Um grupo de cibercriminosos colocou em operação um dispositivo capaz de fraudar compras com cartão de crédito realizadas por aproximação em pontos de venda — a modalidade se tornou popular no Brasil e no mundo na pandemia. O alerta foi emitido pela empresa de segurança Kaspersky e aponta que o novo golpe vem sendo difundido por meio de um vírus do Prilex.

Segundo apuração da Kaspersky, as três novas variações do Prilex são capazes de bloquear pagamentos por aproximação nos dispositivos infectados. Ao impedir a transação, o consumidor é forçado a usar o cartão de crédito físico, o que permitirá a realização da “transação-fantasma” pelos golpistas.

O Prilex é composto por fraudadores brasileiros especializados em TI. O grupo se notabilizou por sua evolução gradativa na arquitetura dos golpes, ao migrar de um malware (programa malicioso) de caixas eletrônicos para fraudes em pontos de venda.

O grupo opera na América Latina desde 2014 e, supostamente, está por trás de um dos maiores ataques nessa região. Durante o Carnaval do Rio em 2016, capturou dados de mais de 28 mil cartões de crédito e roubou o dinheiro de mais de mil caixas eletrônicos de um banco brasileiro.

Há indícios de que o Prilex já atua em outros países. Em 2019, foram identificados na Alemanha ao fraudar cartões de débito Mastercard, emitidos pelo banco alemão OLB, sacando mais de € 1,5 milhão de cerca de 2 mil clientes.

Como funciona o novo golpe?

O Prilex, com as modificações realizadas em seu sistema, consegue fraudar pagamentos com cartão, ao roubar dados importantes de transação para efetuar uma nova compra “fantasma” usando outro equipamento (este, de propriedade do criminoso). No esquema, os cibercriminosos conseguem realizar golpes mesmo em cartões protegidos por chip e senha.

Os sistemas de pagamento contactless (sem contato) tradicionais, como cartões de débito e crédito, tags de segurança e outros dispositivos inteligentes usam a identificação por radiofrequência. Mas, recentemente, Samsung Pay, Apple Pay, Google Pay, Fitbit Pay e aplicativos móveis de bancos implementaram a tecnologia NFC para possibilitar transações sem contato.

Transações NFC criam um número de cartão único para cada pagamento. E é esse detalhe que o Prilex usa para detectar este tipo de operação e bloqueá-la. A “maquininha” infectada apresentará a seguinte mensagem após o bloqueio: “Erro aproximação. Insira o cartão”.

Segundo a Kaspersky, o objetivo dos cibercriminosos é forçar a vítima a inserir o cartão físico no leitor, de modo que o malware possa capturar os dados da transação, incluindo o número do cartão físico, além de poder capturar o criptograma para efetuar a “transação-fantasma”.

Amostras recentes do Prilex, analisadas por especialistas da Kaspersky, mostram que o sistema de fraude é capaz de filtrar e capturar dados somente de cartões com limites mais elevados, como os da categoria Black/Infinite.

“Os pagamentos por aproximação fazem parte de nossa rotina, e as estatísticas mostram que o segmento de varejo lidera a lista com uma participação superior a 59% da receita global de pagamentos contactless [sem contato] em 2021. Essas transações são extremamente convenientes e especialmente seguras”, diz Fabio Assolini, chefe da Equipe Global de Pesquisa e Análise da Kaspersky na América Latina. “Mas o bloqueio foi uma saída inusitada. Isso faz o grupo brasileiro ser o primeiro a conseguir realizar fraudes com essa tecnologia, mesmo que forma indireta”.

Como se proteger

-Use uma solução com várias camadas, que ofereça uma seleção ideal de tecnologias de proteção, para proporcionar o melhor nível de segurança possível -para dispositivos com diferentes capacidades e cenários de implementação;

-Proteja sistemas antigos com uma segurança atualizada para que sejam otimizados para executar versões mais antigas do Windows e o pacote Microsoft mais recente com todas as funcionalidades. Isso garante que sua empresa conte com suporte total para as famílias mais antigas de software Microsoft para o futuro próximo e abre a possibilidade de se fazer o upgrade quando for necessário;

-Instale uma solução de segurança que proteja os dispositivos de diversos vetores de ataque;

-Para instituições financeiras que costumam ser vítimas desse tipo de fraude, a Kaspersky recomenda o uso do do Threat Attribution Engine para ajudar as equipes de resposta a encontrar e detectar arquivos do Prilex em ambientes atacados.