No passado mês de outubro a aerolínea espanhola Air Europa sofreu um ciberataque pelo que os cartões bancários de muitos clientes puderam se ver comprometidas. E é que, segundo o correio que enviou a companhia a alguns clientes, não só se filtraram nomes e números, também o CVV de segurança.
Segundo os experientes, a técnica que empregaram os ciberatacantes foi a do formjacking, um ataque que consiste em injectar um código malicioso em formulários site de lugares legítimos, como pode ser o de uma aerolínea
Que é o formjacking
O formjacking é uma técnica que afecta principalmente às páginas de comércio electrónico e que tem como objectivo obter os dados dos cartões de crédito. Os ciberdelincuentes se infiltran nos sistemas da empresa ou site em questão para acrescentar um código malicioso sem que seja detectado.
Isto é, o atacante obtém acesso ao site através de alguma vulnerabilidade e acrescenta um script malicioso junto à passarela de pagamentos. Com esse código, quando um utente acrescenta seus dados também os envia a um servidor externo no que os atacantes recebem a informação que, a priori, é segura.
Em que consiste
Para conseguí-lo, os ciberatacantes costumam basear-se em JavaScript e em vulnerabilidades alguns navegadores. No momento que uma empresa não tem instalados os últimos parches de segurança é susceptível de que seus sistemas sejam atacados.
Uma vez dentro, o que fazem com este código malicioso é que quando o utente põe os dados de seu tarjeta de crédito, também os está a enviar de forma paralela a outro servidor controlado pelos ciberatacantes.
Exemplos
O caso mais recente deste tipo de ciberataque é o de Air Europa, que parecia seguir os passos de British Airways, a arolínea que em 2018 sofreu um ciberataque similar mediante esta técnica, comprometeu os dados de 380.000 operações e foi multada por 213 milhões de euros.
Desde então confirmou-se o potencial risco do formjacking. A Universidade de Lancaster foi um dos centros que pesquisou e esta técnica e determinou que só se precisam umas 20 linhas de código para a realizar e que a operação de obter os dados dos cartões se conseguia em milisegundos, o que ajuda a que o ciberataque passe desapercibido.
Como se proteger
Ainda que é difícil proteger-se ao 100% destes ataques, existem grandes empresas que oferecem soluções. São as passarelas de pagamento dos grandes bancos, de plataformas como PayPal ou sistemas como Google Pay, entre outras.
Com estes sistemas a informação bancária não se compartilha no site do comércio electrónico, com o que ao menos por esta via fica protegida. Para que tivesse um problema, deveriam ser estes sistemas de pagamento os afectados directamente e, como é lógico, empresas como Google ou Paypal dispõem de recursos para o evitar.
Que fazer se tenho sido vítima
Aos utentes toca-nos fixar-nos bem à hora de pagar. Nenhuma empresa, por muito protegida que esteja, pode assegurar perfeitamente que seus sistemas são seguros. Como utentes há que se fixar em que tipo de site inserimos nossos dados. Aconselha-se revisar o cartão habitualmente e monitorar se realizou-se um pagamento estranho.
Nesse caso há que contactar com a entidade bancária, que tem a obrigação de reintegrar o pagamento se não temos sido nós os que o fizemos. Além dos cartões virtuais, alguns bancos têm começado a oferecer cartões de crédito com um CVV dinâmico que muda a cada vários minutos.