Cibercriminosos atentos à introdução de biometria nas ATMs

A biometria é considerada pelas organizações financeiras uma das soluções mais promissoras na verificação de dados e um possível método a ser adotado em todos os terminais bancários. Esta autenticação envolve verificação de dados biológicos do cliente, como impressão digital, palma da mão e íris.

O método que os criminosos usam para obter dados de cartões de crédito teve início com simples skimmers, isto é, dispositivos caseiros conectados ao terminal para roubar informações da fita magnética e o código PIN do cartão com ajuda de webcams ou teclados falsos. Ao longo do tempo, o design desses dispositivos foi aprimorado de modo a torná-los menos perceptíveis. Com a implementação de cartões de pagamento com chip e código, a clonagem foi dificultada. Porém, não foi impossibilitada, uma vez que a evolução também migrou para os ataques, ao serem criados os ‘shimmers’ – equipamentos muito parecidos, mas capazes de recolher informações suficientes do chip do cartão para realizar ataques de retransmissão online. Em resposta, o setor bancário tem usado novas soluções de autenticação, algumas baseadas na biometria.

De acordo com pesquisa realizada pela Kaspersky Lab, no submundo do crime virtual, já existem pelo menos 12 vendedores a oferecer skimmers capazes de roubar impressões digitais das vítimas. E pelo menos três negociadores clandestinos estão a pesquisar dispositivos para obter ilegalmente dados de sistemas de reconhecimento de impressões das palmas das mãos e da íris.

A primeira remessa de skimmers biométricos passou pela fase de “testes pré-venda” em setembro de 2015. As evidências recolhidas pelos investigadores da Kaspersky Lab mostram que, durante as avaliações iniciais, foram descobertos vários bugs. No entanto, o principal problema foi o uso de módulos GSM para a transferência de dados biométricos, considerados muito lentos para o grande volume de dados obtidos. Assim, novas versões dos skimmers usarão tecnologias de transferência de dados mais rápidas.

Também há sinais de discussões em comunidades secretas que indicam o desenvolvimento de aplicações móveis baseados na colocação de máscaras sobre a face das pessoas. Com esse método, os invasores podem usar fotos de potenciais vítimas postadas nas redes sociais e usá-las para enganar os sistemas de reconhecimento facial.

“O problema da biometria é que, ao contrário das senhas ou dos códigos PIN que podem ser facilmente modificados quando afetados, é impossível alterar impressões digitais ou imagens de íris”, explica Olga Kochetova, especialista em segurança da Kaspersky Lab. “Ou seja, se as suas informações forem comprometidas, este método de autenticação já não é fiável. Por isso, é essencial manter os seus dados protegidos e partilha-los de modo seguro.”

A especialista lembra que dados biométricos também são gravados nos passaportes eletrónicos e nos vistos. “Se um invasor roubar esse documento, além da certidão física, ele também terá os dados biométricos da vítima. A identidade da pessoa é roubada”, avisa.

O uso de ferramentas capazes de comprometer dados biométricos não é a única ameaça virtual potencial aos ATM´s, segundo os investigadores da empresa de segurança, uma vez que hackers continuarão a realizar golpes como ataques baseados em malware e de rede.