Alguns leitores de cartões de crédito e débito fabricados na China vêm com um brinde. Uma placa de rede wireless que se liga periodicamente a servidores no Paquistão e deposita lá a informação dos PIN e números de cartão usados naquele leitor. Pelas centenas de leitores alterados que já foram encontrados no Reino Unido, Irlanda, Holanda, Bélgica e Dinamarca, estima-se que o negócio já tenha rendido entre cinquenta a cem milhões de dólares.

A coisa está bem feita. Os leitores provavelmente são alterados na fábrica ou logo após a produção e a alteração não é visível sem os abrir. A única diferença é que são cerca de 100g mais pesados que os leitores sem brinde. Também têm uma programação sofisticada. Cada vez que depositam a informação nos servidores paquistaneses podem receber instruções acerca dos tipos de cartão a interceptar e a frequência com que armazenam e enviam os dados. Isto permite ir alterando o comportamento dos leitores para dificultar a sua detecção.

Infelizmente, as notícias não explicam como os aparelhos se ligam ao Paquistão. Se for pela rede móvel têm que ter SIM registados com alguma operadora e pagos por alguém. Se for pela rede dos pagamentos algo está muito errado com a segurança do sistema. Seja como for, o ataque apenas é possível porque a comunicação entre o leitor e o cartão não é cifrada. Ou seja, porque o sistema está mal feito de raiz.

Mais detalhes no Telegraph (e aqui) e no Wall Street Journal. Via Schneier on Security.

Editado a 15-10 para tirei o plural ao acrónimo SIM. Hoje deu-me para ser contra o plural nos acrónimos.