Quão seguros são os ATMs?

As burlas a ATMs estão a tornar-se mais sofisticadas, com os assaltantes a encontrarem formas de roubar dinheiro por via de ataques informáticos. Mas, afinal, quão seguras são as caixas multibanco?

Os assaltos a terminais multibanco são um crime comum. No Google, pesquisando por “explosão” e “multibanco”, encontramos dezenas de notícias de assaltantes que usaram gás para arrombar os cofres e levar as gavetas com dinheiro. Mas os assaltos com recurso a explosões falham muitas vezes, resultando, ainda assim, em avultados prejuízos no espaço em redor.

Essa será uma das razões pelas quais os burlões têm adotado técnicas mais sofisticadas para roubar dinheiro. No final de novembro, foi notícia que hackers estão a conseguir invadir terminais em vários países da Europa, programando os aparelhos para cuspirem dinheiro de forma descontrolada. O problema chegou a Espanha e pode ser encarado como um alerta para a proliferação de ataques informáticos a estes terminais bancários.

“Os métodos criminais estão a passar de ataques físicos para os designados ataques lógicos.” A indicação é da empresa de segurança informática Kaspersky e faz parte de um relatório sobre segurança dos ATMs e sistemas de autenticação, como é o caso dos cartões de débito. O objetivo é quase sempre o mesmo: roubar dinheiro. Por isso, a firma divide as perdas em diretas e indiretas — respetivamente, quando os burlões roubam as notas diretamente das caixas, ou quando, por exemplo, conseguem dados dos cartões dos clientes e os usam para consumar os crimes.

Os métodos criminais estão a passar de ataques físicos para ataques lógicos. Os burlões podem, assim, esconder o ataque por mais tempo e aumentar o tamanho das perdas.

Kaspersky

O especialista espanhol José Selvi, da equipa de pesquisa e análise da Kaspersky, confessa ao ECO que, “infelizmente, deparamo-nos com este tipo de situações com mais frequência do que devia ser”. Recorda-nos que os ATMs não são mais do que “computadores ligados a hardware específico, como uma impressora e uma gaveta de dinheiro”. E que, apesar de os bancos “se esforçarem” para os manter seguros, os atacantes são, muitas vezes, capazes de “contornar essas medidas de segurança”.

Mas como? Há duas formas principais. Ou através do hardware ou através do software. Ou, por outras palavras, por via do acesso físico e da manipulação dos terminais, ou por via da “rede interna dos bancos”, explica o especialista por e-mail. No primeiro caso, o atacante pode controlar o aparelho depois de conectar ao ATM um dispositivo comprometido. Não é fácil, mas a empresa de segurança prevê que é uma técnica que vai ser cada vez mais usada no futuro.

No entanto, “devemos considerar que todos os problemas possíveis com ataques a componentes de hardware são possíveis por via de software“, refere o relatório da Kaspersky. São até “mais fáceis” de executar, uma vez que os atacantes podem identificar vulnerabilidades emulando todos os componentes antes de partirem para a ação. Quão fáceis? Não muito: “Os ATMs não estão, por norma, ligados à internet“, sublinha José Selvi. Funcionam em redes internas. Uma espécie de internet privada. E por razões de segurança, essa rede não está diretamente ligada à internet.

Aliás, nem precisa. Mas está ligada à tal rede interna dos bancos que, por sua vez, poderá ter algum tipo de exposição à internet. Abaixo, um esquema básico da estrutura de uma rede bancária, com a indicação, a vermelho, daqueles que são os pontos preferidos dos atacantes — ainda que todos os elementos indicados na infografia sejam “de interesse”, segundo a Kaspersky. Uns são, porém, mais vulneráveis do que outros.

Pontos preferidos dos atacantesRaquel Martins e Telmo Fonseca/ECO

A principal causa? Negligência

Chegados aqui, importa entender que quando se ergue uma estrutura, a ideia é que ela não caia. O mesmo se passa com uma rede informática: é feita para ser segura e íntegra. Mas nenhum sistema é cem por cento seguro e os acidentes acontecem. Muitas vezes, por um simples motivo: negligência. Pelo relatório da Kaspersky, é possível distinguir dois tipos de negligência: a dos fabricantes dos ATMs e a dos trabalhadores da banca.

Vamos por partes. Da mesma forma que um cirurgião pode deixar um bisturi no interior do paciente, um programador pode, sem querer, deixar no sistema do ATM partes de código informático que podem ser exploradas de forma maliciosa. Isto por um lado. Porque, por outro, um funcionário com acesso à rede do banco também pode, de forma negligente, deixar que o seu computador seja infetado por vírus e, assim, servir de porta de entrada dos hackers para a rede de ATMs.

As caixas multibanco não são mais do que computadores Windows com programas e equipamento específico. Também podem falhar
As caixas multibanco não são mais do que computadores Windows com programas e equipamento específico. E como qualquer computador, também podem falhar.Emanuel Miranda, D.R.

Segundo a Kaspersky, os ataques a ATMs com recurso a vírus informáticos da família “Skimer” foram muito comuns entre 2010 e 2013 e “empregam um profundo conhecimento da arquitetura e hardware dos ATMs”. Em 2014, foi descoberta pela empresa uma nova família de vírus, batizada de “Tyupkin”, que se tornou na mais popular. Entretanto, já há mais de 49 estirpes desse vírus, garante a Kaspersky. A grande maioria com a finalidade de roubar dinheiro dos terminais.

Mas quem está por trás disto? José Selvi explica que, por norma, estes ataques “estão relacionados com redes criminosas e máfias”. “São normalmente organizações estruturadas onde cada grupo tem um papel específico. Uns desenvolvem os vírus, outros comprometem os sistemas e, finalmente, outros grupos roubam o dinheiro e começam o processo de lavagem, como acontece noutras redes criminosas tradicionais”, refere.

Não vimos nenhum ataque [em Portugal] recentemente, mas isso não significa que não esteja a acontecer.

José Selvi

Equipa de pesquisa e análise da Kaspersky em Espanha

Cartões e pagamentos digitais

Falar de ATMs também é falar de métodos de autenticação. Em Portugal, na rede multibanco da SIBS, o método utilizado é o cartão de débito, com chips ou com as antigas bandas magnéticas. Essa evolução levou a uma “melhoria em termos de segurança”, garante ao ECO José Selvi. O sistema de cartões bancários é, “hoje em dia, muito melhor do que dantes”, defende. “O antigo sistema de bandas magnéticas era realmente inseguro, pois era fácil clonar um cartão bancário e usá-lo de diversas formas.” Selvi alerta também que ainda há países a recorrerem amplamente a esse sistema analógico, já antiquado, embora o chip já seja a tecnologia de eleição.

A verdade é que, sejam de crédito ou débito, os cartões sempre foram bastante apetecíveis para os atacantes, na medida em que podem servir para roubar dinheiro. Estes últimos, os de débito, são mesmo a chave para os cofres dos ATMs (em certa medida). Existirão mesmo redes que se dedicam a roubar dados de cartões para, depois, venderem essas informações no mercado negro, sob a forma de bases de dados — e lucrando, de forma indireta, com essa atividade. É por isso que a Kaspersky diz ser importante monitorizar essa atividade, para detetar mais cedo os casos de roubo, fraude ou brecha de informação.

A ganhar terreno estão também os cartões que suportam pagamentos contactless, isto é, permitem pagar uma compra aproximando o cartão do terminal. Não estão diretamente relacionados com os ATMs, é certo. Pelo menos em Portugal. Mas enquanto empresas como a MasterCard garantem que é uma tecnologia “tão ou mais segura que outras formas” de pagamento (como disse ao ECO, por e-mail, Carlo Enrico, presidente da MasterCard para a Europa Ocidental), o facto de não ser preciso um código PIN para autorizar uma transferência tem deixado muita gente de pé atrás.

Em conversa com o ECO, um perito em informática confessava alguma desconfiança em relação à segurança deste método de pagamento. Preocupação que se espelha também no relatório da Kaspersky, na base desta reportagem. Segundo os investigadores da empresa, um atacante pode preparar um terminal contactless comprometido e, no meio da multidão, ir fazendo leituras dos cartões das pessoas que com ele se cruzam — como, por exemplo, no metro. As informações recolhidas podem, depois, ser compiladas e postas à venda no mercado negro — como na deep web, uma parte da internet inacessível à generalidade da população. Além disso, as transferências fazem-se muitas vezes por bitcoin e são anónimas, dificultando o trabalho das autoridades.

Chegados aqui, resta responder à pergunta do título: quão seguros são, afinal, os ATMs? E a resposta é: não totalmente. Têm vulnerabilidades como qualquer outro sistema. Como utilizador normal, o que pode fazer? Foi o que o ECO perguntou a José Selvi: “Como utilizador, pode tentar detetar manipulações físicas nos ATMs. É melhor usar ATMs dentro de estabelecimentos, porque estão geralmente melhor protegidos do que os da rua. Deve também verificar a conta bancária com frequência e informar o banco e as autoridades se detetar algo suspeito”, indica o especialista.

"É melhor usar ATMs dentro de estabelecimentos, porque estão geralmente melhor protegidos do que os da rua.”

José Selvi

Especialista da Kaspersky

Se quiser dar um passo mais além, também há pequenas coisas que pode fazer: “Alguns bancos oferecem proteções adicionais. Por exemplo, alguns permitem manter o cartão de crédito desativado e só o ativar através de uma aplicação móvel. Isso torna o processo altamente dependente do seu telemóvel, mas aumenta a segurança”, conclui.

Fotografia: Paula Nunes

Assine o ECO Premium

No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.

De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.

Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.

Comentários ({{ total }})

Quão seguros são os ATMs?

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião