Continua após os destaques >>
Os sistemas de ponto de venda (POS – Point Of Sale) são cada vez mais alvos preferenciais dos cibercriminosos, devido a controles de segurança deficientes nos pagamentos com cartões de crédito e débito.
A conclusão é de estudo encomendado pelas administradoras American Express, Visa e MasterCard à Trustwave, com foco, principalmente, em violações de cartões de pagamento a partir de transações geradas por pequenas empresas.
O estudo da Trustwave investigou 220 casos de violações de segurança dados em todo o mundo, em 2010. A grande maioria dos casos teve a ver com deficiências em dispositivos POS.
"Devido a várias vulnerabilidades conhecidas, os sistemas POS continuam a ser o método mais fácil para os criminosos obterem os dados necessários à execução de fraudes com cartões de pagamento”, afirma o Global Trustwave Security Report 2011.
Os dispositivos de POS leem a faixa magnética no verso do cartão, que contém as informações da conta, e as transmitem para o processamento de pagamentos. Apesar de existirem regras obrigatórias de segurança que os programadores devem usar nos dispositivos, como a norma Payment Application Data Security (PADS), a Trustwave diz que "esses controles raramente são implementados de forma adequada".
Golpe no Brasil
No Brasil, golpes com máquinas de ponto de venda apoiam-se em técnicas mais
simples, como a substituição dos terminais por aparelhos falsos. Ontem,
quarta-feira (9/3), a Polícia Civil de São Paulo divulgou detalhes de uma
operação de combate a um esquema de clonagem de cartões de débito e crédito.
Segundo informações publicadas nesta quinta-feira (10/3) pelo jornal O Estado de S.Paulo, lojas de pelo menos três shoppings da cidade - Bourbon, Anália Franco e Metrô Tatuapé - utilizavam máquinas instaladas por bandidos, que se passavam por técnicos de manutenção para trocar os equipamentos.
A polícia informou ao jornal que cada informação de cartão era vendida por até 50 reais. As máquinas eram da empresa Redecard - que, "por questões de segurança", preferiu não se manifestar.
Erros de autenticação
Além disso, muitas pequenas empresas dependem de integradores para suportar os
dispositivos de POS. Integradores esses com práticas questionáveis de
segurança. Em 87% dos casos de violação de privacidade de dados, os integradores
tinham cometido erros nos sistemas de autenticação, revela a Trustwave.
"Segundo a nossa experiência, muitos integradores de dispositivos de POS não estão qualificados e não têm as melhores práticas de segurança, deixando os seus clientes vulneráveis a ataques”, diz o estudo.
Os POS são um alvo atraentes para os criminosos, pois a informação a que têm acesso nos cartões é mais completa, segundo a Trustwave.
Por exemplo, um ataque contra um site de comércio eletrônico pode revelar números de cartão de crédito e datas de expiração do cartão. São informações úteis apenas nas chamadas fraude de cartão não presente, como a compra de mercadorias em um site.
Já os dispositivos POS recolhem toda a informação contida da faixa magnética. O que torna possível, por exemplo, clonar o cartão para uso em uma ATM ou em um estabelecimento comercial.
O aumento da conformidade dos seus sistemas com o código de boas práticas Payment Card Industry Data Security Standard (PCI-DSS), criado pela indústria de cartões, pode ajudar a aumentar a segurança do uso dos POS. Ela proíbe, por exemplo, o armazenamento de dados da banda magnética no terminal POS e determina o uso de criptografia na transmissão.
Malware específico
E mesmo assim, há falhas. Em 2010, o estudo da Trustwave também descobriu uma
nova tecnologia nociva dirigida a aplicações de POS, capaz de extrair dados
cifrados. "O malware específico de POS é o mais sofisticado que temos
visto, e semelhante ao das ATMs, detectado em 2009. Exige profundo conhecimento
sobre o funcionamento da aplicação POS”, descreve o relatório da Trustwave.
Além disso, apesar de o PCI-DSS já estar bem difundido na
América do Norte e na Europa, “outras áreas do mundo estão apensa no início da
adoção“, considera a Trustwave. “Por exemplo, a América Latina e a
Ásia-Pacífico estão muito aquém de outras áreas do mundo na identificação e
reconhecimento de violação de dados, o que afeta negativamente o esforço global
para combater o comportamento criminoso.”
Destaques >>
Leia mais notícias em andravirtual
Curta nossa página no Facebook
Siga no Instagram