A “novidade” permite ao RawPOS roubar as informações da carteira de habilitação da vítima para auxiliar em atividades mal intencionadas do grupo que orquestra o ataque.
Como o RawPOS rouba o histórico do cartão de crédito da vítima
Tradicionalmente, os vírus de POS buscam por dados da tira magnética do cartão de crédito e usam outros componentes, tais como keyloggers e backdoors para obter informações valiosas. O RawPOS tenta reunir ambos de uma só vez, modificando de maneira inteligente a faixa regex (regular expression) para capturar os dados necessários.
O regular expressions é um dos métodos de correspondência de padrões mais antigos, e o RawPOS faz o escaneamento dos processos em busca de dados armazenados na tira magnética a fim de encontrar segmentos do tipo “track data” na memória.
Uma vez que é encontrado um padrão correspondente, o dumper de memória descarrega a memória de processamento para um scraper de arquivo organizar os dados. Normalmente, ambos o dump de memória e o scraper de arquivo teriam a mesma definição da regular expression.
Os primeiros anos foram quase idênticos, com apenas algumas adições menores. No entanto, no início de 2016, percebemos algo muito diferente.
As primeiras 3 linhas são para os detalhes do cartão de crédito e os segmento de “Carteira” e “Habilitação” são concedidos, mas e o segmento “ANSI 636”?
Como se sabe, isto foi definido no North American AAMVA DL/ID Card Design Standard de 2013 que definiu um código de barras PDF417 obrigatório para auxiliar na “verificação de identidade e idade, automação do processamento administrativo e verificação de endereço”. O PDF417, um código de barras bidimensional legível em máquina, é um padrão separado em si.
Os números “636” são os dígitos iniciais do Número de Identificação do Emissor (IIN – Issuer Identification Number) na maior parte dos Estados Unidos, o que informa que os dados de interese aqui são as informações da carteira de habilitação nos Estados Unidos. As Informações armazenadas em cada habilitação variam de acordo com o estado, mas o código de barras na maioria das vezes contém a mesma informação presente em todas as carteiras de habilitação ou ID estadual – especificamente: nome completo, data de nascimento, endereço completo, sexo, altura, e até mesmo cor dos olhos e do cabelo.
Apesar de o uso deste código de barras ser menos comum do que os leitores do cartão de crédito, ele também não é desconhecido. Algumas pessoas já tiveram o código de barras de sua habilitação escaneado em locais como farmácias, mercados, bares, cassinos e outros estabelecimentos que têm essa necessidade.
O que implica essas mudanças?
A combinação das informações pessoais com as informações do cartão de crédito dá aos agentes de ameaça uma identidade mais “autêntica”, e também fornece todas as informações necessárias para completar uma transação, apesar da ausência de um cartão físico. Além disso, a leitura do código de barras da habilitação das vítimas também pode ser usada para outros tipos de condutas fraudulentas, tal como roubo de identidade. De qualquer forma, o roubo das Informações de Identidade (PII – Personal Identity Information) será sempre um problema sério que pode resultar em consequências terríveis para suas vítimas.