This post is also available in: Português
Esforços mais recentes se concentram em burlar o protocolo 3D Secure, usado para autorizar transações com cartões de crédito e débito.
Criminosos virtuais possuem práticas diferenciadas para manterem sua comunidade em evolução. Uma delas causa certa estranheza: o compartilhamento de conhecimento. Afinal, seria vantajoso guardar apenas para si o funcionamento de determinada técnica de invasão, como uma fonte exclusiva – e suja – de conseguir dinheiro.
A realidade, porém, é outra. Crackers vivem divulgando detalhes de seus meios de ataque aos colegas de atividade. Assim, são famosos os fóruns clandestinos, que funcionam como um gigantesco repositório de conhecimento ilegal.
Um tópico bastante debatido nos últimos dias fala sobre como os cibercriminosos estão explorando novas maneiras de contornar o protocolo 3D Secure (3DS), usado para autorizar transações de cartão online.
Os posts oferecem conselhos sobre como enganar a última variante desse recurso de segurança, combinando engenharia social com ataques de phishing.
Segurança em xeque
O sistema 3DS funciona adicionando uma camada de segurança para compras online usando cartões de crédito ou débito – e exige confirmação direta do proprietário do cartão para autorizar o pagamento.
O recurso evoluiu a partir da primeira versão, em que o banco pedia ao usuário um código para aprovar a transação. Na segunda versão (3DS 2), projetada para smartphones, os usuários podem confirmar sua compra por meio da autenticação no app do banco, usando seus dados biométricos.
Apesar dos recursos de segurança avançados que o 3DS 2 fornece, a primeira versão ainda é muito mais difundida, dando aos cibercriminosos a chance de usar suas habilidades de engenharia social e enganar os usuários, para que forneçam o código ou a senha para aprovar a transação.
Curtir e compartilhar
Analistas da empresa de inteligência Gemini Advisory divulgaram alguns dos métodos que os cibercriminosos discutem em fóruns da dark web para fazer compras fraudulentas em lojas online que implementaram o 3DS.
Tudo começa com as informações completas do titular do cartão, que incluem o nome, número de telefone, e-mail, endereço residencial, entre outros.
Os golpistas usam esses detalhes para se passar por um funcionário do banco, que liga para a vítima com o intuito de confirmar sua identidade. Ao citar algumas dessas informações de identificação pessoal, eles ganham a confiança da pessoa e solicitam a senha ou código para concluir o processo.
A mesma tática pode funcionar em variantes 3DS posteriores e fazer compras em tempo real. Usando todos os detalhes do titular do cartão, um modulador de voz e um aplicativo de falsificação de número de telefone, o falsário pode iniciar uma compra em um site e, em seguida, ligar para a vítima para obter as informações necessárias.
Na etapa final, os criminosos informam que a pessoa receberá um código de confirmação para verificação de identidade, momento em que ele deve fazer o pedido na loja. Quando solicitado a inserir o código de verificação que foi enviado para o telefone da vítima, o fraudador consegue então recuperar esse código da vítima.
Mil e uma maneiras
Obter o código 3DS é possível por outros meios, como phishing, por exemplo. Quando a vítima faz uma compra no site de phishing – extremamente semelhante ao original verdadeiro –, os criminosos passam todos os detalhes à loja legítima para obter o produto.
De acordo com as descobertas da Gemini Advisory, alguns cibercriminosos também adicionam dados de cartão de crédito roubado a uma conta do PayPal, e os usam como meio de pagamento.
Outro método muito usado é invadir o telefone da vítima com um malware, que pode interceptar o código de segurança e passá-lo para o fraudador.
A maioria dessas técnicas funciona onde versões anteriores do 3DS estão presentes, e – para piorar – o 3DS 2 ainda está longe de ser amplamente adotado. A Europa está liderando essa transição para o padrão mais seguro, enquanto nos EUA a proteção de responsabilidade por fraude para comerciantes que usam 3DS 1 expira em 17 de outubro de 2021.
No entanto, é questão de tempo para os cibercriminosos também tentarem se aventurar no 3DS 2. Métodos para isso não faltarão, já que os crackers vivem disso e dependem dessa atividade ilícita para sobreviver. Seja qual for o modo, já há uma certeza: rapidamente estará disponível em vários fóruns clandestinos.
This post is also available in: Português
