Quão seguros são os ATMs de hoje?

O artigo a seguir explica os recursos de segurança dos caixas eletrônicos modernos e responde a perguntas de segurança e prevenção de fraudes para redes ATM.

Quão seguros são os ATMs de hoje?
Segurança dos ATMs e sistemas de autenticação.

Uma das principais preocupações dos clientes dos bancos e das instituições financeiras é a segurança dos ATMs.

Com os criminosos se tornando mais proeminentes na indústria financeira, os bancos precisam instalar precauções de segurança mais fortes não apenas para seus negócios, mas também para proteger as informações pessoais e contas bancárias de seus clientes.

Como funciona um ATM?

No sentido mais amplo, um caixa eletrônico funciona aceitando um pedido de dinheiro de um usuário, verificando a autoridade do usuário para acessar uma determinada conta bancária, garantindo que a conta tenha dinheiro suficiente para atender o pedido e distribuindo o dinheiro - tudo sem a assistência de um funcionário ou caixa do banco.

Desde o início, até o primeiro ATM colocado em uso em Londres em 1967, a identidade do usuário era o principal problema que os bancos precisavam resolver. Em vez do cartão plástico de hoje com uma tira magnética e um microchip embutido, a primeira máquina aceitou um pedaço de papel com uma substância levemente radioativa - carbono-14 - impresso nele em um padrão específico. A máquina combinava o padrão com um código numérico inserido pelo usuário. Se coincidisse, e se os fundos estivessem disponíveis, a máquina distribuía até £10 (uma quantia que hoje vale pouco mais de US$200).

Ao usar caixas eletrônicos modernos, um cliente insere um cartão de plástico no leitor da máquina, que registra os dados codificados na tira magnética do cartão ou em seu chip incorporado. Ele pede ao cliente um número de identificação pessoal, geralmente chamado de PIN, geralmente de quatro ou seis dígitos.

Se o cartão e o PIN coincidirem, então o cliente pode depositar dinheiro, verificar o saldo de uma conta ou, mais comumente, solicitar uma retirada de dinheiro. Quando o cliente especifica uma quantia de dinheiro, a máquina usa uma conexão de internet ou uma linha telefônica para se conectar ao banco do cliente, verificando se os fundos estão disponíveis e distribuindo o dinheiro.

Que problemas de segurança têm os ATMs?

Porque os ATMs contêm grandes quantidades de dinheiro, eles são alvos atraentes para os criminosos. Os roubos mais descarados envolveram o roubo físico do ATM como um todo, embora os assaltantes também tenham abordado os usuários do ATM, que, sem surpresa, são susceptíveis de estar carregando dinheiro. Como resultado, a maioria dos caixas eletrônicos hoje em dia tem câmeras embutidas, para registrar evidências em caso de um assalto ou outro crime, ou para monitorar pessoas que possam estar adulterando a máquina.

Um roubo mais sofisticado envolve monitorar secretamente o dispositivo e seus usuários. Ladrões podem instalar pequenas câmeras em diferentes lugares em um caixa eletrônico, às vezes escondidas por painéis de plástico que parecem peças normais da máquina. Com isso, eles podem capturar o número do cartão, sua data de validade, o nome no cartão e até mesmo o número do valor de verificação do cartão de três dígitos (CVV) no verso. Essas são informações mais do que suficientes para usar o cartão para fazer com que as compras on-line não autorizadas pareçam legítimas. Os fraudadores também podem vender os dados em mercados negros online.

Instalando slots de cartão falsos, ou mesmo anexos extras (chamados de "skimmers") em cima do slot de cartão existente, os atacantes podem ler as informações nas tiras magnéticas dos cartões. Isso pode ajudá-los a fazer falsos cartões duplicados para usar em outros ATMs.

Câmeras ocultas também permitem que os ladrões vejam os usuários inserirem seus PINs. Um estudo recente descobriu que uma câmera térmica também pode capturar PINs, identificando quais teclas numéricas estão ligeiramente aquecidas, porque foram pressionadas pelo usuário. Especificamente, os pesquisadores descobriram que a precisão da detecção de PIN poderia ser de até 78 por cento quando os traços de calor no teclado são capturados dentro de 30 segundos após a autenticação. Um estudo semelhante revela que foi possível encontrar todos os quatro dígitos do PIN a uma distância de 35 centímetros e se a câmera térmica foi colocada em um ângulo entre 30 e 45 graus. No entanto, era muito mais difícil identificar a seqüência correta dos dígitos.

Os caixas eletrônicos podem ser pirateados?

Criminosos experientes em tecnologia têm várias opções para hackear caixas eletrônicos. Os invólucros externos dos ATMs frequentemente escondem portas USB ocultas, usadas para manutenção e atualização de software. Se um atacante pode localizar a porta oculta, ele pode inserir uma unidade USB portátil com um programa malicioso instalado, assumindo o controle da máquina. Isso permite essencialmente que o atacante dispense dinheiro sem usar um cartão.

Alguns anos atrás, um novo ataque se tornou popular. Chamado de ataque de "caixa preta" pela polícia, o roubo envolve fazer buracos na caixa do caixa eletrônico e desconectar fisicamente os cabos entre o computador e o mecanismo que realmente distribui o dinheiro. Conectar outro computador aos controles do caixa eletrônico permite que um atacante ordene que ele libere grandes quantidades de dinheiro.

A conexão de telecomunicações do ATM oferece outros meios de ataque. Interceptando comunicações entre a máquina e o banco, um atacante pode coletar dados úteis de cartão e conta. Isso também pode oferecer uma maneira de instalar remotamente software malicioso e assumir o controle da própria máquina: por exemplo, emitir comandos para distribuir dinheiro.

Que medidas de segurança são ou podem ser aplicadas?

A fraude e o roubo relacionados ao ATM não podem ser completamente evitados. Os bancos estão trabalhando para desenvolver medidas de segurança adicionais, como o CVV de três dígitos no verso dos cartões. As pessoas também podem tomar medidas preventivas para se protegerem quando usam ATMs:

Se o seu banco os emitir, use um cartão habilitado para chip. Eles oferecem maior segurança ao verificar se o cartão físico é genuíno, e não uma duplicata falsa.

Muitas vezes é mais seguro usar um caixa eletrônico interno, em vez de um diretamente na rua, que pode ser acessado mais facilmente por criminosos antes ou depois de sua transação.

Verifique o caixa eletrônico para ver se ele parece ter sido fisicamente alterado ou danificado, se algo está ligado ao leitor de cartão embutido (para ler a tira magnética) ou se há alguma câmera pequena ao redor do teclado. Evite usá-lo se algo parecer suspeito.

Tenha cuidado com o ambiente ao seu redor e com as pessoas na área do caixa eletrônico. Uma pessoa atrás de você na fila pode estar tentando vislumbrar o PIN que você digita no teclado.

Cubra o teclado ao digitar seu PIN para que nenhum observador ou câmera espiã possa vê-lo.

Se você digitar o PIN correto, mas a transação falhar, entre em contato imediatamente com o banco que emitiu o cartão para avisá-los de que pode haver um problema com a máquina ou sua conta.

Como as novas tecnologias podem tornar os caixas eletrônicos mais seguros?

À medida que a corrida armamentista entre profissionais de segurança de caixas eletrônicos e criminosos continua, os clientes serão incentivados a usar métodos de segurança cada vez mais avançados para se identificar em caixas eletrônicos. Um método é a autenticação de dois fatores, que adiciona uma camada adicional de segurança que um usuário deve passar antes de ter acesso a uma conta.

Frequentemente usada ao fazer login em serviços on-line, como redes sociais e sistemas de e-mail, a autenticação de dois fatores envolveu mais comumente a digitação não apenas do PIN, mas também de um código numérico recebido por mensagem de texto no telefone do usuário e válido por apenas um curto período de tempo.

Esse método, que não é mais considerado seguro porque é tão fácil simular falsamente números de celulares, está sendo eliminado gradualmente em favor de aplicativos de smartphone que geram novos códigos a cada poucos segundos - ou mesmo chaves físicas. Sem esse código único, um atacante não pode acessar a conta bancária da vítima.

Métodos futuros de autenticação de usuários em caixas eletrônicos provavelmente envolvem biometria, como impressões digitais, que podem aumentar - ou até mesmo substituir - os cartões e PINs que levaram bancos e usuários aos últimos 50 anos de operações bancárias automatizadas.

Fonte: The Conversation