Especialistas da Kaspersky Lab analisaram o recente hackeamento de cartões "bip!" no Chile, sistema de pagamento eletrônico utilizado no país para o transporte público. Segundo a investigação, o cartão pode ser recarregado sem custo algum por meio de um aplicativo para Android, que chegou ao conhecimento do público em 16 de outubro, e através da tecnologia de comunicação sem fio de curto alcance (NFC, em inglês) incorporada no smartphone do usuário.
"Ao redor do mundo, vários projetos permitem a compra de bilhetes para o transporte público por meio do NFC. Esta é uma crescente tendência que os cibercrimonosos vigiam com interesse e como foi visto nesse caso, já estão explorando", afirmou Dmitry Bestuzhev, diretor da Equipe de Investigação e Análises para América Latina da Kaspersky Kab.
"No caso do Chile, indivíduos inverteram os cartões "bip!" e encontraram uma forma de recarregá-lo gratuitamente. Segundo os estudos, tudo o que os usuários tinham que fazer era instalar essa aplicação em um dispositivo Android com suporte a tecnologia NFC, aproximar cartão de viagem (similar ao bilhete único) do telefone e pressionar o botão "Carregar 10k", o que os permite recarregar o cartão com 10 mil pesos chilenos."
Segundo os especialistas da Kaspersky Lab, a aplicação tem quatro características principais: número BIP – para obter o número do cartão; saldo BIP – para obter o saldo disponível; carga de Dados – para repor o saldo disponível; trocar o número BIP- permite ao usuário trocar o número do cartão por completo
"Esta última característica é a mais interessante e surgiu da suspeita de que as autoridades iam bloquear os cartões 'bip!' que foram recarregados de forma fraudulenta", comentou Bestuzhev.
Mas, o quanto vulnerável pode ser a tecnologia NFC? Segundo Bestuzhev, as transmissões NFC funcionam como qualquer processo de transferência de dados que enviam e recebem informação e podem ser interceptadas.
"Os cibercriminosos sempre conseguem roubar nossos dados. Em qualquer parte onde exista uma transferência de dados, sempre existirá o risco de que estes sejam interceptados e explorados. De fato, à medida que a adoção da NFC seja massiva, os atacantes se focaram em roubar os dados entre o dispositivo receptor de pagamentos e o portador do dinheiro virtual", comentou Bestuzhev.
No caso dos cartões "bip!" no Chile, as análises revelaram que muitos usuários baixaram a aplicação para recarregar seus cartões e embora a ligação original tenha sido desabilitada, novas ligações apareceram, apontando novos servidores que hospedam o aplicativo.
"É importante ressaltar que já que a aplicação é tão popular, antecipamos que os cibercriminosos se aproveitam do interesse dos usuários nisto e desenvolvem aplicações similares, mas falsas infectadas com malware para comprometer os dispositivos móveis de usuários e roubar sua informação pessoal", comentou Bestuzhev. "NFC é um dos pontos mais prometedores no campo de pagamento móvel e este caso no Chile é um bom exemplo de como novos sistemas de pagamento apresentam os mesmo problemas".
