Descoberta da Kasperky indica que malware é 'primeiro no mundo' capaz de bloquear pagamentos por aproximação nos dispositivos infectados
Criminosos brasileiros do grupo Prilex, especializado em fraudes financeiras, criaram um novo golpe que se vale dos cartões de pagamentos por aproximação (via NFC) e máquinas de pontos de vendas (PDV) para realizar transações fantasmas. A descoberta da Kaspersky aponta que há três novas variações do malware Prilex e, segundo investigação de seus pesquisadores, trata-se do primeiro no mundo capaz de bloquear pagamentos por aproximação nos dispositivos infectados.
A Kaspersky explica que, uma vez infectados, os dispositivos terão a transação financeira impedida. Assim, o consumidor é forçado a usar o cartão de crédito físico — o que permitirá a realização da transação fantasma. Na prática, o Prilex aprendeu a impedir essas transações criando uma nova regra de execução do golpe. Essas regras especificam se as informações do cartão de crédito devem ou não ser capturadas e a opção de bloquear transações por NFC.
Transações NFC criam um número de cartão único para cada pagamento. É esse detalhe que o Prilex usa para detectar este tipo de operação e bloqueá-la. O PINpad ou a maquininha de cartão apresentará a seguinte mensagem após o bloqueio: “Erro aproximação. Insira o cartão”. O objetivo dos cibercriminosos é forçar a vítima inserir o cartão físico no leitor, de modo que o malware possa capturar os dados da transação, incluindo o número do cartão físico, além de poder capturar o criptograma para efetuar a transação fantasma.
Leia também: 7 passos para seguir caso sua empresa seja alvo de um ciberataque
Os cibercriminosos conseguiriam até mesmo filtrar cartões de crédito de acordo com seu segmento e criar regras diferentes para segmentos diferentes. Por exemplo, eles podem bloquear o NFC e capturar dados do cartão somente se o cartão for Black/Infinite, corporativo, ou algum outro com limite de transações alto — que são mais atraentes que os cartões de crédito de outros seguimentos, com saldo/limite baixo.
“Essas transações são extremamente convenientes e especialmente seguras, isso mostra a criatividade e conhecimento técnico dos criadores do Prilex com relação aos meios de pagamento. O bloqueio foi uma saída inusitada, porém eficaz. Isso faz o grupo brasileiro ser o primeiro a conseguir realizar fraudes com essa tecnologia, mesmo que forma indireta”, afirma Fabio Assolini, chefe da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina.
O Prilex está em operação na América Latina desde 2014 e ganhou notoriedade por sua evolução gradativa, migrando de um malware de caixas eletrônicos (ATMs) para um modular avançado que hoje consegue realizar fraudes em pontos de venda. O mesmo grupo supostamente está por trás de um dos maiores ataques na região.
Durante o carnaval do Rio em 2016, o grupo capturou dados de mais de 28 mil cartões de crédito e roubou o dinheiro de mais de mil caixas eletrônicos de um banco brasileiro. Eles também já atuam mundialmente. Em 2019, foram identificados na Alemanha ao fraudar cartões de débito Mastercard, emitidos pelo banco alemão OLB, sacando mais de € 1,5 milhão de cerca de 2 mil clientes. Até agora, as modificações mais recentes foram detectadas apenas no Brasil, mas poderão ser disseminadas para outros países e regiões.
