G1
Técnica conhecida como 'javascript skimming' pode usar serviços populares para burlar mecanismos de segurança adotados em lojas. Consumidor pode se prevenir com cartão virtual. Hackers exploram falhas em lojas on-line para adulterar páginas que coletam dados de pagamento. Lotus Head/Freeimages.comCriminosos estão invadindo lojas on-line e depois transmitindo dados de cartões de crédito por um canal de comunicação do Google Analytics, um serviço usado por sites na internet para mapear a própria audiência.Pelo menos três empresas de segurança – Kaspersky, Sansec e PerimeterX – identificaram sites adulterados com esse código. Nenhuma delas especificou quais endereços da web foram atacados, mas ao menos duas dezenas de empresas teriam sido vítimas dos hackers.Os hackers não usam o Analytics para invadir os sites. O papel da ferramenta do Google no ataque é burlar um mecanismo de segurança chamado de Content Security Policy (CSP), que protege o site contra alguns tipos de vazamentos de informações.Antes de chegar a esse ponto, os hackers precisaram de algum acesso aos sistemas da loja para incluir o código que registra e transmite as informações de pagamento – como número do cartão, vencimento, código de segurança e nome do titular.As empresas de segurança não informaram como isso pode ter acontecido, mas indicaram que falhas em sistemas de carrinho de compras ou o uso de extensões inseguras tenha contribuído para a ação dos criminosos.Falhas em plugins e temas piratas deixam mais de 1 milhão de sites WordPress vulneráveis a hackers"Recentemente, fomos notificados sobre essa atividade e suspendemos imediatamente as contas relacionadas por violação de nossos termos de serviço. Sempre que identificamos o uso não autorizado do Google Analytics tomamos as medidas necessárias", afirmou o Google em nota.Como acontece o ataqueApós encontrar um meio para invadir o site da loja, o hacker faz modificações na página de pagamento e inclui um código que coleta todos os dados digitados. As informações são então remetidas a uma conta do Google Analytics controlada pelos criminosos.Tudo acontece no próprio navegador do cliente da loja e não nos "bastidores" do sistema de pagamento.A tecnologia CSP restringe as conexões externas feitas pelo navegador, limitando a ação de códigos irregulares incluídos na página. Ela fornece uma lista de sites que o navegador está autorizado a contatar.O Analytics, por ser um serviço popular, costuma fazer parte do conteúdo liberado, mas essa decisão cabe a cada site. Sendo assim, as lojas podem contornar esse cenário usando uma regra específica para as páginas de pagamento, já que essas páginas normalmente não precisam ter sua audiência mapeada e o risco de permitir qualquer conteúdo externo é mais alto que em outras telas do site.Embora o uso do Analytics nessas fraudes seja considerado inédito, a adulteração de páginas de pagamento para o roubo de dados de cartões não é nova. A técnica é conhecida como "javascript skimming" e afeta sites populares pelo menos desde 2018, quando a fabricante de celular OnePlus foi afetada por um código desse tipo e revelou que 40 mil clientes tiveram seus dados roubados.Em novembro de 2019, a Visa alertou a respeito do "Pipka", um código que chamou a atenção por remover a si próprio das páginas após realizar o roubo de dados. Esse comportamento do código dificultava a identificação da fraude, que foi encontrada em 17 sites de comércio eletrônico.'Cartões virtuais' protegem contra rouboOs aplicativos das instituições emissoras de cartão muitas vezes permitem que o consumidor crie "cartões virtuais", que evitam a maior parte do prejuízo e das dores de cabeça decorrentes do roubo dos dados do cartão na web.Embora as compras feitas com o cartão virtual sejam registradas no mesmo extrato, ele é desvinculado do cartão físico. Isso significa que ele pode ser cancelado ou trocado sem que seja preciso cancelar ou trocar também o cartão físico.Cada banco ou emissora de cartão têm regras específicas para o cartão virtual. Alguns são descartáveis e valem para única compra, enquanto outros funcionam exatamente como o cartão físico, mas com um número diferente. Também há bancos que modificam periodicamente o código de verificação do cartão virtual, o que impediria o criminoso de usar as informações roubadas depois de alguns dias.Em qualquer um desses casos, o uso do cartão virtual dificulta o aproveitamento dos dados roubados. Logo que a fraude for percebida, o consumidor pode solicitar o reembolso dos pagamentos, cancelar o cartão virtual e gerar um novo, podendo voltar a realizar compras.Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com