Com a chegada de mais um fim de ano e o iminente pagamento do décimo terceiro salário para grande parte da população, o comércio é acometido por um frenesi diante das expectativas em relação ao Natal. De forma análoga, cresce também o anseio de criminosos pela prática de fraudes e golpes em meios de pagamento, sobretudo os que envolvem cartões de crédito.
Com o intuito de eliminar (ou mitigar) as fraudes, a Europay, a Mastercard e a Visa se uniram a quase 20 anos atrás para criar um conjunto de normas e boas práticas visando a segurança e interoperabilidade dos pagamentos com cartões, conhecido como padrão EMV. Com o advento do EMV, diversos países, entre eles o Brasil, passaram a substituir os clássicos cartões magnéticos pelos “inteligentes e invioláveis” cartões de chip. Um dos principais aliados desta tecnologia é a exigência de uma senha para validação da compra, procedimento aparentemente mais confiável do que a autenticação por assinatura, exigida pelos cartões magnéticos.
Uma recente reportagem do programa Fantástico da Rede Globo, porém, surpreendeu grande parte dos brasileiros ao noticiar um golpe envolvendo cartões de chip. Na fraude em questão, os criminosos substituem a leitora de cartões do estabelecimento por outra leitora adulterada por eles. Quando os comerciantes realizam uma transação utilizando os cartões de seus clientes na máquina adulterada, a quadrilha capta os dados “não criptografados” desta transação, os copia para cartões “virgens”.
Antes de você pensar em quebrar seu cartão, é importante esclarecer que, de fato, os cartões com chip são seguros. Estes funcionam como um “pequeno computador” capazes de armazenar informações de autenticação, desempenhar validações de segurança e se comunicar de forma criptografada com os terminais/operadoras. No caso divulgado pelo programa Fantástico não ficou evidenciado uma clonagem do cartão, ou seja, o cartão falso não era exatamente igual ao cartão original. A estratégia provavelmente utilizada pelos criminosos ao plantar no estabelecimento uma máquina adulterada, foi a de captar dados de uma transação realizada neste terminal para reutilizar estes mesmos dados em outras transações.
Todavia, se os bancos em questão tivessem adotado de forma correta o recomendado pelo padrão EMV, tal modalidade de fraude não seria possível. Segundo as boas práticas EMV, por exemplo, cada transação possui um número único, ou seja mesmo se os criminosos obtiverem acesso as informações de alguma transação, não poderiam reutiliza-las, pois seria identificado pelo banco/operadora que o código da transação seria “repetido” e a mesma não seria autorizada.
Existe, porém, um grande número de bancos (no Brasil e no exterior) que ainda não adotaram em sua plenitude as normas de segurança EMV. Muitos bancos, por exemplo, não checam os dados de validação criptografados que recebem das leitoras, não utilizando assim, todos os mecanismos de autenticação e validação recomendados.
Ou seja, os hackers não estão quebrando a criptografia dos cartões de chip e sim aproveitando as falhas dos bancos na implementação do EMV.
Buscando tranquilizar a população, principalmente em uma data tão próxima ao natal, o diretor da FEBRABAN, Adriano Volpini, afirma que todas estas brechas já foram sanadas durante o ano de 2014, quando os bancos aplicaram o que ele chamou de “Segurança Máxima” em seus sistemas. É o que todos esperamos!
Tecnologia e Segurança da informação, pelo Diretor de Operações da FNC IT, Rodrigo Nascimento.