Ir para o conteúdo principal

Segurança cibernética

10 de outubro de 2024

 

O que é skimming digital? Seu guia para se manter seguro ao fazer compras online.

A clonagem de cartões evoluiu com a tecnologia. Com a nova variante desse golpe, os cibercriminosos instalam malware em sites de comércio eletrônico para roubar dados de cartões de crédito.

Christine Gibson

Contribuinte

Existe uma nova vertente de cibercrime no comércio varejista online. A iniciativa tem como público-alvo consumidores que realizam suas atividades cotidianas, seja reservando voos em uma grande companhia aérea ou comprando ingressos para shows em sua plataforma preferida.

Chama-se skimming digital, também conhecido como e-skimming, skimming de cartão online ou skimming na web, e é a evolução de um golpe mais antigo conhecido como skimming de cartão. É nesse momento que os criminosos instalam equipamentos em sistemas de ponto de venda ou pequenas câmeras em caixas eletrônicos ou bombas de gasolina para capturar dados de cartões. Com o skimming digital, os hackers instalam malware em lojas online para coletar essas informações, e pode ser mais difícil de detectar do que o skimming físico, além de poder atingir mais vítimas simultaneamente. 

folheamento

/ˈ'ski-miŋ/ • substantivo

Existe uma nova vertente de cibercrime no comércio varejista online. A iniciativa tem como público-alvo consumidores que realizam suas atividades cotidianas, seja reservando voos em uma grande companhia aérea ou comprando ingressos para shows em sua plataforma preferida.

Chama-se skimming digital, também conhecido como e-skimming, skimming de cartão online ou skimming na web, e é a evolução de um golpe mais antigo conhecido como skimming de cartão. É nesse momento que os criminosos instalam equipamentos em sistemas de ponto de venda ou pequenas câmeras em caixas eletrônicos ou bombas de gasolina para capturar dados de cartões. Com o skimming digital, os hackers instalam malware em lojas online para coletar essas informações, e pode ser mais difícil de detectar do que o skimming físico, além de poder atingir mais vítimas simultaneamente. 

O que é clonagem de cartões?

A clonagem de cartões é um golpe em que criminosos comprometem máquinas de pagamento para roubar informações de cartões de clientes. Leitores de cartão adulterados ficam escondidos em caixas eletrônicos, bombas de gasolina e sistemas de ponto de venda, capturando secretamente números de cartão e dados de faturamento. Teclados sobrepostos ou minicâmeras gravam os PINs dos clientes.

As informações podem então ser transmitidas via Bluetooth para um dispositivo de armazenamento próximo controlado pelo atacante.

O que é skimming digital?

O skimming digital é a clonagem de cartões de crédito realizada pela internet. Em vez de esconder dispositivos de vigilância em máquinas físicas, os criminosos inserem códigos maliciosos em sites de comércio eletrônico para roubar os dados de pagamento de todos os clientes que usam seus cartões nesses sites.

A clonagem digital de cartões é ainda mais difícil de detectar do que a clonagem física, e pode atingir mais vítimas ao mesmo tempo.

Como funciona a coleta ilegal de dados digitais?

O skimming digital infecta sites e aplicativos de comércio eletrônico com código de computador que rouba dados de pagamento. Os skimmers inserem suas instruções no código-fonte do site. Quando clientes desavisados preenchem os formulários de finalização da compra, o malware copia os dados do cartão e as informações pessoais deles.

Os hackers também inserem códigos maliciosos em produtos de terceiros, como softwares de carrinho de compras. Ao integrar essas ferramentas sabotadas, os comerciantes online infectam, sem saber, suas próprias redes. Frequentemente, os produtos falsificados contêm scripts que mascaram a presença do dispositivo de clonagem de cartões no site de comércio eletrônico do cliente. Como resultado, alguns comerciantes podem levar anos para perceber — e remover — o malware de skimming.

Qual a extensão do skimming digital?

O skimming digital está se tornando uma das práticas favoritas dos cibercriminosos. Segundo dados da Mastercard, quase três quartos das violações de dados divulgadas publicamente em 2022 envolveram skimming digital. Naquele ano, os dispositivos de skimming infectaram 4.500 novos sites — um aumento de 129% em relação a 2021 — e o número subiu em mais 2.700 em 2023.

O FBI estima que esses golpes agora custam aos titulares de cartões e aos bancos mais de US$ 1 bilhão por ano.

Que tipo de dados os dispositivos de skimming digital procuram?

Os dispositivos de clonagem digital buscam informações de pagamento para usar em outros tipos de crimes financeiros, como fraude e roubo. Eles coletam dados de cartões de crédito, incluindo números de cartão, datas de validade e códigos CVC, bem como informações de identificação pessoal, como nome, endereço e número de telefone do titular do cartão.

O que os criminosos fazem com as informações que roubam?

Os atacantes geralmente vendem as informações roubadas para fraudadores no mercado negro — em 2023, 416.582 casos de roubo de identidade nos EUA foram facilitados por dados de cartões de crédito clonados. Criminosos usam as credenciais para invadir contas com transações não autorizadas.

Transações fraudulentas normalmente começam cerca de cinco meses após a clonagem dos dados, quando a validade dos cartões já foi verificada e os cartões foram vendidos. Com base nos incidentes relatados à Mastercard, os clientes que realizam transações em estabelecimentos comerciais afetados têm 31% mais probabilidade de se tornarem vítimas de fraude.

O que acontecerá se meu cartão for clonado?

Dispositivos de clonagem de cartões representam uma séria ameaça às suas finanças. Os titulares dos cartões podem descobrir que suas economias foram esvaziadas, seus cartões de crédito estourados e até mesmo seus registros médicos falsificados, à medida que os ladrões acumulam despesas com medicamentos prescritos e outros serviços.

Embora os titulares dos cartões possam reverter as perdas, podem ter que gastar horas contestando as cobranças e preenchendo formulários. Entretanto, suas contas podem ser bloqueadas ou sujeitas a taxas de sobregiro.  

Os titulares de cartões Mastercard recebem proteção de responsabilidade zero e não serão responsabilizados por transações não autorizadas, desde que tenham tomado as devidas precauções para proteger seu cartão contra perda ou roubo e que tenham comunicado prontamente a perda ou o roubo à sua instituição financeira.

Como posso saber se fui vítima de skimming digital?

A clonagem de cartões digital pode ser difícil de detectar. Os primeiros sinais costumam ser pagamentos inesperados em extratos bancários e cobranças desconhecidas em faturas de cartão de crédito. É prudente revisar os extratos bancários regularmente para identificar anomalias.

Como os consumidores podem se proteger contra dispositivos de clonagem de cartões?

Os consumidores podem se proteger mantendo-se vigilantes ao fazer compras online. Preste atenção aos avisos do navegador sobre páginas inseguras e fique atento a pop-ups inesperados, anúncios amadores e erros de ortografia e gramática — isso pode indicar que o site do comerciante foi infiltrado ou falsificado.

Uma boa higiene digital também pode impedir que a invasão se espalhe caso suas informações sejam violadas. Definir senhas fortes e exclusivas e usar uma VPN confiável para se conectar a redes Wi-Fi públicas impedirá que os hackers acessem suas outras contas. Para limitar as perdas financeiras, utilize apenas um cartão para transações online e ative os alertas de transação para ser notificado sempre que o seu cartão for utilizado.

O que torna um site vulnerável à clonagem de dados?

A vulnerabilidade de um site à clonagem de dados está fortemente ligada à robustez de seus sistemas de segurança. Os hackers precisam infiltrar seu código explorando as vulnerabilidades nas defesas do site. Assim como um ladrão evitaria um banco em favor de uma casa com uma janela aberta, os skimmers visam sites com segurança cibernética deficiente.

O software desatualizado é o principal culpado: De acordo com uma análise da equipe de Pesquisa de Análise Cibernética da Mastercard, os comerciantes com pelo menos uma vulnerabilidade crítica de software têm 3,3 vezes mais probabilidade de serem vítimas de um skimmer digital. Aqueles que habitualmente negligenciam a correção de falhas de segurança com atualizações têm 12 vezes mais probabilidade de serem afetados.

Como as empresas podem se proteger contra dispositivos de skimming digital?

As empresas podem se proteger contra dispositivos de clonagem de cartões implementando e mantendo medidas de segurança rigorosas. Manter o software atualizado é uma defesa fundamental; as empresas devem criptografar toda a transmissão de dados, avaliar minuciosamente as ferramentas de terceiros e verificar seu código-fonte em busca de alterações não autorizadas.

Para minimizar os danos aos clientes em caso de ataque, as empresas devem coletar apenas os dados mínimos necessários para qualquer transação; fazer backup do código e dos bancos de dados do site permitirá uma restauração rápida, minimizando as interrupções. 

Para gerenciar esse tipo de risco cibernético em grande escala, as empresas devem estar constantemente atentas a sinais de violação, tanto em seus próprios sites quanto nas ferramentas que integram. É aí que entra a inteligência artificial . As ferramentas automatizadas de gestão de riscos utilizam inteligência de código aberto e aprendizado de máquina para ajudar as empresas a fortalecerem suas defesas e avaliarem a higiene cibernética de fornecedores terceirizados.

segurança cibernética

Proteção em ação

O The Update da Mastercard conecta você às melhores informações, às últimas notícias e às tendências emergentes em segurança cibernética. Na edição mais recente, leia sobre técnicas de preparação para ameaças, como a previsão de ameaças (threatcasting), as melhores práticas para proteger sua empresa contra ransomware, como implementar uma estratégia de segurança de confiança zero e muito mais. 

Saiba mais