Um inspetor segura um telefone equipado com Bluetana com um skimmer ao fundo. As duas linhas em vermelho são a assinatura Bluetooth do skimmer. Os identificadores foram borrados na tela e no skimmer para que os criminosos não possam identificá-los. Crédito:David Baillot / Universidade da Califórnia em San Diego
Uma equipe de cientistas da computação da UC San Diego e da Universidade de Illinois desenvolveu um aplicativo que permite que os inspetores estaduais e federais detectem dispositivos que roubam dados de cartões de crédito e débito do consumidor em bombas de gasolina. Os dispositivos, conhecidos como skimmers, usam o Bluetooth para transmitir os dados que roubam.
"Tudo o que os criminosos precisam fazer é baixar os dados do conforto de seus veículos, "disse Nishant Bhaskar, um Ph.D. estudante de ciência da computação na Universidade da Califórnia em San Diego e o primeiro autor do estudo.
A aplicação, chamado Bluetana, detecta a assinatura Bluetooth dos skimmers, e permite que os inspetores encontrem os dispositivos sem a necessidade de abrir as bombas de gasolina.
O Bluetana foi desenvolvido com informações técnicas do Serviço Secreto dos Estados Unidos e está disponível apenas para policiais e inspetores de bombas de gasolina. Não estará disponível para o público em geral. Agora é usado por agências em vários estados.
"Nosso objetivo é dar aos agentes de campo as melhores ferramentas para o trabalho disponíveis hoje, "disse Kirill Levchenko, um professor de ciência da computação na Universidade de Illinois que obteve seu Ph.D. na Escola de Engenharia Jacobs na UC San Diego. "Descobrimos que o Bluetana ajuda os agentes a encontrar mais postos de gasolina com skimmers - e a encontrar mais skimmers nesses postos."
Os pesquisadores descobriram que, em comparação com aplicativos semelhantes atualmente disponíveis para smartphones, É provável que Bluetana descubra mais skimmers e resulta em uma taxa de falsos positivos muito mais baixa. "A tecnologia Bluetooth usada nesses skimmers também é usada para produtos legítimos comumente vistos em e perto de postos de gasolina, como sinais de limite de velocidade, sensores meteorológicos e sistemas de rastreamento de frota, "disse Bhaskar." Esses produtos podem ser confundidos com skimmers por aplicativos de detecção existentes. "
Bluetana usa um algoritmo desenvolvido pelos pesquisadores para distinguir skimmers de dispositivos Bluetooth legítimos. Os pesquisadores projetaram o algoritmo com base nos resultados de um estudo de campo durante o qual os pesquisadores analisaram varreduras de dispositivos Bluetooth feitas por funcionários em 1, 185 postos de gasolina em seis estados dos EUA.
"Bluetana extrai dados mais significativos do protocolo Bluetooth, como a intensidade do sinal, do que os aplicativos de detecção de skimmer existentes. Em alguns casos, nosso aplicativo foi capaz de encontrar dispositivos perdidos pela inspeção visual, "disse Maxwell Bland, um Ph.D. estudante de ciência da computação na UC San Diego e co-autor do estudo.
Em um ano de operação, Bluetana levou à descoberta de 42 skimmers baseados em Bluetooth em três estados dos EUA, todos os quais foram recuperados por agentes da lei. "Ficamos surpresos com a existência de tantos skimmers no campo que não foram descobertos por outros métodos de detecção, como inspeções manuais regulares, "disse Aaron Schulman, professor assistente de ciência da computação da UC San Diego. "Encontramos até dois skimmers instalados em bombas de gasolina e que não foram detectados por seis meses."
Os pesquisadores apresentarão seu trabalho no Bluetana na conferência USENIX Security 2019 em 14 de agosto, 2019 na área da Baía de São Francisco.
O que os skimmers fazem e quanto valem para os criminosos?
Os skimmers têm um alto retorno sobre o investimento para os criminosos:números de cartão de débito podem ser usados para sacar dinheiro e números de cartão de crédito para fazer compras caras. Um dispositivo de coleta custa US $ 20 ou menos para fabricar e pode render mais de US $ 4, 000 por dia, dependendo de quantas pessoas usam a bomba de gasolina e como o criminoso converte os números roubados em dinheiro.
Um pesquisador segura um telefone equipado com o aplicativo Bluetana com um skimmer ao fundo. Os caracteres vermelhos na tela são assinaturas Bluetooth de skimmers. Os identificadores são borrados para que os criminosos não possam lê-los. Crédito:David Baillot / Universidade da Califórnia em San Diego
Os criminosos invadem as bombas, muitos dos quais podem ser abertos usando uma chave mestra universal, para instalar os skimmers. Os skimmers são conectados ao teclado e ao leitor de tarja magnética dentro da bomba de gasolina. Isso permite que os dispositivos coletem não apenas os números dos cartões dos clientes, mas também seu código postal e PIN de cobrança, no caso de uma transação com cartão de débito.
É preciso Bluetana, na média, três segundos para detectar um skimmer. Por contraste, law enforcement officials can take 30 minutes on average to find skimmers during manual inspections.
"UC San Diego is an important and active partner on our Southern California Electronic Crimes Task Force, and has been able to provide technological solutions to current investigative needs, " said Special Agent in Charge James Anderson of the Secret Service. "Our office looks forward to presenting them with other investigative challenges."
Próximos passos
As more gas stations adopt payment systems exclusively for credit and debit cards with chips, criminals will use technologies to capture information from these types of cards. Researchers will have to follow suit. Visa and MasterCard are mandating that all gas stations in the United States use the chip-based systems by October 2020.
"Bluetana is not the last word, " Levchenko said. "As criminals evolve, our techniques will need to evolve also."
