Um grupo hacker brasileiro está disseminando um malware que consegue fazer compras fantasmas em cartões de débito e crédito de vítimas. Chamado de Prilex, o vírus existe desde 2016, mas uma nova versão foi descoberta neste ano pela empresa de cibersegurança Kaspersky, que revelou seu funcionamento nesta quarta-feira (28).
O Prilex, que há alguns anos já foi usado para clonar cartões, agora tem uma versão que funciona de forma ainda mais sofisticada, clonando apenas compras específicas - o que diminui as chances do golpe ser descoberto.
Funciona assim: imagine que você fez uma compra, seja em um restaurante, posto de gasolina ou em uma loja de shopping. Ao passar o cartão, a compra é negada, fazendo com que você passe o cartão novamente. Quando o sistema de um comércio está infectado com o Prilex, é justamente isso que acontece. A primeira compra é usada pelos hackers para roubar todos os dados do cartão e a senha, enquanto a segunda é a compra legítima. Em seguida, os cibercriminosos usam essas informações para repetir a compra, mas desta vez em nome de uma empresa fantasma.
Diferentemente de sua versão anterior, o novo Prilex não clona o cartão, fazendo compras futuras. O malware clona apenas a compra na qual agiu, tornando-se ainda mais discreto. "Para o consumidor, não há nada que ele possa fazer para desconfiar do golpe. A única coisa é que a operação precisa ser feita duas vezes, mas isso é comum e pode ter outros motivos, não necessariamente se tratar de uma ação do Prilex", comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky na América Latina.
Como o Prilex se dissemina
Fabio explica que o grupo hacker invade os computadores de empresas (que ficam conectados às maquininhas de cartão) através da chamada engenharia social, técnica bastante conhecida no ramo da segurança da informação que usa, em resumo, manipulação e lábia.
Os criminosos entram em contato com uma empresa por e-mail ou ligação e fingem ser do suporte técnico da operadora da maquininha. Em seguida, eles pedem para que o funcionário conceda acesso remoto ao computador para que uma atualização seja feita. Essa atualização, na verdade, não existe. O que os hackers fazem é desabilitar o antivírus para o Prilex e instalá-lo na máquina.
O golpe, que é complexo, ainda passa por uma espécie de avaliação de mercado. Antes de colocar o malware para rodar, os hackers analisam o fluxo de caixa do estabelecimento comercial. Como apenas cada transação é roubada, é necessário que o comércio faça muitas vendas diárias em valores altos para que o crime compense. Por isso, os alvos costumam ser hotéis, postos de gasolina ou lojas muito movimentadas. Se o golpista perceber que o movimento é baixo, ele encerra o suposto suporte técnico e nem chega a instalar o malware nos sistemas da empresa. "Isso mostra o grau de profissionalismo da gangue", comenta Fabio.
Por enquanto, a Kaspersky não conseguiu identificar quantos estabelecimentos comerciais já foram atingidos pelo Prilex, mas o grupo hacker parece já estar fazendo sucesso até internacionalmente. Na internet, o malware é vendido para outros grupos hackers de fora do Brasil por ofertas na casa dos milhares de dólares.
Recentemente, uma oferta de US$ 13 mil foi identificada pela Kaspersky em um site supostamente ligado ao grupo, mas ainda não foi confirmada. "Se este valor se confirmar, temos uma indicação forte do quão lucrativa essa nova abordagem é para os criminosos", comenta Fabio.
O que é possível fazer para não cair no golpe
Do lado dos consumidores, não existem medidas de segurança que possam impedir o golpe de ser executado. O que os clientes podem fazer é ficar de olho nas transações no cartão e acionar o banco caso percebam uma duplicidade.
Do lado das empresas, porém, há muito o que ser feito. A base da invasão pelo Prilex é a engenharia social. Isso significa que o golpe não depende de uma falha no sistema para operar, mas apenas de um funcionário mal treinado em termos de cibersegurança. Isso significa que o grupo por trás do Prilex atinge o elo mais fraco da segurança de uma empresa: pessoas.
Além de treinar melhor suas equipes, Fabio aponta que as empresas também podem priorizar camadas extra de segurança, como não deixar qualquer pessoa logada no perfil de administrador. Isso impediria, por exemplo, que os hackers conseguissem desativar o antivírus remotamente. "Diante da sofisticação do grupo, não me surpreenderia se mesmo assim eles conseguissem invadir a máquina, mandando um suposto técnico presencialmente", ressalta o especialista.
De acordo com as análises da Kaspersky, o novo Prilex ainda não é capaz de clonar compras feitas por meios de aproximação, mas apenas cartões inseridos. Usar esse método mais seguro, portanto, poderia ser uma boa dica para não cair no golpe. Mais uma vez, porém, Fabio comenta sobre o alto grau de sofisticação do grupo. "Não me surpreenderia se eles arranjassem formas de clonar a compra também por aproximação".