Totens de autoatendimento estão se tornando cada vez mais comuns. Restaurantes, lojas de departamento e até mesmo sistemas de transporte usam terminais individuais para usuários realizarem transações financeiras sem precisar de auxílio de atendentes. Se por um lado esse tipo de serviço oferece uma facilidade para consumidores, por outro eles são perigosos e vulneráveis a fraudes.

É o que dizem pesquisadores de segurança da companhia Kaspersky. Algumas redes de restaurantes fast-food, como o McDonalds, e também redes de supermercados, como o Carrefour, adicionaram recentemente opções de autoatendimento para consumidores em algumas unidades. No caso do McDonalds, o usuário escolhe o lanche que vai ser comprado a partir de um totem com tela sensível ao toque, pode adicionar ou remover ingredientes e faz o pagamento por conta própria usando o cartão de crédito ou débito, sem precisar em momento algum falar com algum funcionário do estabelecimento.

De acordo com Thiago Marques, analista de segurança da Kaspersky, esses terminais de autoatendimentos são inseguros. O pesquisador diz não conhecer ainda casos específicos de cibercriminosos que atacaram esses totens, mas a possibilidade disso acontecer é real, e o esforço para isso não é muito maior do que para hackear um ponto de venda convencional – aquele que tem um humano na frente de um computador.

E casos de pontos de vendas hackeados já existem. No começo do ano, hackers brasileiros por trás de um malware chamado Prilex realizaram diversos ataques a computadores ligados a sistemas de vendas. Com isso, eles conseguiram roubar informações de cartões de crédito que foram usados para transações – o volume de compras pode ser bem alto, o que garante uma quantidade imensa de cartões comprometidos e que agora estão nas mãos dos criminosos. Com esses dados em mãos, os criminosos podem tanto revender cartões de crédito quanto usá-los por conta própria.

Expandir um ataque desses para um totem de autoatendimento não é nada difícil. “A instalação de um malware é mais fácil em autoatendimento do que em um caixa, mas os criminosos conseguem instalar equipamentos falsos mesmo com pessoas passando por perto”, explicou Marques.

Os ataques a totens podem ser feitos de diversas maneiras. Esses terminais são computadores – muitos deles rodam Windows, e nem sempre versões atualizadas do sistema da Microsoft. Assim, uma vulnerabilidade que não tenha sido corrigida pode representar já uma ameaça.

Mas é possível que a invasão seja feita de outras formas: uma porta USB, por exemplo, pode ser usada para conectar um equipamento falso que desvie informações. Ou então, caso o terminal esteja conectado a uma rede Wi-Fi, ela pode ser invadida. Mesmo uma rede cabeada representa algum risco. Como esses terminais precisam estar conectados a redes para funcionarem, eles sempre estão vulneráveis, e caso as empresas responsáveis não garantam a segurança, eles podem sim representar riscos para usuários.

Para o usuário comum, pouca coisa pode ser feita. É difícil sugerir que as pessoas parem de usar cartão de crédito, por exemplo – em algum momento ele pode ser extremamente necessário. “Quem precisa levar a segurança a sério é quem instala o autoatendimento”, disse o pesquisador de segurança. “Não é só colocar para o usuário e esquecer que existe. Tem que saber que tem riscos. O totem ajuda muito no dia a dia, mas precisa ser levado a sério e as empresas não se preocupam o suficiente com isso”, disse o pesquisador.