Hacker no Supermercado: Explorando a Superfície de Ataque de um Varejista Típico
Um pentester detalha como um atacante pode explorar vulnerabilidades físicas e digitais em um supermercado comum, desde o acesso à rede até a manipulação de transações financeiras.
MundiX News·09 de julho de 2026·9 min de leitura·👁 1 views
Um hacker entra em um refeitório público e descobre com indignação que qualquer um pode desrosquear o saleiro da mesa. Lembra dessa velha piada? Quando as notícias mencionam ciberataques a redes de varejo, geralmente falam sobre vazamento de bancos de dados, DDoS e ransomware. Mas e se um invasor entrasse em uma loja com um laptop na mochila e olhasse atentamente ao redor?
Estamos com Ivan Glinkin, chefe do departamento de pesquisa aplicada na Bastion. Hoje, contarei a história de um Hacker no supermercado que obteve acesso a dados confidenciais, interceptou conversas de funcionários e até iniciou um reembolso para um cartão de outra pessoa. Abaixo, você encontrará um retrato coletivo do varejo russo e o resultado de várias caminhadas por lojas com um único objetivo: olhar para as coisas habituais através dos olhos de um pesquisador de segurança, que vê na loja não apenas prateleiras e caixas, mas também a superfície de ataque.
Como de costume, todos os eventos e personagens são fictícios, e quaisquer semelhanças são coincidência. Você verá uma reconstrução artística dos problemas típicos que podem ser encontrados em qualquer loja. Então, o Hacker entra na loja e descobre:
Caixas registradoras transformadoras e terminais de autoatendimento — a face do varejo moderno e seu calcanhar de Aquiles.
Botões de chamada de funcionários — transmissores de rádio com um código fixo que pode ser interceptado e reproduzido.
Telefones sem fio padrão DECT, que ainda são usados nas áreas de vendas.
Terminais de coleta de dados — dispositivos Android sem senha, com acesso às configurações de Wi-Fi.
Cabos de rede, que convidam a um conhecimento da rede interna.
Dia Um: Como se tornar "um dos seus" em 5 minutos
Em muitas corporações, acredita-se realmente que sua rede está isolada do mundo exterior. Na prática, o isolamento geralmente termina no primeiro cabo de rede não assinado. Assim, nosso Hacker, no primeiro dia, aproxima-se de uma caixa registradora transformadora, desconecta o cabo de rede, conecta seu laptop e executa o comando: sudo dhclient. Em poucos segundos, o Hacker tem um endereço IP da rede interna da loja. A máscara /27 significa que um segmento inteiro da infraestrutura corporativa está aberto para ele. A varredura leva mais alguns minutos. Dentro — tudo o que se pode esperar de uma loja típica: o computador de trabalho do diretor com uma porta RDP aberta; um roteador Wi-Fi com configurações padrão; uma base DECT para telefonia interna; câmeras de vigilância; outras caixas registradoras e terminais. E também credenciais e senhas armazenadas em texto claro em pastas compartilhadas e arquivos de configuração.
O Hacker se conecta ao computador do diretor. O cliente RDP oferece educadamente para escolher uma conta. O Hacker tenta operator. Nenhuma senha é necessária. Estranho: geralmente o Windows não permite login via RDP para contas com senhas vazias. Isso significa que alguém desabilitou especificamente essa restrição para manter o acesso de serviço. Essencialmente — um backdoor. Após 30 segundos, o Hacker está na área de trabalho remota de um funcionário que tem acesso ao e-mail corporativo, mensagens internas, documentos financeiros, cronogramas de trabalho e dados de fornecimento. E como todos os computadores tinham o Chrome instalado, o Hacker vai em Configurações → Senhas e o navegador mostra gentilmente os logins e senhas salvos para serviços internos: do CRM aos sistemas de gerenciamento de estoque.
Por que isso aconteceu e o que fazer
Contas sem senha em 2026 parecem um anacronismo, mas no varejo elas ainda são encontradas, assim como redes planas e não segmentadas, onde câmeras, estações de trabalho e roteadores Wi-Fi se amontoam como vizinhos em um apartamento comunitário. Adicione a isso a acessibilidade física da infraestrutura: cabos de rede, portas e switches estão localizados de forma que qualquer funcionário ou até mesmo um visitante comum possa alcançá-los. O diretor da loja perguntou a um amigo de segurança o que fazer, e ele decidiu:
Dividir a rede em segmentos, alocar VLANs separadas para caixas registradoras, equipamentos de serviço e estações de trabalho;
Limitar o conjunto de dispositivos dos quais a conexão RDP é permitida;
Habilitar listas brancas de endereços MAC e Port Security, para que um dispositivo estranho não possa ser simplesmente conectado à rede;
Definir senhas obrigatórias para todas as contas locais;
Proibir navegadores de armazenar senhas de sistemas internos;
Instruir o segurança a ficar de olho nas caixas registradoras.
Dia Dois: O Hacker joga "telefone estragado"
O Hacker notou que havia um botão de chamada de funcionário em um canto atrás das prateleiras de batatas fritas. Ele apertou, e um toque melodioso soou pelo salão, e logo um vendedor correu para o departamento. O que poderia ser mais inofensivo? Usando o HackRF One, o Hacker interceptou e gravou o sinal que sai do botão ao ser pressionado. Acontece que o botão transmite o mesmo sinal estático sem proteção contra repetição. Se você reproduzir esse sinal no ar, o toque funcionará obedientemente sem a participação do botão. Um ataque clássico de replay, que por algum motivo ainda funciona em 2026.
Agora o botão de chamada de funcionário foi transferido para o laptop do Hacker. Um toque — e o sinal soa no salão. Os funcionários correm para o sinal, a caixa registradora fica sem vigilância, e neste momento o cúmplice do Hacker calmamente... O diretor, irritado, ordenou que os botões fossem quebrados e colados imediatamente, mas isso não ajudou. O Hacker pegou o mesmo HackRF One, iniciou o software de código aberto gr-dect2 e começou a ouvir o ar. Acontece que a loja ainda usa telefones sem fio DECT. Para verificar, ele ligou de um telefone da loja para outro e se certificou de que o sinal era interceptado e decifrado em tempo real. Depois disso, restava apenas ouvir. Planos de fornecimento, cronogramas de trabalho, discussões sobre problemas com o caixa — tudo o que soava nos telefones DECT dos funcionários, agora soava simultaneamente nos fones de ouvido do Hacker. Nos relatórios de pentest, muitas vezes há uma ressalva: os riscos desse vetor são médios devido ao alto custo do equipamento e à falta de conhecimento dos atacantes, mas esta é uma informação desatualizada. O HackRF One original custa cerca de US$ 300, e clones chineses podem ser facilmente encontrados em marketplaces por 6-7 mil rublos. Com o gr-dect2, a situação é ainda mais simples — é um projeto com documentação aberta.
O que fazer com isso
As recomendações aqui são menos técnicas e mais organizacionais. O diretor deveria substituir os botões primitivos por sistemas com codificação dinâmica, e a telefonia DECT desatualizada por VoIP ou comunicação com fio.
Dia Três: O Hacker entra no Wi-Fi corporativo sem registro e SMS
Talvez o Wi-Fi esteja em alta? Ele realmente parecia sólido: não uma senha simples no roteador, mas WPA-Enterprise com autenticação por login e senha. Parecia uma barreira séria. Mas não para o Hacker. Ele implantou um ponto de acesso de phishing com o mesmo nome. Assim que o dispositivo de um funcionário (tablet de serviço ou smartphone do trabalhador) tentou se reconectar à rede, ele viu dois pontos com o mesmo SSID e escolheu aquele com o sinal mais forte e a resposta mais rápida. O ponto do Hacker respondeu mais rápido. Ao se conectar ao "gêmeo", o dispositivo tentou se autenticar e enviou as credenciais diretamente para os logs do Hacker. O diretor começou a ficar grisalho lentamente.
O que fazer com isso
Configurar EAP-TLS com verificação de certificado nos dispositivos cliente.
Monitorar o espectro de rádio. Ferramentas simples, incluindo as de código aberto, podem detectar pontos não autorizados com SSIDs iguais ou semelhantes aos corporativos.
Treinar funcionários. Se a senha do Wi-Fi for solicitada novamente ou a conexão for suspeitamente longa, o funcionário deve informar o departamento de TI ou segurança.
Dia Quatro: O Hacker desmonta a caixa registradora transformadora e o cofre de dinheiro
Lembra como o Hacker ficou indignado que qualquer um pudesse desrosquear o saleiro, embora houvesse apenas sal dentro? Agora imagine o mesmo saleiro, mas com o dinheiro da troca dentro. Uma caixa registradora transformadora é um dispositivo de hardware e software com uma gaveta de dinheiro de metal, scanners de código de barras (estacionário e manual) e uma impressora de recibos. Na parte inferior do dispositivo, há uma série de portas USB desprotegidas. O Hacker conecta um teclado comum a elas e começa a experimentar. A combinação Ctrl+Alt+F1–F5 alterna para um console de texto com um prompt para inserir login e senha. O acesso a um sistema completo já está próximo. As teclas de atalho Alt+F2 para iniciar comandos rapidamente foram convenientemente desativadas por alguém. Mas o console multiusuário do Linux permaneceu acessível. O Hacker desliga e liga a energia novamente, entra na BIOS pressionando Del. Nenhuma senha para entrar. Isso significa que você pode inicializar a partir de sua própria unidade flash, obter controle total do sistema, alterar configurações, instalar malware. O mais interessante espera o Hacker sob a caixa registradora. A gaveta de dinheiro de metal tem um botão mecânico de abertura de emergência na parte inferior. Se a gaveta não estiver trancada com chave (e os funcionários, aparentemente, esquecem de fazer isso regularmente), qualquer comprador pode se abaixar, apertar o botão e pegar o dinheiro.
A história com as caixas registradoras estaria incompleta sem seus irmãos gêmeos — os terminais de autoatendimento. Essencialmente, as mesmas caixas registradoras transformadoras, apenas em um formato ainda mais conveniente para o Hacker. Portas — USB, de rede, de energia — visíveis e de fácil acesso. A diferença é que uma caixa registradora transformadora pode ser teoricamente guardada por um vendedor, enquanto um terminal de autoatendimento geralmente fica em um canto do salão, deixado por conta própria e para todos que desejam "estudá-lo". O Hacker precisou ficar perto da caixa registradora por alguns minutos para ver como um funcionário digitava o código. Em seguida, acesso à funcionalidade, capacidade de emitir recibos, fazer devoluções e, claro, abrir aquela gaveta de metal por baixo.
O que fazer com isso
A solução está na superfície: restringir o acesso físico ao equipamento de caixa registradora. Tampas para portas USB, gabinetes fechados e tampas seladas impedirão a conexão de um dispositivo estranho. Uma senha para entrar na BIOS e a proibição de inicializar a partir de mídias removíveis protegerão contra tentativas de obter controle do sistema através de sua própria unidade flash. Separemente, vale a pena pensar na autorização dos funcionários. Um scanner de código de barras já está instalado na caixa registradora, então uma boa solução são cartões de identificação pessoais, onde a senha é codificada no código de barras. O funcionário aproxima o cartão do scanner, o sistema se autentica, o código em si não é visível para ninguém. Ao mesmo tempo, a combinação alfanumérica do cartão deve ser removida para que não possa ser digitada manualmente, contornando o scanner. E, claro, não se esqueça da fechadura na gaveta de dinheiro: se ela puder ser deixada destrancada, mais cedo ou mais tarde alguém o fará. Portanto, uma boa solução são modelos com travamento automático. O diretor olha para esta lista de verificação e lamenta não ter ido carregar madeira na Sibéria, como planejava.
Dia Cinco: O Hacker engana com cartões e devolução de dinheiro
Primeiro, o Hacker, como um comprador comum, comprou um produto na loja, pagou com cartão e recebeu um recibo. Esperando o terminal de autoatendimento entrar no modo de espera, o Hacker pressionou o canto superior esquerdo da tela e entrou no menu oculto para funcionários. O sistema solicitou autorização. O Hacker digitou a senha que viu o vendedor usar (um número de inventário simples) e entrou no menu do caixa. Em seguida, a opção "devolução por recibo de venda". O sistema mostrou uma lista das últimas operações, e o Hacker selecionou a compra recém-feita, após o que tentou um pequeno experimento: devolver o dinheiro não para o cartão com o qual o produto foi pago, mas para um completamente diferente — pertencente a terceiros. Pareceria que nesta fase o terminal deveria parar a operação ou solicitar confirmação de um funcionário sênior. Mas nada disso aconteceu: para transferir o dinheiro, a senha comum do vendedor-consultor foi suficiente. O sistema avisou honestamente que o dinheiro iria para outro cartão, mas ainda assim executou a operação. O produto permaneceu com o Hacker, a compra foi formalmente transformada em devolução, e o dinheiro da loja foi para uma conta de outra pessoa. Restava verificar se tal função tinha restrições de tempo. Por exemplo, que a devolução só seria possível nos últimos 14 dias, conforme exigido pela lei de proteção ao consumidor. Mas quando o Hacker tentou fazer uma devolução de uma compra feita há vários meses, o sistema executou essa operação também. Esta é uma lacuna na lógica de negócios e controle de acesso:
Baixo limite de autorização. Para uma operação financeira, a senha de um vendedor comum é suficiente, que é fácil de ver.
Sem verificação de correspondência de cartões. A devolução para outro cartão em si não é um erro: muitos bancos e redes de varejo suportam esse cenário para conveniência dos compradores. Mas tais operações devem exigir a participação do gerente da loja, do responsável material ou de outro funcionário com os poderes apropriados.
Sem restrições de tempo e limite. A devolução é possível por um período ilimitado e teoricamente por um valor ilimitado dentro do saldo disponível do caixa.
O que fazer com isso
É necessária autorização em dois níveis e restrição rigorosa da janela de tempo para devoluções. Devolução automática — apenas nos últimos 14 dias. Tudo o que for anterior é transferido para o modo manual com verificação em vários níveis e documentação. Vinculação do cartão de devolução ao cartão de pagamento por padrão. Devolução em dinheiro ou para outro cartão — como exceção, estritamente regulamentada, com registro separado. Um log de auditoria separado de todas as operações de devolução com vinculação ao ID do caixa, número do recibo e cartão do destinatário para análise posterior.
O que o Hacker levou no final
Nada, porque era um pentester disciplinado. Ele veio, olhou, coletou evidências e foi escrever um relatório. Mas, falando sério, a situação é desagradável, pois uma loja não é apenas um edifício. Na verdade, é um filial da infraestrutura corporativa, um conjunto de interfaces confiáveis, exposto diretamente ao comprador, em espaço público. E cada um deles, em si, não parece assustador. Bem, o que há de tão ruim em um botão de chamada? Em um telefone? Em um USB de caixa? No número de inventário do vendedor? No cabo sob o terminal? E então essas "coisas inofensivas" se somam em uma cadeia: acesso à rede, credenciais, sistemas internos, informações operacionais, ações financeiras. Um bom pentest em tal ambiente não termina com a frase "feche a porta e coloque uma senha". Termina com uma pergunta mais desagradável: quem decidiu que todas essas coisas deveriam ser deixadas na zona de acesso do cliente?
Se o artigo atingir 1000 curtidas — o Hacker visitará sua loja também ☺ Enquanto isso, convido você ao meu canal no Telegram, onde falo sobre engenharia reversa e gêneros vizinhos: t.me/glinkinivan. PURP — um canal no Telegram onde a cibersegurança é revelada de ambos os lados das barricadas t.me/purp_sec — insights e ideias do mundo do hacking ético e proteção orientada a negócios por especialistas da Bastion
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um hacker entra em um refeitório público e descobre com indignação que qualquer um pode desrosquear o saleiro da mesa. Lembra dessa velha piada? Quando as notícias mencionam ciberataques a redes de varejo, geralmente falam sobre vazamento de bancos de dados, DDoS e ransomware. Mas e se um invasor entrasse em uma loja com um laptop na mochila e olhasse atentamente ao redor?
Estamos com Ivan Glinkin, chefe do departamento de pesquisa aplicada na Bastion. Hoje, contarei a história de um Hacker no supermercado que obteve acesso a dados confidenciais, interceptou conversas de funcionários e até iniciou um reembolso para um cartão de outra pessoa. Abaixo, você encontrará um retrato coletivo do varejo russo e o resultado de várias caminhadas por lojas com um único objetivo: olhar para as coisas habituais através dos olhos de um pesquisador de segurança, que vê na loja não apenas prateleiras e caixas, mas também a superfície de ataque.
Como de costume, todos os eventos e personagens são fictícios, e quaisquer semelhanças são coincidência. Você verá uma reconstrução artística dos problemas típicos que podem ser encontrados em qualquer loja. Então, o Hacker entra na loja e descobre:
Caixas registradoras transformadoras e terminais de autoatendimento — a face do varejo moderno e seu calcanhar de Aquiles.
Botões de chamada de funcionários — transmissores de rádio com um código fixo que pode ser interceptado e reproduzido.
Telefones sem fio padrão DECT, que ainda são usados nas áreas de vendas.
Terminais de coleta de dados — dispositivos Android sem senha, com acesso às configurações de Wi-Fi.
Cabos de rede, que convidam a um conhecimento da rede interna.
Dia Um: Como se tornar "um dos seus" em 5 minutos
Em muitas corporações, acredita-se realmente que sua rede está isolada do mundo exterior. Na prática, o isolamento geralmente termina no primeiro cabo de rede não assinado. Assim, nosso Hacker, no primeiro dia, aproxima-se de uma caixa registradora transformadora, desconecta o cabo de rede, conecta seu laptop e executa o comando: sudo dhclient. Em poucos segundos, o Hacker tem um endereço IP da rede interna da loja. A máscara /27 significa que um segmento inteiro da infraestrutura corporativa está aberto para ele. A varredura leva mais alguns minutos. Dentro — tudo o que se pode esperar de uma loja típica: o computador de trabalho do diretor com uma porta RDP aberta; um roteador Wi-Fi com configurações padrão; uma base DECT para telefonia interna; câmeras de vigilância; outras caixas registradoras e terminais. E também credenciais e senhas armazenadas em texto claro em pastas compartilhadas e arquivos de configuração.
O Hacker se conecta ao computador do diretor. O cliente RDP oferece educadamente para escolher uma conta. O Hacker tenta operator. Nenhuma senha é necessária. Estranho: geralmente o Windows não permite login via RDP para contas com senhas vazias. Isso significa que alguém desabilitou especificamente essa restrição para manter o acesso de serviço. Essencialmente — um backdoor. Após 30 segundos, o Hacker está na área de trabalho remota de um funcionário que tem acesso ao e-mail corporativo, mensagens internas, documentos financeiros, cronogramas de trabalho e dados de fornecimento. E como todos os computadores tinham o Chrome instalado, o Hacker vai em Configurações → Senhas e o navegador mostra gentilmente os logins e senhas salvos para serviços internos: do CRM aos sistemas de gerenciamento de estoque.
Por que isso aconteceu e o que fazer
Contas sem senha em 2026 parecem um anacronismo, mas no varejo elas ainda são encontradas, assim como redes planas e não segmentadas, onde câmeras, estações de trabalho e roteadores Wi-Fi se amontoam como vizinhos em um apartamento comunitário. Adicione a isso a acessibilidade física da infraestrutura: cabos de rede, portas e switches estão localizados de forma que qualquer funcionário ou até mesmo um visitante comum possa alcançá-los. O diretor da loja perguntou a um amigo de segurança o que fazer, e ele decidiu:
Dividir a rede em segmentos, alocar VLANs separadas para caixas registradoras, equipamentos de serviço e estações de trabalho;
Limitar o conjunto de dispositivos dos quais a conexão RDP é permitida;
Habilitar listas brancas de endereços MAC e Port Security, para que um dispositivo estranho não possa ser simplesmente conectado à rede;
Definir senhas obrigatórias para todas as contas locais;
Proibir navegadores de armazenar senhas de sistemas internos;
Instruir o segurança a ficar de olho nas caixas registradoras.
Dia Dois: O Hacker joga "telefone estragado"
O Hacker notou que havia um botão de chamada de funcionário em um canto atrás das prateleiras de batatas fritas. Ele apertou, e um toque melodioso soou pelo salão, e logo um vendedor correu para o departamento. O que poderia ser mais inofensivo? Usando o HackRF One, o Hacker interceptou e gravou o sinal que sai do botão ao ser pressionado. Acontece que o botão transmite o mesmo sinal estático sem proteção contra repetição. Se você reproduzir esse sinal no ar, o toque funcionará obedientemente sem a participação do botão. Um ataque clássico de replay, que por algum motivo ainda funciona em 2026.
Agora o botão de chamada de funcionário foi transferido para o laptop do Hacker. Um toque — e o sinal soa no salão. Os funcionários correm para o sinal, a caixa registradora fica sem vigilância, e neste momento o cúmplice do Hacker calmamente... O diretor, irritado, ordenou que os botões fossem quebrados e colados imediatamente, mas isso não ajudou. O Hacker pegou o mesmo HackRF One, iniciou o software de código aberto gr-dect2 e começou a ouvir o ar. Acontece que a loja ainda usa telefones sem fio DECT. Para verificar, ele ligou de um telefone da loja para outro e se certificou de que o sinal era interceptado e decifrado em tempo real. Depois disso, restava apenas ouvir. Planos de fornecimento, cronogramas de trabalho, discussões sobre problemas com o caixa — tudo o que soava nos telefones DECT dos funcionários, agora soava simultaneamente nos fones de ouvido do Hacker. Nos relatórios de pentest, muitas vezes há uma ressalva: os riscos desse vetor são médios devido ao alto custo do equipamento e à falta de conhecimento dos atacantes, mas esta é uma informação desatualizada. O HackRF One original custa cerca de US$ 300, e clones chineses podem ser facilmente encontrados em marketplaces por 6-7 mil rublos. Com o gr-dect2, a situação é ainda mais simples — é um projeto com documentação aberta.
O que fazer com isso
As recomendações aqui são menos técnicas e mais organizacionais. O diretor deveria substituir os botões primitivos por sistemas com codificação dinâmica, e a telefonia DECT desatualizada por VoIP ou comunicação com fio.
Dia Três: O Hacker entra no Wi-Fi corporativo sem registro e SMS
Talvez o Wi-Fi esteja em alta? Ele realmente parecia sólido: não uma senha simples no roteador, mas WPA-Enterprise com autenticação por login e senha. Parecia uma barreira séria. Mas não para o Hacker. Ele implantou um ponto de acesso de phishing com o mesmo nome. Assim que o dispositivo de um funcionário (tablet de serviço ou smartphone do trabalhador) tentou se reconectar à rede, ele viu dois pontos com o mesmo SSID e escolheu aquele com o sinal mais forte e a resposta mais rápida. O ponto do Hacker respondeu mais rápido. Ao se conectar ao "gêmeo", o dispositivo tentou se autenticar e enviou as credenciais diretamente para os logs do Hacker. O diretor começou a ficar grisalho lentamente.
O que fazer com isso
Configurar EAP-TLS com verificação de certificado nos dispositivos cliente.
Monitorar o espectro de rádio. Ferramentas simples, incluindo as de código aberto, podem detectar pontos não autorizados com SSIDs iguais ou semelhantes aos corporativos.
Treinar funcionários. Se a senha do Wi-Fi for solicitada novamente ou a conexão for suspeitamente longa, o funcionário deve informar o departamento de TI ou segurança.
Dia Quatro: O Hacker desmonta a caixa registradora transformadora e o cofre de dinheiro
Lembra como o Hacker ficou indignado que qualquer um pudesse desrosquear o saleiro, embora houvesse apenas sal dentro? Agora imagine o mesmo saleiro, mas com o dinheiro da troca dentro. Uma caixa registradora transformadora é um dispositivo de hardware e software com uma gaveta de dinheiro de metal, scanners de código de barras (estacionário e manual) e uma impressora de recibos. Na parte inferior do dispositivo, há uma série de portas USB desprotegidas. O Hacker conecta um teclado comum a elas e começa a experimentar. A combinação Ctrl+Alt+F1–F5 alterna para um console de texto com um prompt para inserir login e senha. O acesso a um sistema completo já está próximo. As teclas de atalho Alt+F2 para iniciar comandos rapidamente foram convenientemente desativadas por alguém. Mas o console multiusuário do Linux permaneceu acessível. O Hacker desliga e liga a energia novamente, entra na BIOS pressionando Del. Nenhuma senha para entrar. Isso significa que você pode inicializar a partir de sua própria unidade flash, obter controle total do sistema, alterar configurações, instalar malware. O mais interessante espera o Hacker sob a caixa registradora. A gaveta de dinheiro de metal tem um botão mecânico de abertura de emergência na parte inferior. Se a gaveta não estiver trancada com chave (e os funcionários, aparentemente, esquecem de fazer isso regularmente), qualquer comprador pode se abaixar, apertar o botão e pegar o dinheiro.
A história com as caixas registradoras estaria incompleta sem seus irmãos gêmeos — os terminais de autoatendimento. Essencialmente, as mesmas caixas registradoras transformadoras, apenas em um formato ainda mais conveniente para o Hacker. Portas — USB, de rede, de energia — visíveis e de fácil acesso. A diferença é que uma caixa registradora transformadora pode ser teoricamente guardada por um vendedor, enquanto um terminal de autoatendimento geralmente fica em um canto do salão, deixado por conta própria e para todos que desejam "estudá-lo". O Hacker precisou ficar perto da caixa registradora por alguns minutos para ver como um funcionário digitava o código. Em seguida, acesso à funcionalidade, capacidade de emitir recibos, fazer devoluções e, claro, abrir aquela gaveta de metal por baixo.
O que fazer com isso
A solução está na superfície: restringir o acesso físico ao equipamento de caixa registradora. Tampas para portas USB, gabinetes fechados e tampas seladas impedirão a conexão de um dispositivo estranho. Uma senha para entrar na BIOS e a proibição de inicializar a partir de mídias removíveis protegerão contra tentativas de obter controle do sistema através de sua própria unidade flash. Separemente, vale a pena pensar na autorização dos funcionários. Um scanner de código de barras já está instalado na caixa registradora, então uma boa solução são cartões de identificação pessoais, onde a senha é codificada no código de barras. O funcionário aproxima o cartão do scanner, o sistema se autentica, o código em si não é visível para ninguém. Ao mesmo tempo, a combinação alfanumérica do cartão deve ser removida para que não possa ser digitada manualmente, contornando o scanner. E, claro, não se esqueça da fechadura na gaveta de dinheiro: se ela puder ser deixada destrancada, mais cedo ou mais tarde alguém o fará. Portanto, uma boa solução são modelos com travamento automático. O diretor olha para esta lista de verificação e lamenta não ter ido carregar madeira na Sibéria, como planejava.
Dia Cinco: O Hacker engana com cartões e devolução de dinheiro
Primeiro, o Hacker, como um comprador comum, comprou um produto na loja, pagou com cartão e recebeu um recibo. Esperando o terminal de autoatendimento entrar no modo de espera, o Hacker pressionou o canto superior esquerdo da tela e entrou no menu oculto para funcionários. O sistema solicitou autorização. O Hacker digitou a senha que viu o vendedor usar (um número de inventário simples) e entrou no menu do caixa. Em seguida, a opção "devolução por recibo de venda". O sistema mostrou uma lista das últimas operações, e o Hacker selecionou a compra recém-feita, após o que tentou um pequeno experimento: devolver o dinheiro não para o cartão com o qual o produto foi pago, mas para um completamente diferente — pertencente a terceiros. Pareceria que nesta fase o terminal deveria parar a operação ou solicitar confirmação de um funcionário sênior. Mas nada disso aconteceu: para transferir o dinheiro, a senha comum do vendedor-consultor foi suficiente. O sistema avisou honestamente que o dinheiro iria para outro cartão, mas ainda assim executou a operação. O produto permaneceu com o Hacker, a compra foi formalmente transformada em devolução, e o dinheiro da loja foi para uma conta de outra pessoa. Restava verificar se tal função tinha restrições de tempo. Por exemplo, que a devolução só seria possível nos últimos 14 dias, conforme exigido pela lei de proteção ao consumidor. Mas quando o Hacker tentou fazer uma devolução de uma compra feita há vários meses, o sistema executou essa operação também. Esta é uma lacuna na lógica de negócios e controle de acesso:
Baixo limite de autorização. Para uma operação financeira, a senha de um vendedor comum é suficiente, que é fácil de ver.
Sem verificação de correspondência de cartões. A devolução para outro cartão em si não é um erro: muitos bancos e redes de varejo suportam esse cenário para conveniência dos compradores. Mas tais operações devem exigir a participação do gerente da loja, do responsável material ou de outro funcionário com os poderes apropriados.
Sem restrições de tempo e limite. A devolução é possível por um período ilimitado e teoricamente por um valor ilimitado dentro do saldo disponível do caixa.
O que fazer com isso
É necessária autorização em dois níveis e restrição rigorosa da janela de tempo para devoluções. Devolução automática — apenas nos últimos 14 dias. Tudo o que for anterior é transferido para o modo manual com verificação em vários níveis e documentação. Vinculação do cartão de devolução ao cartão de pagamento por padrão. Devolução em dinheiro ou para outro cartão — como exceção, estritamente regulamentada, com registro separado. Um log de auditoria separado de todas as operações de devolução com vinculação ao ID do caixa, número do recibo e cartão do destinatário para análise posterior.
O que o Hacker levou no final
Nada, porque era um pentester disciplinado. Ele veio, olhou, coletou evidências e foi escrever um relatório. Mas, falando sério, a situação é desagradável, pois uma loja não é apenas um edifício. Na verdade, é um filial da infraestrutura corporativa, um conjunto de interfaces confiáveis, exposto diretamente ao comprador, em espaço público. E cada um deles, em si, não parece assustador. Bem, o que há de tão ruim em um botão de chamada? Em um telefone? Em um USB de caixa? No número de inventário do vendedor? No cabo sob o terminal? E então essas "coisas inofensivas" se somam em uma cadeia: acesso à rede, credenciais, sistemas internos, informações operacionais, ações financeiras. Um bom pentest em tal ambiente não termina com a frase "feche a porta e coloque uma senha". Termina com uma pergunta mais desagradável: quem decidiu que todas essas coisas deveriam ser deixadas na zona de acesso do cliente?
Se o artigo atingir 1000 curtidas — o Hacker visitará sua loja também ☺ Enquanto isso, convido você ao meu canal no Telegram, onde falo sobre engenharia reversa e gêneros vizinhos: t.me/glinkinivan. PURP — um canal no Telegram onde a cibersegurança é revelada de ambos os lados das barricadas t.me/purp_sec — insights e ideias do mundo do hacking ético e proteção orientada a negócios por especialistas da Bastion
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.