A maior ameaça à segurança do caixa eletrônico não é a clonagem de cartões, mas a configuração incorreta
Para os crentes do velho ditado que o amor ao dinheiro é a raiz de todos os males, não é surpresa que a maioria das violações de dados seja realizada para obter ganhos financeiros. O Relatório de Investigações de Violação de Dados (DBIR) de 2016 da Verizon revela que 75% dos ataques cibernéticos parecem ter sido motivados financeiramente; basta dizer que não é surpreendente que os caixas eletrônicos estejam constantemente na mira dos invasores cibernéticos.
Quando se trata de explorações de caixas eletrônicos, no entanto, a clonagem de cartão de crédito, compreensivelmente, recebe toda a atenção da mídia: é responsável por mais de 80% das fraudes em caixas eletrônicos e, de acordo com o fascínio do público por dispositivos, a clonagem de cartões se encaixa no arquétipo do consumidor para crimes relacionados a cartões. Normalmente, um criminoso conecta um leitor de cartão falso em cima de um leitor existente, às vezes acoplado a uma câmera pinhole escondida ou teclado numérico falso para capturar as teclas digitadas pelo cliente.
Certamente, se seus dados financeiros forem roubados, eles também podem estar nas mãos de um criminoso cibernético habilidoso, equipado com equipamentos do tipo agente secreto. A última coisa que você gostaria de ouvir é que tudo se resumia a um simples erro de configuração.
Infelizmente, as configurações incorretas de caixas eletrônicos são predominantes em todo o mundo. Isso não é surpreendente, dadas as tecnologias subjacentes que impulsionam a maioria dos quiosques de caixas eletrônicos de hoje. A maioria ainda está executando o Windows 7 e o XP sob o capô e, como este banco alemão descobriu, são altamente falhos e exploráveis. A Microsoft encerrou o suporte ao Windows XP em 2014, o que significa que o sistema operacional antiquado não é corrigido há mais de dois anos. Isso invariavelmente significa que todos os caixas eletrônicos que executam o Windows XP são explorações vulneráveis de 0 dias, bem como vulnerabilidades críticas existentes, como MS08-067, uma falha que permite a execução remota de código.
Há alguns dias, a fabricante taiwanesa de computadores Acer divulgou que "uma falha" em sua loja online permitiu que hackers recuperassem quase 35.000 números de cartão de crédito, incluindo códigos de segurança e outras informações pessoais. Quão seguras são essas lojas digitais e quais são as chances de que, se você usá-las, acabe como os clientes da Acer?
Futuras ameaças de cartão dependem de configurações incorretas
Com a tecnologia EMV incorporada em novos cartões de crédito e leitores de caixas eletrônicos, o skimming baseado em cartão de tarja magnética e o roubo de dados podem se tornar uma coisa do passado. A MasterCard está dando aos proprietários de caixas eletrônicos até 1º de outubro deste ano para adotar a tecnologia de chip EMV ou correm o risco de serem responsabilizados por fraude se ocorrerem comprometimentos resultantes. A Visa também planeja aplicar regras semelhantes em outubro deste ano. A partir de agora, apenas 20% dos caixas eletrônicos dos EUA foram atualizados ou substituídos por tecnologia compatível com EMV.
Infelizmente, isso abre outra dimensão de possibilidades de roubo de dados financeiros. Bank of America, Chase e Wells Fargo anunciaram planos para atualizar seus caixas eletrônicos para dispensar dinheiro com um smartphone e aplicativo bancário, sem necessidade de cartão de caixa eletrônico. O Chase, em particular, expôs publicamente seus planos para integrar dispositivos móveis em seu novo modelo de segurança de caixas eletrônicos - sua primeira geração de máquinas atualizadas autenticará os clientes com um código exibido em seu aplicativo móvel Chase, com versões futuras utilizando NFC e serviços como Apple Pay e Samsung Pay.
Se isso não estiver disparando alarmes, considere que, até 2017, 75% das violações de segurança móvel serão causadas por configurações incorretas de aplicativos móveis. De acordo com Dionisio Zumerle, analista principal de pesquisa do Gartner:
"As violações de segurança móvel são - e continuarão a ser - o resultado de configuração incorreta e uso indevido em um nível de aplicativo, em vez de o resultado de ataques profundamente técnicos em dispositivos móveis ... Um exemplo clássico de configuração incorreta é o uso indevido de serviços de nuvem pessoal por meio de aplicativos que residem em smartphones e tablets. Quando usados para transmitir dados corporativos, esses aplicativos levam a vazamentos de dados que a organização desconhece para a maioria dos dispositivos."
Portanto, embora a atualização de caixas eletrônicos com tecnologia EMV possa conter a clonagem de cartão de crédito, as integrações de dispositivos móveis no horizonte ampliam drasticamente a superfície de ataque dos caixas eletrônicos, especialmente considerando a prevalência de violações de segurança móvel e configurações incorretas de aplicativos. A configuração incorreta é o maior culpado por trás de comprometimentos de segurança e tempo de inatividade; isso vale para todos os dispositivos de computação - desktops, servidores, roteadores, dispositivos de rede e caixas eletrônicos, baseados no Windows ou não. A plataforma de resiliência da UpGuard mantém os ativos de TI da sua infraestrutura livres de configurações incorretas, verificando todo o seu ambiente em busca de vulnerabilidades, esclarecendo as falhas de segurança da infraestrutura antes que sejam exploradas por invasores cibernéticos.