Pesquisadores identificaram um complexo sistema montado por criminosos para roubar dados de cartões de crédito com chip, a partir de pontos de venda, como caixas de supermercados ou de postos de gasolina.

De acordo com especialistas, o conhecimento do sistema financeiro do Brasil e a linguagem usada nos códigos e na interface do programa indicam que os hackers do esquema são brasileiros.

A descoberta foi anunciada por Thiago Marques e Santiago Pontiroli, da Kaspersky Lab, durante o evento de cibersegurança Security Analyst Summit, em Cancún (México), na semana passada.

Segundo Marques e Pontiroli, os primeiros ataques identificados foram realizados no fim de 2016, focados no Brasil. Eles dizem, no entanto, que é possível que o ataque seja realizado em outros países.

Por trás das ações está um grupo criminoso já conhecido dos especialistas por causa de fraudes em caixas eletrônicos pelo menos desde 2015.

Os criminosos montaram um “modelo de negócios” no qual vendem dados roubados de cartão de crédito por meio de um software que modifica o sistema de pontos de venda em vários Estados do Brasil.

Para instalar o programa, o grupo distribui telegramas instruindo as pessoas que trabalham em pontos de venda a baixarem um programa para uma suposta manutenção.

As informações coletadas vão para um servidor e depois são vendidas para fraudadores. “Não é só o programa malicioso, é negócio ‘criminal to criminal’ [de criminoso para criminoso]”, diz Marques.

A novidade está no modo como os dados são oferecidos para os “clientes”. O fraudador pode comprar apenas pacotes de dados de cartões roubados, ou então adquirir um sistema simples que ajuda a criar o cartão clonado.

Os pesquisadores disseram não ter descoberto exatamente a que preço os dados são vendidos. Em outras situações, pacotes de dados roubados podem variar de R$ 100 por cinco cartões sortidos (comuns, gold e platinum) a R$ 200 (apenas platinum).

Normalmente, esse tipo de dado é oferecido por criminosos de maneira aberta na internet, como se fosse um produto legítimo – até mesmo e com postagens em grupos de WhatsApp e promoções na Black Friday.

O bando, no entanto, se mostrou mais cauteloso e oferece o produto em conversas diretas com clientes.

O restante do equipamento necessário para completar a fraude (cartão em branco e um dispositivo para inserir os dados) pode ser comprado legalmente por menos de R$ 100.

O programa permite que, com alguns cliques, dados roubados sejam clonados no cartão em branco. O programa oferece até um chat para suporte técnico. “A pessoa não precisa saber nada sobre como gerar um cartão falso, a ferramenta faz tudo”, afirma Marques.

Por fim, eles se aproveitam de uma falha de segurança em pontos de venda para fazer com que qualquer senha seja aceita ao usar o cartão de crédito falso.

Os especialistas dizem não ser possível estimar quantos e quais cartões foram clonados, nem o quanto de dinheiro o grupo recebeu com a operação até agora.

Pesquisa feita em 2016 pela Aite Group coloca o Brasil no segundo lugar global nos números de fraudes em cartão de crédito, atrás apenas do México.

