Hackers brasileiros roubaram dados de 1,5 milhão de cartões de crédito e débito

As informações do seu cartão de crédito ou débito podem estar em risco: a empresa de pesquisa de segurança Tempest encontrou um conjunto de malwares focados em “Points of Sale” (POS) – sistemas de caixa registradora em comércios, como caixas de supermercados – que extraía as informações dos consumidores. E o número de cartões afetados é expressivo, pelo menos 1,4 milhão de dados roubados entre 2015 e 2017.

• Falha de segurança no protocolo WPA2 torna quase todas as redes Wi-Fi vulneráveis
• [Giz Explica] O que é o ransomware e como se proteger dele

Os pesquisadores da Tempest batizaram o ataque de HydraPOS, já que possuía diversas “cabeças”. Segundo eles, no início a ideia era acumular dados de cartões de sistemas de supermercados, mas os atacantes passaram a olhar também para coleta de dados bancários e credenciais de acesso de e-commerce.

Em entrevista à Folha de S. Paulo, Ricardo Ulisses, líder de análise de ameaças da Tempest, disse que eles não identificaram as empresas afetadas porque o foco era a compreensão do ataque em si. Neste momento, os usuários precisam estar atentos aos extratos de seus cartões para identificar se não foram efetuadas compras desconhecidas.

Como o HydraPOS obtia acesso aos computadores

Em uma publicação em seu canal de comunicação oficial, a Tempest explica que o esquema de fraude mantinha dezenas de ferramentas e centenas de malwares em seu arsenal, incluindo opções de de terceiros como o conhecido malware Kaptoxa — usado no ataque contra o grande varejista Target em 2014 – e também códigos maliciosos próprios, até então não identificados ou publicados pela indústria.

Para infectar os estabelecimento, o HydraPOS se vale de um processo complexo que pode envolver o serviço de banda larga das teles nacionais. Uma forma de entrada, por exemplo, era através de uma ferramenta chamada VNC-Scanner, que busca máquinas com o serviço Virtual Network Computing (VNC) vulnerável e explora vulnerabilidades. Na real, boa parte das entradas se dava a partir de sistemas que utilizam algum tipo de software de acesso remoto (VNC, RDP, Radmin e SSH) que estivessem configurados incorretamente ou que estavam desatualizados. Uma vez que eles conseguiam tomar o alvo, utilizavam ataques de força bruta para a obtenção das senhas de acesso ou exploravam outras vulnerabilidades. Posteriormente, os hackers começaram a utilizar também técnicas de phishing para infectar as vítimas.

Após conseguir acesso aos computadores, os hackers podiam instalar outros malwares, extrair dados e se manterem no ambiente. Como se tratava de um acesso remoto, em algumas redes era muito fácil realizar novas operações, dependendo do privilégio de acesso obtido.

Guardando informações dos cartões

As informações de transações de cartões de crédito e débito são criptografadas, mas os hackers conseguiam os dados ao extraí-los somente quando eram decifrados pelos sistemas de caixa registradoras no processo de autorização da compra. Isso é feito a partir de malwares memory-scraper, que identificam quais espaços na memória serão alocados com uma informação de interesse. Eles também utilizavam uma série de malwares com a função de keylogger – que registra o que é digitado na máquina.

Malwares do tipo memory-scraper, como o Kaptoxa, são preparados para identificar quais espaços na memória serão alocados com uma informação de interesse do atacante. Dessa forma, esses malwares aguardam o espaço ser preenchido com a informação de interesse e guardam esses dados em arquivos a serem posteriormente enviados para um servidor de comando e controle.

Depois de obter esses dados, o código malicioso enviava as informações para um servidor de comando e controle. De acordo com os pesquisadores, foram identificados sete servidores em uso pelos criminosos e assim foi possível constatar o armazenamento de 1.454.291 dados de cartões. As evidências apontam que esses registros valem desde 2015, mas foram encontrados indícios que sugerem que os operadores do HydraPOS estão em atividade, pelo menos, desde 2013. Ou seja, esse número pode ser ainda mais assustador.

Nesses servidores analisados pela Tempest, foram encontrados ainda ferramentas de uso legítimo (como as usadas para administração remota), mecanismos para ataques de força bruta e para a coleta de endereços de e-mail. Além disso, os hackers tinham ferramentas para lidar com grandes quantidades de informações e classificar os dados, para detectar quais eram os cartões mais valiosos e com maiores limites, como os platinum.

E agora? Como se proteger

Neste momento, os consumidores não têm muito o que fazer. O lance é ficar atento ao extrato do cartão, dar uma conferida nas faturas anteriores para ver se não há nenhuma compra desconhecida.

Para os lojistas, é preciso manter os sistemas atualizados e utilizar softwares de acesso remoto seguros, que permitam gerenciar de forma centralizada as permissões de acesso. Além disso, utilizar autenticação em dois fatores é sempre recomendável.

[TempestFolha]


mais em http://gizmodo.uol.com.br/hacker-hydrapos-brasil/

Impenhorabilidade dos pagamentos recebidos via cartões de crédito

A 3ª Turma do TRF da 4ª Região decidiu, na última semana, que a Agência Nacional de Petróleo (ANP) não pode penhorar os valores repassados por operadoras de cartão de crédito a um posto em Santa Catarina. 

A penhora dos créditos do cartão foi uma alternativa encontrada pela ANP para garantir o pagamento da dívida pelo proprietário do estabelecimento. Conforme a agência, o executado não tem dinheiro ou bens para quitar seu débito.

A ANP recorreu ao tribunal após ter seu pedido negado em primeira instância. A relatora do processo no TRF-4, desembargadora federal Maria Lúcia Luz Leiria, entretanto, manteve o entendimento do primeiro grau. Para ela, os créditos obtidos pelo pagamento em cartão de crédito não podem ser considerados como dinheiro em espécie ou em depósito ou aplicação em instituição financeira, motivo pelo qual não podem ser penhorados.

“O deferimento de tal medida, por interferir na atividade econômica da executada, poderá até mesmo inviabilizá-la”,
 observou a desembargadora. (Ag nº 5010621-02.2012.404.0000 - com informações do TRF-4).

 

Justiça condena oito empresas de cartões de crédito por cobranças indevidas

A Justiça Federal condenou hoje (12) oito administradoras de cartões de crédito por cobranças indevidas de encargos dos clientes. O juízo da 30ª Vara Federal da capital declarou inválidas as cláusulas contratuais que permitem a cobrança da taxa de garantia, de administração, de comissão de permanência cumulada com outros contratuais e de multa moratória superior a 2% sobre a prestação devida.

Os clientes dos cartões que foram prejudicados devem entrar com ação na Justiça Federal pedindo a apuração do prejuízo total e o valor do dano sofrido. A Justiça também decidiu que as administradoras devem indenizar com o dobro do valor os consumidores lesados e compensá-los por eventuais prejuízos morais e materiais.

As empresas punidas foram: Credicard, Real, Itaucard, Fininvest, Banco do Brasil (BB), Bradesco, Federal Card (da Caixa Econômica) e Banerj.

Para o juiz Márcio Barra Lima, os contratos dos cartões de crédito administrados pelas empresas condenadas, como contratos de adesão, apresentavam alguns pontos abusivos que permitiam a cobrança de encargos não autorizados, como a chamada cláusula mandato, que permitia à administradora autonomia para renegociar a dívida do titular do cartão no mercado, inclusive mediante financiamento feito em seu nome com outras instituições, sem constar nenhuma informação sobre os encargos e da remuneração pelos serviços.

Ainda segundo a decisão, a cobrança cumulada de comissão de permanência com outros encargos como juros e correção monetária sobrecarrega o consumidor, sendo considerada abusiva a estipulação de juros a 2% sobre prestação completa por afrontar o Artigo 52 do Código de Defesa do Consumidor.

Em nota, a Itaucard, que incorporou a Finivest e a Banerj, diz que ainda não recebeu o comunicado oficial sobre a decisão. "O Itaú Unibanco reforça que suas práticas encontram-se totalmente adequadas à jurisprudência e ao Código de Defesa do Consumidor", diz. A instituição declara também que não exerce a cobrança de comissão de permanência somada a juros moratórios, nem cobra multa superior a 2%".

O Bradesco, por meio de nota, informou que não se pronuncia sobre casos que estão sob o exame da Justiça. "As providências serão tomadas em juízo". O Citibank, dono da Credicard, declarou que "não comenta processo em tramitação, sem decisão definitiva".

O Banco do Brasil, por meio de sua assessoria de imprensa, esclareceu que "não cobra as taxas mencionadas na referida ação, bem como que não utiliza a cláusula-mandato em seus contratos. No tocante aos trâmites processuais, informa que já interpôs o devido recurso de apelação".

O banco informou ainda que, "por oportuno, o BB reafirma seu compromisso em cumprir fielmente as regras e premissas contidas no Código de Defesa do Consumidor, inclusive no que se refere a cobrança de multa moratória de 2% sobre a prestação inadimplida". As demais administradoras não se manifestaram.


Veja a íntegra da sentença clicando aqui.

Processo nº: 0009671-05.2005.4.02.5101

Superendividamento: uma realidade para mais muitos brasileiros

Quitar todas as dívidas para começar o novo ano com o pé direito. Esse é um dos desejos de muitos brasileiros que estão chegando ao fim de 2011 com o orçamento no vermelho. E, pior: superendividados, ou seja, consumidores impossibilitados de pagar dívidas sem deixar ameaçado o próprio sustento junto com a família. 

Desde a crise de 2008, quando o governo federal decidiu aumentar a oferta de crédito para manter a economia aquecida, os brasileiros nunca deveram tanto e nunca comprometeram parcela tão grande do salário para pagar dívidas. Pesquisa recentemente divulgada pelo Banco Central revela que cada brasileiro deve atualmente cerca de 42% da soma dos salários de um ano inteiro, o que representa um recorde. As pessoas físicas devem quase R$ 716 bilhões aos bancos em operações simples, como o microcrédito e o cheque especial, até financiamentos longos, como o imobiliário e de veículos, passando pelo cartão de crédito. 

Financiamentos, que nem sempre trazem informações claras sobre a taxa real de juros, podem se tornar uma armadilha para qualquer pessoa, até mesmo as mais experientes, como é o caso do senhor Alcione Reis Vasconcelos, economista do Banco Central aposentado. 
“Eu comprei um apartamento através da Caixa Econômica Federal, em janeiro de 90, por 20 anos. Em termos de reais, estaria valendo hoje R$ 200 mil. Não foi o financiamento total. O financiamento foi só 70%. O que eu tive dificuldade foi de acompanhar os aumentos que a CEF deu. Logo em março de 1990, três meses depois, o Plano Collor passou o IPC [Índice de Preços ao Consumidor] para 84%, em vez de seguir o contrato que era 41,28%”. Daí por diante, tudo foi se elevando. Depois de eu pagar 21 anos, hoje o apartamento está com o saldo devedor para eu pagar de R$ 593 mil”. 

O caso do senhor Alcione Vasconcelos é mais um entre muitos que pararam na justiça – vários deles chegam à última instância. No Superior Tribunal de Justiça (STJ), as decisões dos ministros resultam em jurisprudência que visa à proteção dos trabalhadores, sem desrespeitar os contratos. Exemplo disso, ocorreu em fevereiro deste ano, quando a Terceira Turma decidiu que a soma mensal das prestações referentes às consignações facultativas ou voluntárias, como empréstimos e financiamentos, não pode ultrapassar o limite de 30% dos vencimentos do trabalhador.

Para embasar as decisões da justiça diante da evolução nas relações de comércio, o Código de Defesa do Consumidor (CDC) está passando por algumas alterações, feitas por uma comissão de juristas presidida pelo ministro Herman Benjamin. O ministro avalia as mudanças necessárias. 
“Nós somos o único país do mundo a ter, efetivamente, algo que se denomina código, que reúne todas as matérias ou se propõe a reunir todas as matérias que interessam à proteção jurídica do consumidor. Há sempre a necessidade, com cautela, de buscar aperfeiçoamento e atualização da legislação de proteção do consumidor”. 

A relatora geral da comissão, Claudia Lima Marques, fala qual o foco das mudanças na legislação. 
“A ideia principal dessa atualização do Código de Defesa do Consumidor, que é uma lei que já tem 20 anos, é focar no crédito e superendividamento do consumidor e no comércio eletrônico. Justamente temas que o código trata indiretamente, mas não em detalhes, porque são situações novas do Direito brasileiro, mas muito importantes para preparar o Brasil para o século 21”. 

A jurista ítalo-brasileira Ada Pellegrini Grinover, que também integra a comissão, acrescenta que o mercado deve oferecer crédito com responsabilidade para evitar o superendividamento do consumidor. 
“A falta de informação é enorme. Essa história, por exemplo, de se divulgar que o juro é zero é um ludíbrio ao consumidor, porque não existe crédito com juro zero. Você, se pagar à vista, tem um desconto que é o preço justo. E se pagar com o tal de juro zero, você já tem um acréscimo no preço. Então há uma série de falta de informações, de informações deturpadas, de expectativas irreais do consumidor que o atrai para um crédito fácil e que, depois, ele não tem condições de pagar”. 

Os habitantes do Nordeste lideram o ranking de superendividados brasileiros: a cada cem pessoas, pelo menos 13 estão com grandes débitos. O Índice de Expectativas das Famílias, divulgado pelo Ipea (Instituto de Pesquisa Econômica Aplicada), revela que, no Brasil, a média de superendividados ultrapassa a casa dos 9%.

 

Autor(a):Coordenadoria de Rádio/STJ

Homem preso por engano receberá R$ 1 milhão de indenização

A 3ª Turma do Tribunal Regional Federal da 4ª Região (TRF4) concedeu indenização por danos morais e materiais de R$ 1.110.000,00 a cidadão catarinense que ficou mais de cinco anos na prisão por erro judiciário. O autor foi condenado por latrocínio com pena de 15 anos de detenção. Posteriormente, ajuizou revisão criminal e foi absolvido por ausência de provas suficientes.

A absolvição levou a defesa do autor a pedir indenização por danos morais e materiais. Conforme os advogados, a prisão indevida causou graves prejuízos na vida pessoal do autor, que era funcionário da Sadia e foi demitido, além disso não conseguiu formar-se em curso superior e nem casar-se. A defesa pediu R$ 110 mil por danos materiais e R$ 1,5 milhões por danos morais.

O pedido foi negado em primeira instância, o que levou o autor a recorrer ao tribunal. Após analisar a apelação, a relatora para o acórdão, desembargadora federal Maria Lúcia Luz Leiria, entendeu que se trata de responsabilidade objetiva do Estado, que deve zelar e garantir os direitos individuais.

"Fico imaginando não só os danos pessoais, mas os danos físicos de alguém encarcerado no regime de reclusão nos presídios que nós conhecemos e sabemos dos problemas, das mazelas do nosso sistema prisional, também os danos psíquicos a que esse cidadão brasileiro se submeteu", considerou a desembargadora, que fixou a indenização por danos morais em R$ 1 milhão.

"Um milhão de reais para a União em face do que ela recolhe de tributos não é nada, é uma gota d?água, é um grão de areia, mas para essa pessoa reiniciar de onde parou é importante. O autor carregará o estigma. Essa marca na psique do autor é o que me preocupa e, para formarmos bons cidadãos, temos de ser um bom Estado", concluiu. O relator originário ficou vencido apenas quanto ao valor da indenização por danos morais.

Últimos Posts

Tags