São Paulo, Brasil – O cibercrime movimenta bilhões de dólares por ano, os cibercriminosos frequentam sites da dark web nos quais compram e vendem grandes quantidades de dados roubados, bem como as ferramentas necessárias para obtê-los. Existem cerca de 24 bilhões de nomes de usuário e senhas obtidos ilegalmente circulando atualmente nesses sites, e entre os mais procurados estão os dados de cartão, que os fraudadores compram para cometer fraude de identidade. Num país como o Brasil, em que, em três meses, foram gastos R $478 bilhões em cartões de crédito, é fundamental tomar cuidado com sua segurança. Sabendo disso, a ESET, empresa líder em detecção proativa de ameaças, analisa esse fenômeno e compartilha as maneiras pelas quais os cibercriminosos geralmente roubam os dados do cartão de crédito dos usuários.
Nos países que implementaram o sistema de chip e PIN (também conhecido como EMV), é um desafio converter esses dados em cartões clonados. É por isso que é mais comum ver ataques online direcionados a transações sem cartão (CNP). “Os fraudadores podem usar os dados para comprar itens de luxo para venda posteriormente ou para comprar cartões-presente em grande quantidade, que é outra maneira popular de lavar dinheiro ilícito. Os valores deste mercado criminoso são difíceis de estimar, mas os administradores da maior loja clandestina do mundo se aposentaram recentemente depois de faturar aproximadamente 358 milhões de dólares”, explica Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
Abaixo, a ESET explica quais são as cinco maneiras mais comuns pelas quais os cibercriminosos obtêm dados de cartões de crédito e como detê-los:
1. Phishing: uma das técnicas mais utilizadas pelos cibercriminosos para roubar dados. Em sua forma mais simples, é um golpe no qual o cibercriminoso se faz passar por uma entidade legítima (por exemplo, um banco, provedor de comércio eletrônico ou empresa de tecnologia) para enganar um usuário e fazê-lo inserir suas senhas, dados pessoais ou baixar malware inadvertidamente. Essas mensagens de phishing geralmente incentivam as pessoas a clicar em um link ou abrir um anexo. Às vezes, eles direcionam o usuário para uma página falsa que parece legítima, onde serão solicitados a inserir informações pessoais e financeiras. Apesar de ser uma forma de ataque bastante conhecida, atingiu um recorde histórico no primeiro trimestre de 2022, algo que já havia acontecido em 2021.
2. Malware: existem ameaças deste tipo que podem gravar as teclas digitadas pela vítima; por exemplo, ao inserir os detalhes do cartão em um site bancário ou de comércio eletrônico. Os cibercriminosos colocam esses malwares em dispositivos por meio de e-mails de phishing, mensagens de texto ou anúncios maliciosos. Em outros casos, um site que recebe muitas visitas fica comprometido e espera-se que os usuários entrem nele para infectá-los. Alguns códigos maliciosos são baixados e instalados automaticamente no computador assim que o usuário visita o site comprometido. O malware que rouba informações também costuma estar oculto em aplicativos móveis maliciosos que parecem legítimos.
3. Web skimming: os cibercriminosos também instalam malware nas páginas de checkout de sites de comércio eletrônico legítimos. Esses códigos maliciosos são invisíveis para o usuário, mas roubam os detalhes do cartão à medida que são inseridos. Nesses casos, a ESET recomenda que o usuário compre em sites confiáveis e use aplicativos de pagamento respeitáveis, que possivelmente serão mais seguros. As detecções do web skimmer aumentaram 150% entre maio e novembro de 2021.
4. Vazamento de dados: às vezes, os dados do cartão são obtidos não de usuários, mas diretamente de empresas com as quais algum tipo de transação ou negócio é feito. Pode ser de um provedor de serviços de saúde, uma loja online ou uma empresa de viagens. Essa forma de obtenção de dados é mais lucrativa do ponto de vista dos criminosos, pois por meio de um ataque se obtém uma grande quantidade de dados.
5. Redes de wi-fi públicas: quando você está longe de casa, pode ser tentador navegar na web usando pontos de acesso de wi-fi públicos – seja em aeroportos, hotéis, cafés e outros espaços compartilhados. Mesmo que você precise pagar para ingressar na rede, pode não ser seguro se os cibercriminosos fizerem o mesmo, pois o acesso a uma rede pode ser usado para espionar dados de terceiros à medida que são inseridos.
A ESET compartilha as seguintes dicas para proteger os dados do seu cartão de crédito:
● Estar alerta: se você receber um e-mail inesperado ou não solicitado, nunca responda, clique em links ou abra anexos. Pode ser uma farsa que procura infectar seu dispositivo com malware. Ou eles podem levar a páginas de phishing de aparência legítima, nas quais solicitam a inserção de dados.
● Não divulgar nenhum detalhe por telefone, mesmo que a pessoa do outro lado pareça convincente. Pergunte de onde estão ligando e, em seguida, ligue para essa organização de volta para verificar. Não use os números de contato fornecidos nesta ligação.
● Não utilizar a Internet conectada a uma rede de wi-fi pública para fazer transações bancárias, a não ser que esteja usando uma VPN.
● Não armazenar os detalhes do cartão de crédito ou débito no navegador, embora isso economize tempo na próxima vez que fizer uma compra. Dessa forma, as chances dos cibercrimisos obterem os dados de um cartão serão consideravelmente reduzidas se a empresa ou plataforma sofrer um vazamento ou se um invasor conseguir sequestrar a conta.
● Instalar uma solução antimalware de um provedor confiável em cada um dos dispositivos conectados à Internet.
● Ativar a autenticação em duas etapas em todas as contas que possuem informações confidenciais. A autenticação em duas etapas reduz as chances de invasores acessarem contas, mesmo que tenham obtido credenciais de login.
● Baixe apenas aplicativos de lojas oficiais, como a App Store ou o Google Play.
● Se você estiver fazendo alguma compra online, faça-a apenas em sites com HTTPS (deve mostrar um cadeado na barra de endereços do navegador ao lado da URL). Isso significa que há menos chance de interceptação de dados.
“Por fim, uma prática sempre recomendada é monitorar de perto os movimentos das contas bancárias e dos cartões. Se você detectar quaisquer transações suspeitas, informe-as imediatamente à equipe de fraudes do seu banco/provedor de cartão. Alguns aplicativos agora permitem que todos os gastos em cartões específicos sejam “congelados” até que seja determinado se houve uma violação de segurança. Há muitas maneiras pelas quais os bandidos obtêm nossos dados de cartão, mas também podemos fazer muitas coisas para mantê-los afastados”, conclui Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
Para saber mais sobre segurança da informação, visite o portal de notícias ESET: https://www.welivesecurity.com/br/
Por outro lado, a ESET convida você a conhecer Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir acesse: https://open.spotify.com/show/61ScjrHNAs7fAYrDfw813J?si=242e542c107341a7&nd=1