0
0
O vírus é brasileiro e não é nada sobrenatural. Ele rouba dados de cartões de crédito e realiza compras fraudulentas.
Por Maria Alice Freire
Um vírus que se esconde nos computadores de lojas e estabelecimentos comerciais está sendo usado para roubar dados de cartões de crédito dos clientes e efetuar transações “fantasma”. Chamado de Prilex, o malware é de autoria de um grupo brasileiro e existe desde 2014, mas ganhou uma versão ainda mais refinada em 2022, identificada pela empresa de cibersegurança Kaspersky. Nesta nova abordagem, os criminosos utilizam técnicas de engenharia social para instalar um software de acesso remoto no sistema das loja e infectá-lo, conectando-se às maquininhas para capturar os dados dos cartões dos clientes sem que estes e o lojista percebam.
Aplicado por criminosos altamente qualificados, o golpe requer conhecimento avançado sobre os sistemas de pagamentos e uma atuação meticulosa, que inclui desde uma seleção prévia das vítimas até mecanismos para manter a clonagem invisível pelo maior tempo possível. Nas linhas a seguir, o TechTudo detalha o funcionamento do Prilex e explica como empresas e clientes podem se proteger.
O que é o Prilex?
O Prilex é um malware criado por um grupo criminoso brasileiro que alveja sistemas de pontos de venda (POS) e contamina softwares do tipo TEF, os quais permitem ao varejista integrar todos os pagamentos realizados via cartão em um único local. Em 2014, quando foi identificado pela primeira vez, o vírus usado para aplicar jackpotting, golpe que faz as máquinas de caixa eletrônico liberarem grandes dinheiro em poucos segundos.
Uma nova versão do vírus foi observada em 2018. Disseminado por meio de e-mails de phishing, o malware passou a atingir sistemas de lojas para infectar as maquininhas e roubar dados dos cartões de crédito dos clientes. Graças a uma brecha de segurança no EMV, padrão usado para validar as transações, os golpistas conseguiam clonar cartões de crédito e débito. Essa versão do Prilex chegou a ser usada para aplicar um golpe em um banco da Alemanha, que perdeu cerca de € 1,5 milhão (aproximadamente R$ 7,7 milhões).
Na atualização mais recente, o golpe do Prilex ressurgiu com uma nova abordagem maliciosa: a realização de transações fantasma. O método chama a atenção por sua sofisticação, conforme ressalta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina
“O Prilex é um golpe altamente direcionado. O grupo ronda o estabelecimento para avaliar sua movimentação, caso o alvo seja interessante, eles farão contato telefônico ou enviarão até um falso técnico para “atualizar” o sistema. O objetivo final é instalar um programa legítimo para permitir o acesso remoto do grupo e a instalação remota do Prilex” explica Assolini.
A análise da Kaspersky revelou que o Prilex também está atuando no modelo de malware como serviço (MaaS), no qual os criadores vendem o vírus para grupos que irão operacionalizar os ataques. Em 2019, foram identificadas ofertas no valor de US$ 3.500 (cerca de R$ 18.825) e, mais recentemente, foi encontrado uma suposta oferta de US$ 13.000 (cerca de R$ 69.924) – que ainda está sob apuração. “Se este novo valor se confirmar, temos um indicação forte do quão lucrativo essa nova abordagem é para os criminosos”, comenta Assolini.
Como funciona o golpe
O golpe do Prilex começa com a aplicação de táticas de engenharia social. Num primeiro momento, um golpista liga ou se apresenta pessoalmente no estabelecimento alvo como um técnico da empresa de software TEF. Ele, então, convence os funcionários a realizar uma suposta atualização de sistema no dispositivo da empresa. Mas o que será instalado, na verdade, é um programa legítimo de acesso remoto, por meio do qual a quadrilha poderá vigiar todas as operações no PC da loja, posto de gasolina ou mercado.
Em seguida, os golpistas começam a monitorar as atividades do estabelecimento. Caso o volume de vendas seja alto, ele se torna um alvo interessante para a aplicação do golpe. Nesse caso, o próximo passo dos criminosos é desinstalar o antivírus para efetuar a instalação do Prilex, que é capaz de alterar a rotina das máquinas de cartão que se conectam ao computador.
Assim, quando um cliente insere o cartão para finalizar uma compra, a primeira inserção de senha é controlada pelo malware, que rouba a chave autenticação (chamada de criptograma), gerada sempre na primeira transação. O Prilex, então, simulará um erro na operação legítima, para ela ser refeita e concluída normalmente. Como erros de conexão e autenticação nas maquininhas são comuns, nem o consumidor nem o estabelecimento percebem que ocorreu uma fraude.
De posse dos dados e da senha do cartão, os criminosos realizam compras fraudulentas usando o nome do estabelecimento legítimo e com o mesmo valor pago pelo cliente, para camuflar o golpe. Essas transações, porém, são feitas em outra máquina, registrada em nome dos criminosos. Vale ressaltar que esses ataques não são massivos, e sim direcionados a estabelecimentos pontuais, para não despertarem atenção.
Como o usuário pode se proteger
Os consumidores, vítimas finais do Prilex, infelizmente não têm nenhuma forma prática de se proteger do golpe. A fraude só pode ser comprovada após uma primeira compra “fantasma”. É possível, porém, conter danos. Para isso, o cliente deve ficar atento à fatura do cartão de crédito e identificar cobranças duplicadas. A presença de transações no mesmo valor das realizadas no estabelecimento legítimo, mas com pequenas mudanças no nome deste, como a adição de um ponto final, é um forte indício da ação do Prilex.
Caso identifique uma cobrança duplicada na fatura, o cliente deve entrar em contato com o banco o mais rápido possível. Eles terão meios para identificar a origem daquela transação e descobrir se ela é legítima ou não. Confirmado o golpe, a instituição financeira deve seguir com o processo de cancelamento do cartão e estorno do valor fraudado.
Como as empresas podem se proteger
Para donos de estabelecimentos, a primeira medida de segurança é restringir as permissões para a instalação de outros programas a profissionais especializados. “Ao fazer isso, em nenhum momento o operador de caixa vai conseguir instalar programas na máquina. Ele só vai conseguir usar o software para processar os pagamentos”, explica Assolini.
Além disso, é importante desconfiar de contatos espontâneos oferecendo atualização dos computadores, seja pessoalmente ou via telefone. Na dúvida, entre em contato com a empresa que forneceu o software TEF para se certificar de que não se trata de um golpe.
Caso o dispositivo do seu estabelecimento já tenha sido infectado com o Prilex, será necessário identificá-lo e removê-lo. Como o malware é capaz de explorar brechas de segurança e se “esconder” em outros arquivos, pode, inclusive, ser necessário formatar o computador.
FONTE: TECHTUDO