Técnica conhecida como 'javascript skimming' pode usar serviços populares para burlar mecanismos de segurança adotados em lojas. Consumidor pode se prevenir com cartão virtual.
Algumas empresas como a Kaspersky identificaram sites adulterados com esse código. Nenhuma delas especificou quais endereços da web foram atacados, mas ao menos duas dezenas de empresas teriam sido vítimas dos hackers.
Antes de chegar a esse ponto, os hackers precisaram de algum acesso aos sistemas da loja para incluir o código que registra e transmite as informações de pagamento – como número do cartão, vencimento, código de segurança e nome do titular.
As empresas de segurança não informaram como isso pode ter acontecido, mas indicaram que falhas em sistemas de carrinho de compras ou o uso de extensões inseguras tenha contribuído para a ação dos criminosos.
"Recentemente, fomos notificados sobre essa atividade e suspendemos imediatamente as contas relacionadas por violação de nossos termos de serviço. Sempre que identificamos o uso não autorizado do Google Analytics tomamos as medidas necessárias", afirmou o Google em nota.
Como acontece o ataque
Após encontrar um meio para invadir o site da loja, o hacker faz modificações na página de pagamento e inclui um código que coleta todos os dados digitados. As informações são então remetidas a uma conta do Google Analytics controlada pelos criminosos.
O Analytics, por ser um serviço popular, costuma fazer parte do conteúdo liberado, mas essa decisão cabe a cada site. Sendo assim, as lojas podem contornar esse cenário usando uma regra específica para as páginas de pagamento, já que essas páginas normalmente não precisam ter sua audiência mapeada e o risco de permitir qualquer conteúdo externo é mais alto que em outras telas do site.
'Cartões virtuais' protegem contra roubo
Os aplicativos das instituições emissoras de cartão muitas vezes permitem que o consumidor crie "cartões virtuais", que evitam a maior parte do prejuízo e das dores de cabeça decorrentes do roubo dos dados do cartão na web.
Embora as compras feitas com o cartão virtual sejam registradas no mesmo extrato, ele é desvinculado do cartão físico. Isso significa que ele pode ser cancelado ou trocado sem que seja preciso cancelar ou trocar também o cartão físico.
Cada banco ou emissora de cartão têm regras específicas para o cartão virtual. Alguns são descartáveis e valem para única compra, enquanto outros funcionam exatamente como o cartão físico, mas com um número diferente. Também há bancos que modificam periodicamente o código de verificação do cartão virtual, o que impediria o criminoso de usar as informações roubadas depois de alguns dias.
Logo que a fraude for percebida, o consumidor pode solicitar o reembolso dos pagamentos, cancelar o cartão virtual e gerar um novo, podendo voltar a realizar compras.
Cinco Principais Ameaças de Cibersegurança para Empresas
Brasiline Rumo à Excelência em Segurança da Informação e Privacidade de Dados
