Eles são antigos, equipados com sistemas operacionais desatualizados (Windows XP ou 2000) e muitas vezes têm cabos expostos e redes mal instaladas. O descuido dos bancos com os caixas eletrônicos na América Latina facilita a vida dos criminosos que investem cada vez mais em técnicas sofisticadas para roubar dinheiro destas máquinas.

O alerta foi revelado hoje pela empresa de segurança Kaspersky durante conferência que acontece em Los Cabos, no México. Segundo os dados, esta prática afeta principalmente México, Colômbia e Brasil, que foi palco para uma ação tão complexa que roubou 107 caixas eletrônicos com apenas um ataque. “A situação não é boa”, lamenta o analista sênior Fábio Assolini.

Além da má qualidade dos caixas eletrônicos, outro fator contribui para este tipo de crime: a corrupção. De acordo com Assolini, há funcionários que vazam informações confidenciais sobre o funcionamento das máquinas, detalhando o procedimento necessário para a invasão do sistema, a consequente manipulação do software – que já não tem suporte da fabricante e fica suscetível a falhas – para, enfim, obter o acesso ao dinheiro.

O passo a passo até o roubo

Houve um tempo em que os ataques eram feitos com CD’s e USB’s. Atualmente, a forma mais sofisticada de acesso ilegal aos caixas eletrônicos atende pela sigla APT em inglês, (Ameaça Persistente Avançada, na tradução livre). Ela pode acontecer de duas formas, externa ou interna, sendo que no primeiro caso a programação maliciosa das máquinas é feita geralmente a partir de dados vazados. Já no segundo, conhecido como ataque dirigido, o processo é mais complexo.

Após uma análise minuciosa das atividades de um banco, os ataques dirigidos se infiltram na rede da empresa usando iscas aparentemente inofensivas, como e-mails acompanhados de arquivos comuns anexados. Estes arquivos, quando abertos, exploram uma vulnerabilidade no software instalado na máquina do funcionário escolhido como “porta de entrada” da ação. “O ataque vai ser pensado e vai mirar quem não costuma ter conhecimento técnico, por exemplo o pessoal do RH ou do administrativo”, explica o analista. 

Uma vez infectado o computador do funcionário, começa uma outra etapa chamada “movimento lateral”, quando o vírus “pula de galho em galho” até alcançar o alvo na empresa que detém as informações desejadas. A partir daí, devidamente infiltrado, o criminoso aprende o funcionamento do software e expande a atuação para a rede de caixas eletrônicos do banco, infectando-os individualmente ou de maneira generalizada.

Um dos casos mais famosos envolvendo este método foi descoberto no ano passado. Um grupo chamado Carbanak aplicou o passo a passo citado acima para programar caixas eletrônicos para que eles liberassem dinheiro sem qualquer comando físico. “O criminoso chegou próximo do caixa, com a mochila e o telefone celular, e, sem encostar em nada, o caixa eletrônico a começou a ‘cuspir’ dinheiro. Parece coisa de filme”, descreve Assolini. O resutado da ação foi um roubo expressivo de US$ 1 bilhão. 

Brasil à frente

Apesar das crescentes ameaças, o Brasil é considerado o mercado mais maduro da América Latina no combate às fraudes online. “Eles [os bancos brasileiros] continuam usando sistemas antigos, mas tentam contornar o problema protegendo o caixa eletrônico com um software específico para limitar execuções pré-aprovadas. E isso tem sido suficiente”, analisa. As estatísticas são favoráveis: embora tenha mais caixas eletrônicos instalados que o México, o Brasil contabiliza menos ataques que o vizinho.

Para piorar o cenário, o tema é velado no Brasil. Segundo Assolini, os bancos controlam as informações relacionadas aos casos de roubo e dificultam os estudos acerca do assunto. Já os cibercriminosos, por sua vez, fazem a licão de casa e mantêm-se constantemente atualizados sobre as técnicas de ataque, em contato com correspondentes europeus nos fóruns online – geralmente de forma anônima. Entretanto, é possível encontrar na internet equipamentos à venda para facilitar os golpes externos.

Perigo à vista 

Engana-se quem acha que o roubo de caixas eletrônicos pode causar dor de cabeça apenas aos bancos. Segundo Assolini, há uma nova ameaça na Europa, chamada Skimmer, que repete todo o processo mencionado acima e ainda clona os cartões dos clientes que usam as máquinas. E, segundo ele, ela está a caminho do Brasil. 

*O jornalista viajou a convite da Kaspersky