Saiba mais sobre ataques de skimming no ponto de venda e PCI e como eles funcionam

Publicado por Javier Ricardo


Todos os proprietários de negócios e consumidores precisam entender como podem se tornar vítimas de skimming no ponto de venda (PDV).
Esse roubo – usando dispositivos ilegais de escaneamento de cartão – pode ser tão eficaz quanto bater um veículo pesado pela janela da frente de uma loja fechada – um processo conhecido como Ram-Raiding.


Dispositivos de processamento de cartão de ponto de venda estão em toda parte em nossas vidas diárias.
Nós os usamos no caixa eletrônico do banco, no caixa da loja de conveniência, no lava-jato drive-thru e até nas máquinas de venda automática. A multidão desses dispositivos torna um campo de colheita maduro para ladrões.

Os 3 tipos de POS Skims


Existem basicamente três tipos de esquemas de skimming POS;
o escrivão skim, a troca de POS e o malware de POS.

Escriturário Skim


O escaneamento de balconista é o mais comum quando o balconista pega seu cartão e passa por um aparelho que copia as informações da tarja magnética.
Assim que o ladrão tiver os dados do cartão de crédito ou débito, ele pode fazer pedidos por telefone ou online ou criar um cartão clonado.

POS Swaps


Uma análise mais avançada ocorre quando os criminosos se passam por técnicos de POS, entram em um estabelecimento de varejo e trocam os terminais POS existentes por clones que permitem ao criminoso acesso remoto ao dispositivo.
Os ladrões podem substituir completamente o terminal de ponto de venda de um comerciante por um dispositivo que é manipulado para registrar ou desviar dados do cartão sem fio ou simplesmente armazenar os dados até que o criminoso volte e os remova.

Malware POS


O skim mais sofisticado de POS ocorre quando o software POS real é comprometido remotamente e hackeado quando o malware é instalado, dando aos criminosos controle total sobre os dispositivos.

PCI Security Standards Council


O Conselho de padrões de segurança da indústria de cartões de pagamento (PCI) fornece diretrizes projetadas para ajudar os comerciantes a armazenar e transmitir com segurança os dados da conta do cartão e evitar que caiam nas mãos de criminosos.
Os varejistas que não cumprirem os padrões do PCI podem ser multados por operadoras de cartão de crédito, como Visa e MasterCard.


O PCI atualiza constantemente uma série de recomendações para a prevenção de golpes de skimming.
“Skimming está se tornando um problema generalizado. Essas são as diretrizes para o que os varejistas devem observar com seus dispositivos de leitura ”, diz Bob Russo, gerente geral do PCI SSC. “Discutimos diferentes técnicas para proteger esses dispositivos de ponto de venda.”


As diretrizes de “Prevenção de Skimming: Melhores Práticas para Comerciantes” do PCI Council incluem um questionário de avaliação de risco e formulários de autoavaliação para avaliar a suscetibilidade a esses tipos de ataques e determinar onde eles precisam reforçar suas defesas.
As diretrizes abrangem como educar e proteger os funcionários que manipulam os dispositivos de ponto de venda de serem alvos, bem como maneiras de prevenir e impedir o comprometimento desses dispositivos. Eles também detalham como identificar um leitor manipulado e o que fazer a respeito, e como a localização física dos dispositivos e lojas pode aumentar o risco.

Como se Proteger

Examine regularmente seu caixa eletrônico.  Isso significa todos os caixas eletrônicos, mesmo os do seu banco. Você também deseja verificar qualquer um dos controles deslizantes do cartão, como os de postos de gasolina, etc., especialmente se estiver usando seu cartão de débito. Se o scanner não corresponder à cor e ao estilo da máquina, pode ser um skimmer. Você também deve “sacudir” o scanner de cartão para ver se parece que há algo conectado ao leitor de cartão no caixa eletrônico.

Cubra o teclado ao inserir seu PIN.  Para acessar suas contas bancárias, os ladrões precisam ter o número do seu cartão e seu PIN. Ao cobrir o teclado, você evita que câmeras e curiosos vejam seu PIN.

Verifique com frequência os extratos bancários e de cartão de crédito.  Se alguém conseguir suas informações, você terá 60 dias para relatar quaisquer cobranças fraudulentas à administradora do cartão de crédito para não serem cobradas. Para um cartão de débito, você tem apenas cerca de 2 dias para relatar qualquer atividade suspeita.

Seja seletivo sobre onde usar seus cartões.  Não use caixas eletrônicos em bares ou restaurantes. Eles geralmente não são monitorados e, portanto, podem ser facilmente adulterados por qualquer pessoa.