera escondida atrás de espelho de caixa eletrônico
Câmera escondida atrás de espelho de caixa eletrônico (Imagem: Divulgação / NCR)

Caixas eletrônicos modelo SelfServ 84 WalkUp, da fabricante NCR, têm sido alvos desse chupa-cabra ultrafino.

Nos EUA, a empresa vem realizando testes com um kit de detecção inteligente. Com uma câmera USB, é possível verificar a parte interna do leitor de cartões. Softwares de reconhecimento de imagem identificam se há algum dispositivo fraudulento no aparelho.

Mecanismo usado para copiar cartões
Mecanismo usado para copiar cartões (Imagem: Divulgação / NCR)

A tarja magnética dos cartões é um ponto fraco, já que os dados armazenados não contam com nenhum tipo de criptografia. A Mastercard pretende acabar com a tecnologia até 2029.

No Brasil, é bastante raro precisar da tarja — praticamente todas as maquininhas de pagamento em uso hoje aceitam chip e aproximação. Mesmo assim, são raros os cartões sem o recurso.

Nos EUA, a adoção de tecnologias como chip e contactless foi mais lenta, e a tarja magnética ainda é usada em máquinas de estabelecimentos menores.

Chupa-cabra continua fazendo vítimas no Brasil

Os golpes envolvendo Pix, invasões de contas e empréstimos fraudulentos viraram o principal assunto de segurança bancária. Mesmo assim, estelionatários continuam usando caixas eletrônicos para obter dados de cartões.

Em agosto, a Polícia Federal emitiu um alerta sobre o tema, após prender preventivamente em Fortaleza (CE) dois suspeitos de envolvimento em ações desse tipo. Vítimas foram furtadas em vários municípios de Pernambuco e também no Rio Grande do Norte, Tocantins e Ceará.

Por aqui, o golpe não é tão sofisticado quanto o chupa-cabra ultrafino dos EUA: criminosos instalam uma frente falsa no caixa eletrônico, que conta até com um notebook para simular o sistema do banco e enviar dados pela internet.

A Polícia Federal recomenda tentar puxar a frente do caixa eletrônico pelas laterais para verificar se não há nada de errado com o equipamento. Colocar a mão sobre o teclado ao digitar a senha também é uma forma de evitar que câmeras obtenham a sequência numérica.

Com informações: Krebs on Security, UOL.

Leia | Juice Jacking: por que tomadas USB podem não ser boa ideia

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.