Em Novembro de 2015, Will Caput trabalhou para uma empresa de segurança designada para um teste de penetração de uma grande cadeia de restaurantes mexicanos, vasculhando os seus websites para detectar vulnerabilidades hackable. Assim, quando Caput de 40 anos fez uma pausa para almoço, tinha feijão e guacamole em mente. Decidiu conduzir até à filial local do restaurante em Chico, Califórnia. Enquanto lá estava, ainda na mente de testar a segurança do restaurante, reparou num tabuleiro de cartões de oferta não activados, sentado no balcão. Então ele agarrou-os todos – o caixa não se importou, uma vez que os clientes podem carregá-los com um cartão de crédito de casa através da web – e sentou-se à mesa, examinando a pilha enquanto comia o seu burrito vegetariano.
Como ele folheou os cartões de oferta, ele notou um padrão. Enquanto os últimos quatro dígitos das cartas pareciam variar aleatoriamente, o resto permaneceu constante excepto um dígito que parecia aumentar de um por cada carta que examinava, fazendo tic-tac como uma sequência de póquer. Quando terminou o seu burrito, já tinha um plano para defraudar o sistema.
The Gift Grift
Após anos de examinar a indústria de cartões de oferta a retalho após essa descoberta inicial, Caput planeia apresentar as suas descobertas na conferência de hackers Toorcon este fim-de-semana. Incluem truques muito simples que os hackers podem utilizar para determinar números de cartões-presente e drenar dinheiro dos mesmos, mesmo antes de o legítimo detentor do cartão ter alguma vez a oportunidade de os utilizar. Embora alguns desses métodos sejam semipúblicos há anos, e alguns retalhistas tenham corrigido as suas falhas de segurança, uma fracção perturbadora dos alvos permanece aberta a esquemas de hacking de cartões-presente, diz Caput. E como mostra a análise do recentemente extinto mercado negro da web AlphaBay, os verdadeiros criminosos também fizeram um uso prolífico desses esquemas.
“Basicamente estão a roubar o dinheiro de outras pessoas através destes cartões”, diz Caput, que agora trabalha como investigador para a empresa Evolve Security. “Pega-se numa pequena amostra de cartões de oferta de restaurantes, lojas de departamentos, cinemas, até mesmo companhias aéreas, analisa-se o padrão, determinam-se os outros cartões que foram vendidos aos clientes e rouba-se o valor neles.”
William Caput
Para conseguir o truque, Caput diz que tem de obter pelo menos um dos cartões oferta da empresa alvo. Cartões desactivados muitas vezes não são aceites em restaurantes e retalhistas, ou ele pode simplesmente comprar um. (Nem todos os cartões mudam pelo valor de um, como fez aquele primeiro restaurante mexicano. Mas Caput diz que a obtenção de dois ou três cartões pode ajudar a determinar os padrões daqueles que não o fazem). Depois ele simplesmente visita a página web que a loja ou restaurante utiliza para verificar o valor de um cartão. A partir daí, ele corre o software Burp Intruder para percorrer todos os 10.000 valores possíveis para os quatro dígitos aleatórios no final do número do cartão, um processo que leva cerca de 10 minutos. Ao repetir o processo e incrementar os outros números previsíveis, o site confirmará exactamente quais os cartões que têm o valor. “Se conseguir encontrar apenas um dos seus cartões ou vouchers de oferta, pode reforçar o site”, diz ele.
Após um ladrão ter determinado os números de cartões activados, com valor, pode usá-los na página de comércio electrónico do retalhista, ou mesmo pessoalmente; Caput’s escreveu-os num cartão de plástico em branco com um dispositivo de escrita de tira magnética de 120 dólares disponível na Amazon, e descobriu que a maioria dos retalhistas aceita os seus cartões sem perguntas. (Caput apenas pede à loja ou restaurante para verificar o saldo do cartão, em vez de gastar qualquer dinheiro dos cartões pertencentes às vítimas reais). “É um ataque bastante anónimo”, diz Caput. “Posso entrar, encomendar comida, e sair. O cartão da pessoa diz que tem $50, e depois desaparece”
Balancing Act
Caput tem avisado os retalhistas e restaurantes sobre o seu esquema desde que o descobriu pela primeira vez há quase dois anos. Alvos potenciais, incluindo o Trader Joe’s, Macy’s, e Taco Bell, responderam todos retirando as suas páginas web de verificação do valor dos cartões de oferta e exigindo que os utilizadores verifiquem os seus cartões de oferta por telefone ou adicionando s às suas páginas web de verificação do valor dos cartões, concebidas para evitar que os programas automatizados forcem os números dos cartões de oferta.
Mas outros restaurantes, lojas e empresas, que Caput se recusou a mencionar no registo, ou não implementaram medidas de segurança contra o seu truque de fraude ou acrescentaram uma defesa que ele foi capaz de contornar. Descobriu que muitos fornecedores de cartões de oferta utilizam agora uma página de verificação do valor do cartão que ele pode retirar simplesmente desactivando elementos javascript na página, utilizando a ferramenta de software Burp Proxy. Isto permitiu-lhe realizar os mesmos ataques bruteforce, encontrar os números de cartões activados, e explorá-los tal como o fez em 2015. Outros retalhistas pontuais e cadeias regionais que ele testou não adicionaram nada, ou utilizam números incrementais simples nos seus cartões de oferta que nem sequer requerem força bruta.
alguns cartões de retalhistas utilizam números PIN, para além do número codificado no cartão. Mas esse PIN só é necessário para verificar o saldo do cartão, não para gastar o seu valor, diz Caput. E se um hacker quisesse realmente determinar o valor de um desses cartões protegidos por PIN, poderia forçá-lo com Burp Intruder tão facilmente como o próprio número do cartão.
‘Posso entrar, encomendar comida, e sair. O cartão da pessoa diz que tem $50, e depois desaparece”. -Security Researcher Will Caput
Caput assinala que mesmo os restaurantes e retalhistas que tenham adicionado robustos s às suas páginas de verificação de valor do cartão de oferta podem permanecer vulneráveis. Se os cartões de oferta forem deixados acessíveis, pode simplesmente agarrar a pilha inteira de cartões, fotografar o verso dos mesmos, e mais tarde colocá-los de volta no tabuleiro. Depois, ele simplesmente verifica esses números periodicamente através do restaurante ou do website do retalhista até que o cartão seja activado. Quando o é, ele pode gastar o dinheiro que lhe tiver sido adicionado.
As vulnerabilidades que Caput encontrou não são meramente teóricas. Em Maio, a empresa de segurança Flashpoint divulgou um relatório no qual a empresa encontrou centenas de discussões sobre cartões-presente “rachados” em fóruns criminais na Web, que se intensificaram no Verão de 2016 e novamente no início de 2017, em comparação com praticamente nenhum antes de 2016. Liv Rowley, analista da Flashpoint, diz que só um vendedor no mercado negro da web AlphaBay tinha feito mais de 400.000 dólares em vendas entre Novembro de 2016 e Julho deste ano, quando a AlphaBay foi encerrada pelo FBI, em grande parte através da venda de cartões-presente roubados para mais de uma dúzia de marcas, incluindo lojas como a OfficeMax e a Whole Foods. Quando Flashpoint falou com um dos retalhistas afectados, os investigadores da empresa determinaram que o vendedor estava de facto a utilizar uma ferramenta automatizada para activar brutos cartões-presente, tal como Caput demonstrou. “Muitos cartões de oferta são numerados sequencialmente, e parece que ele ou ela estava apenas a verificá-los assim”, diz Rowley.
Todos os problemas de segurança dos cartões de oferta que Caput destaca têm reparações relativamente simples: Implemente os pontos fortes que os maus actores não podem contornar nos locais de verificação do valor dos cartões-presente, não deixe os cartões-presente não activados para serem agarrados nos balcões das lojas, e use coberturas de raspadinhas nos cartões para evitar que sejam fotografados e depois substituídos nas lojas.
Mas até os retalhistas e restaurantes fazerem essas reparações, os consumidores seriam sensatos se pensassem duas vezes na compra de cartões-presente que poderiam potencialmente ter o seu valor desviado pelos hackers. Antes de ir buscar aquele cartão não guardado a um balcão retalhista, talvez considere quem poderia ter ido buscar um primeiro – e quem mais poderia saber aquela fatia de segredos do plástico.