À medida que as empresas do Reino Unido migram cada vez mais para pagamentos sem dinheiro, os cibercriminosos têm como alvo os sistemas de ponto de venda (POS). Só no primeiro semestre de 2025, 600 milhões de libras foram roubados através de fraude de pagamento, um aumento de 3% em relação ao mesmo período de 2024.
Diretor Geral da myPOS.
Como funciona o malware de PDV
O malware de PDV é um software projetado especificamente para roubar informações de pagamento do cliente. Em muitos casos, os dados roubados são vendidos a outros agentes mal-intencionados, que podem explorá-los de várias maneiras. Os invasores fazem isso usando uma variedade de técnicas:
O artigo continua abaixo
- Exploração de vulnerabilidades – Os sistemas POS são executados em sistemas operacionais comuns, como Windows, Linux ou variantes do Android. As vulnerabilidades podem surgir de software desatualizado, componentes de terceiros não corrigidos ou redes mal protegidas. Os invasores podem procurar endereços IP inseguros ou comprometer conectores Wi-Fi para plantar malware remotamente, roubar dados ou interromper operações.
- Instalação física – USBs ou outras mídias infectadas podem conter malware, permitindo que invasores monitorem, capturem e transmitam dados confidenciais.
- Ataques de força bruta – Programas automatizados percorrem milhares de combinações de nomes de usuário e senhas para acessar os sistemas.
- Credenciais comprometidas – Detalhes de login roubados de violações anteriores, incluindo aqueles de fornecedores terceirizados, permitem que invasores se façam passar por usuários legítimos e movimentem-se pelos sistemas sem serem detectados.
- Ameaças internas – Os funcionários podem receber subornos ou usar indevidamente o seu acesso para adulterar dispositivos ou instalar malware, permitindo o roubo furtivo de dados. Uma vez dentro de um sistema POS, o malware coleta dados confidenciais e muitas vezes os transfere para servidores remotos, deixando as empresas em risco de perdas financeiras e danos à reputação.
Tipos de malware de PDV
Nem todos os malwares de PDV funcionam da mesma maneira, cada variante funciona com suas próprias táticas e objetivos, tornando cada um eficaz em diferentes situações.
- Raspadores de RAM – capturam dados de pagamento não criptografados durante o processamento na memória.
- Sniffers de rede: interceptam e registram o tráfego de rede em busca de informações confidenciais, tornando-se uma causa comum de preocupação para aqueles que dependem de transações on-line.
- Keyloggers: registre as teclas digitadas em terminais POS ou dispositivos conectados para armazenar credenciais de login e informações do cartão.
- Injetor de arquivo: injeta código malicioso diretamente em arquivos reais do sistema POS. Uma vez comprometidos, esses arquivos modificados atuam como porta de entrada para roubo de dados ou outras atividades maliciosas.
- Backdoor – cria um ponto de entrada oculto, fornecendo acesso de longo prazo ao sistema.
Mitigação de riscos: melhores práticas para empresas do Reino Unido
A prevenção de malware em PDV requer uma abordagem holística que combine tecnologia, processos e pessoas. As principais estratégias para as empresas são:
- Redes e dispositivos POS seguros Redes inseguras são uma vulnerabilidade comum que convida a ataques de malware em pontos de venda. Para garantir a proteção, priorize o uso de conexões criptografadas, que ajudarão a proteger os dados em trânsito. As empresas podem contar com protocolos de comunicação seguros como o TLS para isso. Sempre implemente atualizações de software e corrija regularmente vulnerabilidades em software e dispositivos de PDV.
- Controles de acesso A implementação de políticas rígidas de acesso de usuários garante que apenas pessoal autorizado possa acessar sistemas confidenciais. Autenticação multifatorial, senhas exclusivas e acesso baseado em função adicionam uma camada extra de segurança ao acesso remoto e reduzem o risco de ameaças internas e comprometimento de credenciais.
- Segurança física do PDV Para minimizar os riscos, bloqueie o acesso e restrinja o acesso apenas a pessoal autorizado. Garanta o monitoramento consistente dos dispositivos físicos e realize inspeções periódicas em busca de adulterações ou alterações não autorizadas. Não se esqueça da importância de proteger dispositivos periféricos, como leitores de códigos de barras, impressoras de recibos e outros acessórios.
- Soluções antimalware avançadas Implante ferramentas antimalware confiáveis e sistemas de detecção de invasões (IDS) para identificar atividades suspeitas. Mantenha os bancos de dados de software e assinaturas atualizados para detectar ameaças emergentes.
- Criptografe dados confidenciais Proteja as informações de pagamento com criptografia ponta a ponta validada por PCI. Também ajuda as empresas a cumprir os padrões de segurança de dados da indústria de cartões de pagamento (PCI DSS).
- Fortalecer a segurança de fornecedores e terceiros Verifique se os parceiros terceirizados aderem a práticas rígidas de segurança e escolha com sabedoria antes de fazer parceria com eles. Mais importante ainda, ao iniciar uma parceria com um novo fornecedor, discuta as suas obrigações de segurança e inclua-as nos seus contratos. Isso manterá todos na mesma página e definirá expectativas de segurança claras.
Fundamentos de negócios
Para as PME do Reino Unido, as consequências dos ataques de malware nos POS vão muito além da mera perda financeira. As violações podem prejudicar a confiança dos clientes, expô-los a sanções regulatórias e perturbar as operações diárias.
A implementação proativa de medidas de segurança não é apenas uma necessidade técnica, mas uma decisão estratégica de negócios que protege a receita e a reputação.
Num cenário de pagamentos em rápida evolução, as empresas que priorizam a segurança do POS, integram a formação dos funcionários e adotam uma estratégia de segurança proativa e em camadas estão melhor posicionadas para reduzir o risco e manter a confiança do cliente.
O objetivo não é apenas conformidade, mas resiliência: garantir que os sistemas de pagamento digital operem de forma segura, confiável e sem interrupção.
Encontramos o melhor sistema POS para food trucks.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
