GOW

GOW

sábado, 27 de janeiro de 2024

Roubo de dados do cartão de crédito

 

O dinheiro de plástico já é usado por 22% da população da América Latina. No Brasil, são 28,8 milhões de adultos com acesso a ele. O surgimento das fintechs, que cortam a burocracia e exigem menos garantias para cederem cartões de crédito, estão ajudando na popularização desse meio de pagamento.  

Em paralelo, aumenta também o interesse de criminosos na obtenção de dados de cartões. Algumas práticas não são novas — golpes que têm esse alvo datam de pelo menos 2005 — e as técnicas mais modernas são bastante engenhosas.  

Mesmo o chip de segurança, presente na maioria dos cartões de crédito em circulação no Brasil, são suscetíveis à clonagem, seja do modo mais sofisticado, como um “skimmer" (popularmente conhecido como "chupa-cabras”) capaz de copiar as informações do chip quando o cartão é inserido em um caixa automático comprometido, situação flagrada no México; seja por ações grosseiras, como literalmente recortar o chip nesse processo. Isso aconteceu no Brasil.  

De qualquer forma, há um detalhe interessante que facilita o uso de dados de cartões roubados: para compras online, o chip de segurança é totalmente dispensável.  

 

Como se clona um cartão? 

 

Kaspersky/Divulgação

Além dos chupa-cabras, que são modificações não autorizadas em caixas automáticos feitas a fim de capturar dados do cartão, há outras formas de consegui-los. Assolini cita algumas: maquininhas adulteradas, caixas automáticos inteiros falsificados, a velha engenharia social e, no que considera o caso mais grave, os terminais de venda (PoS, de "point of sale", ou ponto de venda em português) infectados por vírus. 

Esses terminais são computadores comuns que recebem pagamentos de cartão através de um dispositivo que lê o cartão e tem um teclado numérico para a inserção de senhas, chamado PIN Pad. Eles ainda são populares em mercados, hotéis e postos de gasolina, por exemplo. Por estarem ligados a sistemas de uso geral, como o Windows, podem ser comprometidos com mais facilidade. E ainda trazem uma vantagem valiosa ao criminoso: é o único método de clonagem de cartão que pode ser implementado e gerenciado remotamente, sem que ele tenha contato direto com a vítima. 

Outra peculiaridade da clonagem de cartões é a proximidade com o crime tradicional. Para fazer uso dos outros métodos, os carders, como são chamados os criminosos que obtêm e negociam esses dados, precisam do auxílio de alguém que vá ao local e faça o trabalho manual quando não o aplica via PoS. Após a aquisição dos dados, eles "negociam com criminosos tradicionais, que fazem compras online fraudulentas, negociam veículos e são até usado pelo narcotráfico. O carder eé o cara mais próximo do crime tradicional", diz Assolini.  

Briga de gato e rato 

O primeiro vírus de PoS foi descoberto pela Visa, em 2008. Hoje, a Kaspersky tem conhecimento de 40 famílias de vírus do tipo, feitos especialmente para infectar computadores de pontos de venda e transmitir, sem que o dono do estabelecimento ou seus clientes saibam, dados de cartões para servidores remotos. 

Como em outras áreas da segurança digital, há uma briga de gato e rato entre os criminosos e as empresas de segurança. Quando os ataques a PoS começaram, os vírus conseguiam os dados durante o trânsito, ou seja, enquanto eles eram transferidos do PIN Pad para o computador. As operadoras de cartões identificaram o problema e passaram a codificar esses dados durante o trânsito, fechando a brecha. 

Não foi suficiente para barrar a ação dos criminosos. Com aquela porta fechada, os novos vírus passaram a vasculhar uma memória temporária do computador (RAM, abreviação em inglês de "memória de acesso aleatório”), que grava os dados do cartão sem criptografia. A técnica é chamada "memory scraping". 

Kaspersky/Divulgação

Outra grande virada no mercado de clonagem de cartão foi a abertura do código-fonte do vírus Dexter. Houve uma explosão no número de detecções em 2015, quando isso aconteceu. Na prática, com o código-fonte divulgado, qualquer um pode, sem muita dificuldade e com custo zero, criar seu próprio vírus de PoS e modificar ou melhorar o código original.  

Outros vírus, como o Katrina e o Neutrino, são vendidos em lugares obscuros da Internet por valores que chegam a US$ 2.200. O Neutrino chega a oferecer um painel de controle sofisticado, do tipo que qualquer um consegue operar.  

Como se proteger 

Ter o cartão clonado é um risco constante. Mesmo a pessoa mais diligente está sujeita a isso — o próprio Assolini já foi vítima. Ele dá algumas dicas para amenizar as chances de passar por esse sufoco:  

  • Cubra o teclado do terminal automático na hora de digitar a senha. Alguns terminais adulterados têm câmeras que capturam a digitação da senha; 
  • Não perca de vista seu cartão na hora de realizar pagamentos; 
  • Evite usar terminais que ficam na rua. Os que estão dentro das agências e de estabelecimentos comerciais são mais vigiados e, portanto, difíceis de serem adulterados; 
  • Tenha mais de um cartão de crédito. Se um deles for clonado, você não ficará sem acesso a esse meio de pagamento até resolver o problema; e 
  • Revise o saldo regularmente. Se seu banco ou operadora oferecer apps e serviços de alerta por SMS, ative-os. Assim, caso o cartão seja clonado e alguém tente fazer compras não autorizadas em seu nome, você saberá de imediato e poderá tomar as providências adequadas, como cancelar o cartão e comunicar a operadora.

GPS

Através de satélites artificiais, o GPS pode obter informações sobre a localização geográfica em qualquer lugar da superfície terrestre e em qualquer hora do dia.

 "A determinação precisa da posição é importante para inúmeras atividades, como o transporte rodoviário de cargas e a navegação marítima. Foi no ano de 1978 que o departamento de defesa dos Estados Unidos da América montou o Sistema de Posicionamento Global, mais conhecido por nós como GPS. Esse sistema de posicionamento faz uso de satélites para ajudar na determinação da posição. Para isso, colocou em órbita três satélites.

Os satélites colocados na órbita da Terra emitem sinais com padrões conhecidos que podem ser recebidos em qualquer ponto da Terra, seja no mar ou no ar, por receptores do tamanho de uma calculadora. Esse é o sistema de posicionamento que dá a maior precisão na atualidade.

O princípio básico do funcionamento do GPS é usar a posição dos satélites para determinar a localização de um objeto na Terra por meio de triangulação. Quando o receptor capta o sinal de um satélite, pode determinar exatamente sua distância. Isso se faz da seguinte maneira:

O receptor sincroniza seu sinal interno como sinal enviado pelo satélite, determinando assim o intervalo de tempo (Δt) entre o instante em que o sinal foi enviado e o instante em que foi recebido. "

Como sabemos que a velocidade de transmissão de dados é igual à própria velocidade da luz (v = 2,998 x 108 m/s), o receptor calcula a distância (ΔS) de separação entre o satélite e o objeto por meio da seguinte equação:

s=s0+v.t
∆s=v.t

Suponha que o intervalo de tempo medido entre o GPS e um objeto seja de 0,065 s. Assim, qual seria a distância entre o GPS e o objeto? Basta fazer uso da equação acima para determinar a distância entre eles. Dessa forma:

∆s=2,998 .108.0,065

∆s=19.487.00 km

Os satélites possuem a bordo relógios atômicos, que são mais precisos. Entretanto, para determinar a posição por meio de triangulação, é necessário que se conheça mais duas distâncias, que podem ser determinadas a partir de outros dois satélites. Hoje podemos ver que o GPS se tornou um acessório bastante utilizado por pessoas comuns, não mais tendo apenas a finalidade de uso militar."



Introdução ao Bitcoin

 

1º Passo: Baixe uma carteira

Objetivo: Criar e fazer backup de uma carteira bitcoin

  1. Baixe a BlueWallet no seu celular
  2. Assista este tutorial da carteira BlueWallet (Android e iOS) e/ou siga as instruções abaixo
  3. Crie uma nova carteira (+) de Bitcoin do tipo HD SegWit (BIP84) para pagar taxas mais baixas
  4. Anote as 12 palavras apresentadas. Essas 12 palavras de backup são como uma chave para acessar seu bitcoin - Anote elas com carinho!
  5. Faça uma segunda cópia dessas palavras e esconda bem elas. Com elas qualquer pessoa pode acessar sua carteira
  6. Entre na carteira Bitcoin criada na BlueWallet, clique em Receive (receber) e copie o endereço exibido na tela. Isso pode ser feito tocando no código QR
  7. Se for sua primeira vez com uma carteira de bitcoin, antes de fazer transferências grandes, teste receber e enviar um pouco, apague e recupere a carteira para ver se você realmente tem posse da chave privada e controle total dela. Explore e sinta-se à vontade. Não deixe de assistir o tutorial acima onde apresentamos várias dicas básicas

  8. Existem muitas carteiras de Bitcoin disponíveis para baixar que recomendamos. Destacamos a BlueWallet aqui por ser fácil de usar, ter código aberto e possibilitar usos mais avançados.

    Não baixe qualquer carteira, muitas são golpes ou inseguras. Uma fonte de informação relativamente confiável ainda é o site bitcoin.org - e tome cuidado, fique longe do site 💀bitcoin.com💀

    Outra carteira que recomendamos muito é a Samourai Wallet que oferece foco em privacidade e uso de bitcoin na rua, com um ambiente muito rico em ferramentas



2º Passo: Compre um pouco de bitcoin

Objetivo: Comprar uma pequena quantia de ₿TC

  • Compre apenas uma pequena quantia de bitcoin para começar. A ideia é você testar o processo de saque para sua carteira pessoal e entender como é ter bitcoin de verdade e não uma "nota promissória" de bitcoins em um site
  • A recomendação abaixo permite que você compre bitcoin rapidamente com identificação parcial/opcional. Entenda como comprar com mais privacidade no último passo deste guia


BRL na Azteco   (vale/voucher de Bitcoin)
  1. Verifique a Azte.co no Reclame Aqui ou outros sites de avaliação, além da política atual de KYC das opções de compra
  2. Entre no site Azte.co/pt/buy
  3. Selecione "Brazil" e "Compra com a Azteco" ou "Compra em loja online" (giftcard de BTC em um site - compra sem KYC)
  4. Na "Compra com a Azteco", Lightning é padrão. Para receber no seu endereço normal, clique em "Mudar para on-chain"
  5. Escreva o valor que deseja comprar em BRL, preencha seu email e envie
  6. Siga as instruções na tela se precisar verificar o seu email
  7. Selecione o parceiro de pagamento disponível para pagar por transferência bancária, dinheiro vivo ou boleto
  8. Coloque um CPF válido de acordo com o tipo de pagamento a ser utilizado
  9. Efetue o pagamento do seu voucher de Bitcoin na opção selecionada
  10. Receba seu voucher de Bitcoin por email e siga as instruções para fazer a transferência para a sua carteira pessoal de Bitcoin (lightning ou onchain)
  11. Se tiver dúvidas, veja o artigo sobre Opções de compra com a Azteco no Brasil

Quer mais opcoes de compra? Prefere negociar P2P?
    Acesse a seção KYC!? Sai fora! do nosso site para ver uma lista atualizada de opções P2P para comprar Bitcoin. Recomendo que leia antes o último passo deste guia com mais informações sobre compras com privacidade.


Parabéns, agora você tem um pouco de BTC na sua carteira e pode fazer o que quiser com esse saldo. Você pode testar enviar os fundos para outro endereço seu ou para um amigo. Enquanto você tiver suas 12 (ou 24) palavras armazenadas de forma segura, ninguém pode roubar os fundos da sua carteira. Sem essas palavras (conhecidas como palavras seed ou chave privada) ninguém pode acessar a sua carteira de bitcoin - nem mesmo você



3º Passo: Faca um backup melhor

Objetivo: Melhorar seu backup para que você esteja pronto caso o bitcoin suba de preço ou você decida comprar mais

  1. Compre uma hardwallet, dispositivo criado para facilitar a geração de seeds seguras.

    Nós recomendamos:

  2. - COLDCARD - https://store.coinkite.com/promo/bitcoinheiros
    (use o código
    bitcoinheiros para ganhar 5% de desconto)
    Veja o tutorial ou assista nossa entrevista com o criador da ColdCard

    - Veja aqui outras Carteiras de Hardware recomendadas pelos bitcoinheiros

    Entenda o que você deve fazer para proteger sua hardwallet assistindo este vídeo

  3. Você também pode criar a sua seed de maneira segura aprendendo com os vídeos da playlist sobre criação de seed BIP39
  4. Além disso, pode montar a sua própria carteira de hardware faça você mesmo
  5. Fazer um bom backup da sua seed é fundamental para a sua segurança.
    Confira opções de carteira de metal para durabilidade para comprar ou criar a sua
  6. Assista estes vídeos sobre Custódia e Herança de Bitcoin
  7. Para usuários um pouco mais avançados e com mais fundos para proteger, os bitcoinheiros recomendam o uso de carteiras Multisig com Hardware Wallets de diferentes fabricantes. Assista a série Canivete Suíço Bitcoinheiro para saber mais.






4º Passo: Rode um Node

Objetivo: Entender porque bitcoinheiros rodam seus próprios full nodes.

Lembre-se: Rodar um node só serve se você usar ele para interagir de fato com a blockchain, enviando (transmitindo) e recebendo (verificando) transações.

  1. Assista Os benefícios de um Full Node e Rode seu Node Bitcoin (Canivete Bitcoinheiro)
  2. Avalie as tabelas abaixo para determinar a rota que você deseja seguir:

Rota A Rota B Rota C Rota D
Custo Zero Zero Baixo Alto
Requisito de tempo Baixo Alto Médio/Baixo Baixo
Dificuldade de configuração Baixa Alta Média Baixa
Tempo de inatividade Alto Baixo Baixo Baixo
Rota Usuário Prós Contras
A Iniciante total Grátis, fácil e rápido Quando seu computador estiver desligado, seu node não estará rodando, e você vai precisar esperar que ele sincronize quando quiser usar.
B Entusiasta técnico Grátis Requer um tempo significativo para configurar e é um pouco difícil para quem nunca usou Linux no passado.
C Entusiasta menos técnico Razoavelmente barato e rápido Requer um pouco de tempo para configurar, mas os guias ajudam bastante e é simples se você sabe seguir instruções.
D Quem pode pagar Rápido e fácil Custo alto em comparação com as outras alternativas
Rota A: Bitcoin Core no seu computador
Rota B: Bitcoin Core em um computador dedicado
Rota C: Construa um node dedicado com um Raspberry Pi 4
Rota D: Compre um node dedicado pre-fabricado

Passo 4.1. Use sua hardwallet com seu node

Objetivo: Usar seu node para enviar e receber fundos na sua hardwallet.

Neste momento, você não pode usar uma hardwallet com o Bitcoin Core diretamente e precisa rodar um software complementar para poder usar sua chave privada na hardwallet com seu node. Você pode usar o software do node como carteira diretamente, mas não recomendamos que tenha grandes quantias armazenadas nele pois se trata de uma carteira que fica conectada muito tempo na internet, o que chamamos de HOT. O software é seguro, você deve criptografar sua carteira, mas não é TÃO seguro quanto uma hardwallet dedicada

  1. Para as rotas A e B, você pode usar a carteira Sparrow Wallet ou a Specter Desktop como ponte entre sua hardwallet e o seu node.

    Se você está usando a hardwallet Coldcard, pode criar uma transação parcialmente assinada ou conectar ela com seu full node Bitcoin Core usando HWI (Avançado, facilitado pela Specter Desktop ou Sparrow Wallet )

    Se você está usando a Bitbox ou a Trezor, pode seguir este tutorial para conectar sua hardwallet com o Bitcoin Core usando HWI (Avançado)

  2. Para as rotas C e D, o melhor é instalar a opção de Electrum Personal Server ou Electrum Rust Server para usar a carteira Electrum como ponte entre sua hardwallet e seu node.

    - Siga estas instruções para rodar o Electrum Rust Server (electrs) em um Raspberry Pi 4
    Cada node dedicado tem uma forma fácil de instalar o Electrum Server. Veja este exemplo simples em 1 Tweet de como configurar a Electrum para usar com o MyNodeBTC

    - Assista o tutorial Conecte sua HW com seu node Bitcoin (Electrum Personal Server)
    - Veja este exemplo do Electrum Rust Server na prática

    - Você também pode criar a sua seed de maneira segura com a Electrum Wallet ao invés de usar uma hardwallet e conectar a parte online do setup com seu node através do Electrum Server. Outra maneira seria usando a Electrum no pendrive com Tails

    - Outra forma de usar o seu full node com uma interface mais amigável é utilizando a Sparrow Wallet ou a Specter Desktop



5º Passo: Participe da comunidade

Objetivo: Descobrir como envolver-se em discusssões sobre bitcoin.

  1. Participe de encontros locais
  2. Assine a lista bitcoin op-tech
  3. Entre no Twitter e siga os bitcoinheiros.
    bitcoinheiros / allan / becas / bitdov / ivan
  4. Entre no The Bitcoin Discord


6º Passo: Melhore sua privacidade

Objetivo: Entender como e porque usar o bitcoin de maneira privada

  1. Leia o guia para fazer HOLD de Bitcoin com Privacidade aqui no site dos bitcoinheiros
  2. Para complementar o guia acima, você pode assistir os vídeos da lista de Causos de Privacidade no Bitcoin para entender melhor como a privacidade vaza na blockchain e como se proteger de xeretas e espiões
  3. Veja como a Privacidade não morreu
  4. Aprenda sobre CoinJoin


7º Passo: Micropagamentos Bitcoin

Objetivo: Entender o que é a Lightning Network e como usar ela.

  1. Baixe uma carteira Lightning não-custodial
  2. Transfira alguns satoshis para ela (poucos)
  3. Envie bitcoin através da Lightning: Índice de Lapps 1 / Índice de Lapps 2
  4. Assista nosso Dov Rodando a Lightning Network em 2020
  5. Assista nossa série sobre o BTCPayServer para aceitar bitcoin no seu negócio
  6. Assista todos os vídeos dos bitcoinheiros sobre a Lightning Network
  7. Assista A Importância da Segunda Camanda (em inglês)
  8. Leia LNP/BP em comparação com TCP/IP (extraído de Q/A About Bitcoin).


8º Passo: Aprofunde-se

Objetivo: Entender melhor como funciona o Bitcoin e sua terminologia

  1. Entenda o que é a Escassez Digital
  2. Entenda porque o Bitcoin é diferente das outras criptomoedas
  3. Conheça um pouco mais sobre a História do Bitcoin
  4. Conheça os pioneiros do Bitcoin e da Lightning Network
  5. Veja se o Bitcoin vai destruir o planeta
  6. Entenda Blockheight, hashrate e outros termos do Bitcoin
  7. Descubra se é possível escalar o Bitcoin para as massas
  8. E o que acontece se proibirem o Bitcoin?
  9. Entenda mais sobre essa história de tamanho dos blocos do Bitcoin
  10. Assista o Dov entrando na Toca do Coelho Bitcoin
  11. Escute artigos essenciais sobre o Bitcoin do bitcoinheiro OG Beautyon
  12. Assista Os bastidores de uma mineradora de Bitcoin
  13. Assista Como colaborar com o Bitcoin
  14. Assista Como criar sua criptomoeda
  15. Assista nossa playlist de História Cypherpunk com vídeos e palestras (em inglês)
  16. Assista Mas como funciona o Bitcoin (em inglês)
  17. Assista Como funciona o Bitcoin por trás dos panos (em inglês)


9º Passo: Compre com privacidade

Vale a pena considerar opções mais privadas para comprar seus satoshinhos e para isso temos a seção "KYC? Sai fora!", com sites/apps/serviços de compra e venda de bitcoin com maior privacidade.

Além de comprar BTC, outra maneira de adquirir bitcoins mantendo a privacidade é simplesmente aceitar bitcoins por produtos ou serviços que você oferece. Você pode oferecer um desconto para pagamentos feitos em BTC (incentivo para os compradores), além de aceitar usando soluções gratuitas como o BitcoinheirosPAY para ajudar a gerenciar as entradas ou até mesmo uma simples carteira Lightning como a Breez .

Visão geral das opções de compra:


Métodos privados Métodos semiprivados Métodos não-privados
Forma de pagamento Dinheiro Transferência bancária Transferência bancária
Interface Pessoalmente Website Website
E-mail e telefone Não solicitado Solicitado Solicitado
Nome e endereço Não solicitado Não solicitado Solicitado
Privacidade relativa Ótima Razoável Razoável
Exemplos BISQ/Voucher/P2P Site P2P Corretoras cripto


Toques importantes para negociar P2P
  1. P2P (Peer 2 Peer) é a compra de bitcoin entre dois indivíduos interessados em efetuar uma troca voluntária. Uma parte deseja comprar e a outra deseja vender
  2. Existem profissionais que atuam neste mercado, mas em grande parte terminam atuando como microempresas que também têm obrigações legais de expor a sua privacidade
  3. Veja o teto de negociação mensal que não exige declaração e utilize isso em seu favor se desejar manter privacidade sem atiçar o leão.
  4. Recomendamos que você procure conhecer outros bitcoinheiros informais em encontros locais de bitcoin, fóruns, canais sociais onde você possa avaliar a reputação
  5. Comece pequeno, exercendo cautela nos encontros pessoais onde acontecerá troca de dinheiro e fazendo a segurança da sua chave privada. Nunca ande com sua chave na rua, leve apenas o endereço para onde você deseja que a transferência seja feita e evite expor suas informações pessoais para esse terceiro
  6. Procure fazer o encontro em um local público e seguro. Ironicamente, muitas pessoas combinam esses encontros dentro de bancos, por ex.


Todo bitcoinheiro é um P2P em potencial.

Mantemos uma lista atualizada de sites/apps para coordenar compra e venda de Bitcoin com maior privacidade na seção "KYC? Sai fora!" do site.

As opções abaixo são apenas exemplos:

BISQ   (P2P com software)
  1. Assista nossos vídeos de Introdução e Tutorial da BISQ
  2. Baixe e instale a BISQ
  3. Defina sua moeda local
  4. Busque por vendedores locais (Selecione a opção COMPRAR BTC no menu superior)
  5. Compre de um vendedor local (Selecione Criar nova oferta para comprar BTC com...)
  6. Saque o bitcoin para a sua carteira pessoal, aquela que você controla a chave
HODLHODL   (P2P via site)
  1. Acesse o site da HODLHODL
  2. Registre-se com seu e-mail e defina uma senha. Configure sua conta de acordo.
  3. Leia as Perguntas Frequentes para entender como funciona.
  4. Busque por vendedores locais (Selecione a opção COMPRAR BTC no menu superior)
  5. Veja as ofertas e escolha uma relevante para você. Faça a negociação e feche o negócio.
  6. Saque o bitcoin para a sua carteira pessoal, aquela que você controla a chave
Vouchers
  1. Assista este vídeo para entender o que são vouchers de bitcoin
  2. Veja se há alguma loja que vende vouchers da Azteco na sua área
  3. Se houver, compre um voucher e siga as instruções para resgatar o bitcoin
  4. Resgate o bitcoin para a sua carteira pessoal, aquela que você controla a chave

 


CRIMES VIRTUAIS


 

Ferramentas hackers usadas na série Mr. Robot!

Terminal ou Shell

Metasploit Framework                                                                                     

SEToolkit (Engenharia Social) 

WGET / ShellShock / John The Ripper  

Kali Linux