A polícia sueca avisa sobre terminais de cartão de crédito adulterados

A polícia sueca está desvendando um esquema onde criminosos roubaram detalhes de cartão de crédito mexendo em terminais de ponto de venda (PDV) em uma loja Toys R Us em Malmö.

Um terminal foi encontrado ser equipado com uma sobreposição de teclado falso que poderia gravar PINs (números de identificação pessoal), bem como detalhes sobre tarja magnética do cartão, disse o detetive Harald Runge.

O caso é semelhante a um revelado no início deste ano que afeta vários varejistas do Reino Unido, onde dispositivos de ponto de venda foram invadidos para registrar detalhes de cartão de crédito e débito para uso em fraudes. Também demonstra o crescente conhecimento técnico que os cibercriminosos ganharam para perpetuar a fraude de cartões.

[Leia mais: Como remover malware do seu PC com Windows]

É a segunda vez que a polícia descobriu um terminal de POS adulterado na Toys R. Nós, Runge disse. Três meses atrás, dois terminais comprometidos foram encontrados, equipados com transmissores Bluetooth para enviar detalhes do cartão, disse ele.

Nesse caso, pelo menos 500 a 600 cartões foram comprometidos. O caso veio à tona depois que as pessoas relataram saques fraudulentos em seus cartões, disse Runge. As retiradas foram feitas na Romênia, um país conhecido como um refúgio para os cibercriminosos

"Sabemos que geralmente as pessoas que cometem esses crimes na Suécia são geralmente da Romênia", disse Runge.

Com a ajuda dos bancos suecos, Foi determinado que as cartas foram todas usadas na Toys R Us, disse Runge. A polícia sueca agora está conduzindo uma investigação técnica sobre como os terminais POS foram comprometidos, disse ele. Na Romênia, as autoridades têm fotos de pessoas que estavam fazendo as retiradas fraudulentas, disse ele.

Os números e detalhes dos cartões suecos registrados na Toys R Us podem já estar aparecendo em sites ilegais onde os detalhes do cartão são vendidos, disse Frank. Engelsman, um especialista em fraude da Ultrascan Advanced Global Investigations, uma empresa com sede na Holanda. A Runge disse que as pessoas que compraram na Toys R Us devem pedir ao seu banco para emitir novos cartões.

Parece que os cibercriminosos já estão tentando vender esses detalhes. Quatrocentos números de cartões suecos apareceram em um dos bancos de dados de criminosos cibernéticos localizados na Rússia, disse Engelsman. Os detalhes do cartão são vendidos por US $ 1 a US $ 6, disse ele.

Engelsman disse que o Ultrascan tem visto um aumento acentuado no número de detalhes do cartão de crédito que estão sendo testados. Para vender um registro de cartão de crédito, muitas vezes o comprador deseja garantir que o número do cartão seja válido e não tenha sido cancelado. Para fazer isso, os cibercriminosos cobrarão uma quantia muito pequena para uma organização como campanha política, disse Engelsman.

A taxa pode ser de apenas US $ 0,26. Os criminosos cibernéticos tenderão a variar os valores, já que os bancos cancelam os cartões se os sistemas antifraude perceberem, por exemplo, mil cartões sendo todos cobrados por US $ 0,13, disse Engelsman.

Ultimamente, "nunca vimos tantos testes antes ", disse Engelsman. "Após o teste, eles vão usá-los [os cartões]."

A adulteração dos terminais de ponto de venda está ficando cada vez mais sofisticada. Engelsman disse que ouviu falar de equipes de "ladrões" profissionais que cuidadosamente entram em uma loja à noite e instalam equipamentos para registrar os detalhes do cartão. Eles saem sem deixar vestígios.

Os terminais também estão sendo manipulados para registrar os detalhes do cartão de crédito em determinados horários de pico de compras, quando a maioria dos detalhes pode ser capturada com o mínimo de energia da bateria. Por exemplo, um dispositivo de PDV só registraria detalhes a partir de 13h. às 13h, disse Engelsman.

Os aparelhos também podem ser programados para gravar, por exemplo, cartões American Express, em vez de Visa ou MasterCard, disse Engelsman. Isso porque alguns fraudadores, como os do norte da África, preferem a American Express, já que os cartões são mais aceitos na área, disse ele.Em alguns casos, os detalhes do cartão são transmitidos através de um chip móvel sem fio instalado no dispositivo POS, disse Engelsman. Em outros casos, os terminais têm uma capacidade Bluetooth de curto alcance. Um fraudador pode voltar para a loja para transferir os dados capturados para outro dispositivo habilitado para Bluetooth.