O grupo de cibercriminosos brasileiro, Prilex, aprimorou seu malware de mesmo nome para fazer transações fantasmas e bloquear os pagamentos por aproximação, forçando o usuário a inserir seu cartão na máquina, na qual acontece a fraude.

A descoberta foi feita por pesquisadores da Kaspersky, que detectaram novas modificações do malware usado pelos criminosos.

O Prilex é um grupo conhecido por realizar fraudes financeiras usando maquininhas de cartão modificadas pelos criminosos. No carnaval de 2016, o grupo também foi responsável pelo ataque hacker a um banco brasileiro que infectou mais de 1.000 máquinas de cartão e clonou 28.000 cartões de crédito.

Como funciona golpe que bloqueia pagamentos por aproximação

A descoberta, divulgada nesta terça-feira (31), revela que a nova modalidade desse tipo de fraude inclui o bloqueio de transações por aproximação – incluindo cartões, celulares e smartwatches – e exibe uma mensagem na máquina: “ERRO APROXIMACAO INSIRA O CARTÃO”.

Dessa forma, o usuário é forçado a realizar o pagamento inserindo o cartão e digitando a senha. Ao colocar o cartão, a máquina infectada com o malware realiza transações fantasmas (“GHOST”).

Além disso, a nova técnica usada pelos cibercriminosos, permite captar informações sobre cartão e diferenciar cartões de crédito corporativos com limites altos.

Para Fábio Assolini, chefe da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky, a nova tática de bloquear o pagamento por cartões de crédito mostra que o Prilex é um grupo criativo e tem conhecimento sobre os meios de pagamento mais usados.

“Os pagamentos por aproximação fazem parte de nossa rotina e as estatísticas mostram que o segmento de varejo lidera a lista com uma participação superior a 59% da receita global de pagamentos contactless em 2021”, observa Assolini.

Como funciona o golpe

Quando o usuário realiza o pagamento por cartão de crédito em uma máquina e insere a senha ela é controlada pelo malware que rouba a chave autenticação, em seguida a máquina exibe uma mensagem de erro na transação para que o usuário insira novamente o cartão e digite a senha.

Nesse processo, uma transação legítima é aprovada pela máquina, porém com as informações roubadas pelo malware, a transação fantasma acontece sem o conhecimento do usuário ou do estabelecimento – que teve os dispositivos de pagamento infectados sem saber. 

Os valores roubados são destinados a outra máquina de cartões registrada por empresas falsas criadas pelos cibercriminosos para captar os valores desse golpe.

Como usuários e estabelecimentos podem se proteger

A recomendação para esse tipo de golpe é desconfiar caso apareça a mensagem de bloqueio de transação por aproximação. O usuário pode insistir para que a transação seja realizada por aproximação, caso a mesma mensagem apareça, o mais seguro é optar por outras alternativas de pagamento.

Para os estabelecimentos, a Kaspersky recomenda que os dispositivos estejam sempre atualizados com a atualização mais recente do sistema operacional utilizado. Além disso, é importante investir em soluções de segurança com várias camadas de proteção.