Em um post anterior, cobrimos Ram Raids, scams PIN ID, alterações automáticas de PIN, ataques SMS e malwares ATM ou software malicioso. Neste post nós cobrimos o skim Point of Sale (POS).
Os 3 tipos de skims POS
- Balconista; o mais comum é quando um atendente da loja pega seu cartão e o executa por meio de um dispositivo que copia as informações da tarja magnética. Uma vez que o ladrão tenha os dados do cartão de crédito ou débito, ele poderá fazer pedidos pelo telefone ou online ou criar um cartão clonado.
- Trocas de POS; um skim mais avançado acontece quando os criminosos se apresentam como técnicos de POS, entram em um estabelecimento de varejo e trocam os terminais POS existentes por clones que permitem o acesso remoto criminoso ao dispositivo. Os ladrões podem substituir completamente o terminal de ponto de venda de um comerciante por um dispositivo que é manipulado para gravar ou desviar dados de cartão sem fio ou simplesmente armazenar os dados até que o criminoso volte e os remova.
- Malwares POS; O skim mais sofisticado acontece quando o software POS é comprometido remotamente e hackeado quando um malware é instalado, dando aos criminosos controle total sobre os dispositivos.
Conselho de Padrões de Segurança PCI
O PCI Security Standards Council (Conselho de Padrões de Segurança PCI) fornece diretrizes projetadas para ajudar os comerciantes a armazenar e transmitir com segurança os dados da conta do cartão e evitar que caiam nas mãos de criminosos. Os varejistas que não cumprirem os padrões da PCI podem ser penalizados por fornecedores de cartão de crédito, como Visa e MasterCard.
O PCI atualiza constantemente uma série de recomendações para a prevenção de golpes de skimming. “A desnatação está se tornando um problema generalizado. Estas são diretrizes para o que os varejistas devem observar com seus dispositivos de leitura ”, diz Bob Russo, gerente geral do PCI SSC. "Discutimos diferentes técnicas para proteger esses dispositivos de ponto de venda".
As diretrizes do “Conselho de Prevenção do PCI: Melhores Práticas para Comerciantes” incluem um questionário de avaliação de risco e formulários de autoavaliação para avaliar a suscetibilidade a esses tipos de ataques e determinar onde eles precisam reforçar suas defesas. As diretrizes cobrem como educar e proteger os funcionários que lidam com os dispositivos de ponto de venda de serem segmentados, bem como formas de evitar e impedir o comprometimento desses dispositivos. Eles também detalham como identificar um leitor manipulado e o que fazer sobre ele, e como a localização física dos dispositivos e lojas pode aumentar o risco.
Como se proteger
- Examine o caixa eletrônico: isso significa que todos os caixas eletrônicos, até mesmo os do seu banco. Você também quer verificar qualquer um dos controles deslizantes do cartão, como em postos de gasolina, etc, especialmente se você estiver usando seu cartão de débito. Se o scanner não corresponder à cor e ao estilo da máquina, pode ser um skimmer. Você também deve “sacudir” o scanner de cartões para ver se há algo conectado ao leitor de cartões no caixa eletrônico.
- Cobrir o teclado ao digitar seu PIN: Para acessar suas contas bancárias, os ladrões precisam ter o número do seu cartão e o seu PIN. Ao cobrir o teclado, você evita que as câmeras e os espectadores vejam o seu PIN.
- Verifique frequentemente os extratos bancários e de cartão de crédito: se alguém obtiver suas informações, você terá 60 dias para denunciar cobranças fraudulentas à sua empresa de cartão de crédito para não ser cobrado. Para um cartão de débito, você tem apenas cerca de dois dias para denunciar qualquer atividade suspeita.
- Seja exigente: não use caixas eletrônicos em bares ou restaurantes. Estes geralmente não são monitorados e, portanto, podem ser facilmente adulterados por qualquer pessoa.