Há 49 anos atrás, caso precisasse de dinheiro em espécie teria que ir ao seu banco e pedir a um executivo no balcão de atendimento. No entanto, em 27 de junho de 1967 tudo isso mudou, e os cidadãos de Londres tiveram pela primeira vez a oportunidade de retirar fundos de suas contas por meio de uma nova máquina especializada, que mais tarde ficou conhecida como caixa eletrônico (em inglês, automated teller machine ou ATM).

Desde então, essa tecnologia se espalhou pelo mundo, contando com aproximadamente três milhões de máquinas e outras 280 que são instaladas diariamente.

No entanto, além de proporcionar comodidade e conveniência aos usuários, os caixas eletrônicos se transformaram em um foco de atenção para os cibercriminosos. Com lugar para milhares de cédulas, o ganho potencial para roubar uma máquina é tão alto que os criminosos ainda tentam, por meio de força bruta, realizar o esvaziamento dos equipamentos. E estou falando de força bruta no sentido literal: retirando da parede, arrombando ou explodindo o equipamento.

ATM-cash-machine-security-1-768x432

Fonte: ABC News

Outros preferem métodos mais sofisticados, como construir e instalar peças falsas para as máquinas que são difíceis de detectar, conhecidas como skimmers, e que inclusive contém painéis, teclados, slots para ingressar cartões e câmeras escondidas.

ATM-cash-machine-security-2-768x695

Fonte: FBI

Quando os cibercriminosos tem êxito na ação, podem usar os dados obtidos para representar suas vítimas, esvaziar suas contas ou vender as informações de forma online para outros atacantes. No entanto, esta última opção já não é muito lucrativa considerando que os preços dos dados de cartões têm aumentado: passaram de centenas de dólares por cada cartão corporativo, em 2010, para apenas alguns dólares atualmente.

Por último, mas não menos importante, também existem atacantes que incidem sobre falhas de software dos caixas eletrônicos. Infelizmente, burlar a segurança é, às vezes, mais fácil do que deveria ser, especialmente porque muitos continuam usando software desatualizado como o Windows XP ou Windows XP Embedded (eram 95% de todos os caixas eletrônicos no mundo, em 2014).

Conforme relatado pelo especialista em segurança Brian Krebs em uma série de textos, os cibercriminosos estão usando vários truques para sacar dinheiro das máquinas. Um deles é conectar-se por meio das entradas USB escondidas por trás da cobertura externa para, em seguida, instalar um malware que fará com que o dinheiro saia. Alguns caixas ainda executam qualquer coisa que esteja em um USB conectado ao equipamento e, por isso, podem ser facilmente infectados.

No ano passado, os skimmers também implementaram um novo tipo de ataque, chamado “caixa preta” (“black box”). Depois de desligar o dispensador de dinheiro do núcleo da máquina, conectando seu próprio computador, é possível enviar comandos fraudulentos que dispensam o dinheiro do equipamento. Outra técnica observada foi o uso malicioso da conexão à Internet ou do cabo de telefone da máquina para executar ataques Man-In-The-Middle, interceptando a informação online dos clientes enquanto viajam.

Então, o que isso significa para você como usuário regular de caixas eletrônicos? As técnicas que exploram o hardware são as mais comuns, por isso, é importante conhecê-las para saber como detectá-las. Para fazer isso de forma mais fácil, reunimos algumas dicas fornecidas pelos bancos.

Segurança em caixas eletrônicos: 5 dicas para evitar scams

  1. Olhe ao seu redor e certifique-se de que as pessoas na fila atrás de você estão dentro de uma distância razoável.
  2. Verifique o caixa antes de utilizá-lo. Se você observar algo suspeito ou fora do lugar, como peças soltas, resíduos de fita ou outros danos visíveis, evite usá-lo e entre em contato com o banco que o administra. Tenha muito cuidado com equipamentos em destinos turísticos populares ou com aquelas máquinas que estão na calçada, porque muitas vezes são alvos de cibercriminosos.
  3. Cubra o teclado quando estiver inserindo sua senha. Desta forma é possível protegê-la de câmeras escondidas ou dispositivos que possam estar gravando.
  4. Opte por um caixa eletrônico interno sempre que possível, já que (pelo menos quando a porta está fechada) o acesso costuma ser exclusivo para clientes com cartão em mãos. Assim, os cibercriminosos que queiram instalar skimmers terão menos possibilidades (embora não sejam nulas, claro).
  5. Se a máquina não realiza o saque de dinheiro, não devolve o cartão depois da transação ou depois de pressionar “cancelar”, entre em contato com o banco ou entidade financeira que o emitiu.