Artigo: Fraldes em cartões de credito

Ter um cartão de crédito já abre uma nova porta para um perigo quase iminente aos usuários do dinheiro de plástico. Não é novidade que os cartões magnéticos são clonados de maneira grosseira por todos os cantos do país. Entretanto, o prejuízo causado por este tipo de fraude já ultrapassou a casa dos 31 milhões de reais só no primeiro semestre de 2009. Esse valor ainda não atinge grandes quantias se comparado à compra total via cartão de crédito no Brasil, mas já chegou a 1% deste todo.

Os “Carders”, como são chamados os fraudadores de cartões magnéticos, possuem diversas táticas para fazer com que o dono do cartão caia em um golpe. Há alguns anos, antes da introdução dos cartões com chip no mercado, o índice de clonagens era muito maior. Se ação fosse realizada em um caixa eletrônico em uma agência bancária (o que não é nenhum pouco incomum) os bandidos colocariam o “skimmers” (chupa-cabras, no Brasil) – aparelho usado para copiar as trilhas magnéticas do cartão – no leitor de cartões e, em um lugar um pouco mais alto, filmariam o cliente digitando a senha.
Exemplo de um Skimmer
Estes aparelhos que roubam a identificação magnética dos cartões nada mais são do que leitoras comuns alteradas para que passem a gravar estes códigos e reproduzi-los em cartões quaisquer. No entanto, este método é um tanto grosseiro para os padrões tecnológicos que temos hoje. Infelizmente, a tecnologia também chega para auxiliar organizações criminosas e usuários mal intencionados.

Mau uso da tecnologia

Com a chegada dos sites bancários e das funções home-banking, o bandido só precisa encontrar um malware para fazer com que a senha e o número de cartão de crédito sejam roubados do computador do cliente. Isso acontece muito em casos de emails fraudulentos que se passam por comunicados da Receita Federal, Caixa Econômica Federal e outros bancos brasileiros ou até mesmo do exterior.

O processo de clonagem é mais simples do que muita gente pode imaginar. Porém, exige um arsenal de equipamentos que chegam a custar mais de 10 mil dólares. Nestes casos, o falsário não trabalha com materiais quaisquer e sim com réplicas quase idênticas aos cartões originais das operadoras mais variadas. Para fazer essa falsificação as quadrilhas utilizam impressoras de cartões, máquinas para criação de hologramas, impressão das letras em alto relevo e uma série de outros equipamentos.

Entretanto, esse tipo de quadrilha altamente especializada é mais frequente em países estrangeiros. No Brasil, o que se vê com frequência são as falsificações grosseiras. Muitos bandidos aproveitam dos cartões magnéticos oferecidos em centros de diversão eletrônica de shoppings centers para reproduzir as trilhas magnéticas dos cartões originais.

Os bandidos alteram os leitores de cartão para copiar a trilha magnética dos cartões!
As compras pela internet têm aumentado sensivelmente os números de fraudes envolvendo cartões de crédito em todo o Brasil. Os mesmos arquivos maliciosos escondidos em emails falsos roubam informações como número do cartão, data de validade e o código de segurança de três dígitos. Com esses dados, qualquer pessoa pode fazer compras no nome de quem quer que seja o dono daqueles dados. Por isso, se você costuma abrir todos os emails que chegam na sua caixa de entrada, comece a ser um pouco mais seletivo e desconfie de remetentes desconhecidos.
 
O Processo de Clonagem de Um Cartão

Para ler o artigo completo, clique em LEIA MAIS

Continue lendo

Stress entre os profissionais de segurança

Texto integralmente escrito pelo Anchises

 

Já perdi a conta de quantas vezes tive vontade de largar tudo e ir vender água de côco na praia. Por isso mesmo não estranhei quando recebi, agora há pouco, a newsletter da revista CSO Online com algumas reportagens sobre stress e “burnout” entre os profissionais de segurança.

Aparentemente o conjunto de artigos foi motivado por um painel com profissionais da área realizado na RSA Conference que acontece em San Francisco nesta semana. Em particular, a reportagem “RSA Conference 2012: Stress and burnout in infosec careers” descreve os principais comentários realizados pelo pessoal que participou do painel, que relataram já ter visto alto grau de stress e esgotamento entre profissionais de segurança.

O artigo “Security – It’s Just a Job” lembra do esforço que nosso trabalho demanda: trabalhar até tarde da noite, não ter tempo para almoçar, jornada de trabalho de até 70 horas por semana – isso sem falar de que podemos ser acionados a qualquer hora da noite ou do final de semana, já que, afinal, ataques não tem hora certa para acontecer. E, o que é pior: com o passar do tempo, passamos a considerar isso tudo “normal” e, quando percebemos, já é tarde demais: distância da família e amigos, sem tempo para vida pessoal, anos sem férias ou descanso, etc.

E, cá entre nós, as tecnologias de acesso remoto (do e-mail no celular a VPN) só tornam a coisa pior.

A reportagem nos convida a trabalhar de forma mais inteligente (priorizando tarefas e definindo limites) e encarar o trabalho como “isto é apenas um trabalho”. Afinal:

“We can give ourselves over to the machine, the business, the beast with the eternal appetite. Knowing that it can never be satiated by our labors. “

A propósito, há uns 15 anos atrás um colega me disse uma frase bem parecida com a frase acima: “o trabalho sempre estará aqui”. Ou seja, não importa o quanto você se esforce e trabalhe até mais tarde; no dia seguinte, ainda haverá muito trabalho a ser feito. E, o que é pior: a tendência natural de todos os gestores é centralizar as tarefas mais importantes no pessoal de confiança, isto é, que ele sabe que vai entregar o trabalho com qualidade e no tempo necessário. Logo, a tendência natural é que os profissionais mais esforçados estarão sempre sobrecarregados de trabalho.

Uma reportagem de 2010 da CSO Online já apontava este problema e indicava quais seriam alguns sinais de stress e esgotamento no trabalho (além de dar algumas dicas para resolver isso):

  • Para você, todo dia é um dia ruim.
  • Importar-se com o seu trabalho ou vida familiar parece um desperdício total de energia.
  • Você se sente exausto o tempo todo.
  • A maior parte de seu dia é gasto em tarefas que você considera tediosas, maçantes ou esmagadoras.
  • Você se sente que nada do que você faz pode fazer diferença ou ser apreciada.

Por fim, a CSO Online também traz uma matéria com as 10 piores perguntas em entrevistas de emprego e como respondê-las. A maioria das perguntas listadas na reportagem são meio bobinhas ou bem conhecidas (quer imaginar pergunta mais besta do que “Are you a risk-taker?” ou “Why are you leaving your current job?”), mas algumas são interessantes ou mesmo “pegadinhas”. Você, por exemplo, saberia a melhor forma de responder as perguntas abaixo?

  • “What do you think about security convergence and its effect on our company?”
  • “Are you willing to be accountable for security?”

Última frase do artigo, para lembrarmos sempre…

“Tomorrow when you wake up Anonymous will still be here, so too cross site scripting, and sql injection.”

Bypass em webcams

Há um sério problema de segurança com webcams da empresa IPCAMS TRENDnet. A falha consiste em saltar a tela de login, assim você pode acessar as câmeras e ver sem problemas. O método de operação é muito simples:

Você pega a URL de uma câmera IP TRENDnet com um modelo afetado.
Acrescenta / anony / mjpg.cgi para a url.
E pronto, basta acessar a webcam sem uma senha.

Confira uma lista de câmeras vulneráveis:

http://www.trendnet.com/press/view.asp?id=1958

Uma lista com vários IPs vulneraveis que foram publicadas no pastebin:

http://pastebin.com/jLqbjpJh