Hacker no Supermercado: Explorando a Superfície de Ataque de um Varejista Típico

Hacker no Supermercado: Explorando a Superfície de Ataque de um Varejista Típico

Um pentester detalha como um atacante pode explorar vulnerabilidades físicas e digitais em um supermercado comum, desde o acesso à rede até a manipulação de transações financeiras.

MundiX News·09 de julho de 2026·9 min de leitura·👁 1 views

Um hacker entra em um refeitório público e descobre com indignação que qualquer um pode desrosquear o saleiro da mesa. Lembra dessa velha piada? Quando as notícias mencionam ciberataques a redes de varejo, geralmente falam sobre vazamento de bancos de dados, DDoS e ransomware. Mas e se um invasor entrasse em uma loja com um laptop na mochila e olhasse atentamente ao redor?

Estamos com Ivan Glinkin, chefe do departamento de pesquisa aplicada na Bastion. Hoje, contarei a história de um Hacker no supermercado que obteve acesso a dados confidenciais, interceptou conversas de funcionários e até iniciou um reembolso para um cartão de outra pessoa. Abaixo, você encontrará um retrato coletivo do varejo russo e o resultado de várias caminhadas por lojas com um único objetivo: olhar para as coisas habituais através dos olhos de um pesquisador de segurança, que vê na loja não apenas prateleiras e caixas, mas também a superfície de ataque.

Como de costume, todos os eventos e personagens são fictícios, e quaisquer semelhanças são coincidência. Você verá uma reconstrução artística dos problemas típicos que podem ser encontrados em qualquer loja. Então, o Hacker entra na loja e descobre:

Caixas registradoras transformadoras e terminais de autoatendimento — a face do varejo moderno e seu calcanhar de Aquiles. Botões de chamada de funcionários — transmissores de rádio com um código fixo que pode ser interceptado e reproduzido. Telefones sem fio padrão DECT, que ainda são usados nas áreas de vendas. Terminais de coleta de dados — dispositivos Android sem senha, com acesso às configurações de Wi-Fi. Cabos de rede, que convidam a um conhecimento da rede interna.

Dia Um: Como se tornar "um dos seus" em 5 minutos

Em muitas corporações, acredita-se realmente que sua rede está isolada do mundo exterior. Na prática, o isolamento geralmente termina no primeiro cabo de rede não assinado. Assim, nosso Hacker, no primeiro dia, aproxima-se de uma caixa registradora transformadora, desconecta o cabo de rede, conecta seu laptop e executa o comando: sudo dhclient. Em poucos segundos, o Hacker tem um endereço IP da rede interna da loja. A máscara /27 significa que um segmento inteiro da infraestrutura corporativa está aberto para ele. A varredura leva mais alguns minutos. Dentro — tudo o que se pode esperar de uma loja típica: o computador de trabalho do diretor com uma porta RDP aberta; um roteador Wi-Fi com configurações padrão; uma base DECT para telefonia interna; câmeras de vigilância; outras caixas registradoras e terminais. E também credenciais e senhas armazenadas em texto claro em pastas compartilhadas e arquivos de configuração.

O Hacker se conecta ao computador do diretor. O cliente RDP oferece educadamente para escolher uma conta. O Hacker tenta operator. Nenhuma senha é necessária. Estranho: geralmente o Windows não permite login via RDP para contas com senhas vazias. Isso significa que alguém desabilitou especificamente essa restrição para manter o acesso de serviço. Essencialmente — um backdoor. Após 30 segundos, o Hacker está na área de trabalho remota de um funcionário que tem acesso ao e-mail corporativo, mensagens internas, documentos financeiros, cronogramas de trabalho e dados de fornecimento. E como todos os computadores tinham o Chrome instalado, o Hacker vai em Configurações → Senhas e o navegador mostra gentilmente os logins e senhas salvos para serviços internos: do CRM aos sistemas de gerenciamento de estoque.

Por que isso aconteceu e o que fazer

Contas sem senha em 2026 parecem um anacronismo, mas no varejo elas ainda são encontradas, assim como redes planas e não segmentadas, onde câmeras, estações de trabalho e roteadores Wi-Fi se amontoam como vizinhos em um apartamento comunitário. Adicione a isso a acessibilidade física da infraestrutura: cabos de rede, portas e switches estão localizados de forma que qualquer funcionário ou até mesmo um visitante comum possa alcançá-los. O diretor da loja perguntou a um amigo de segurança o que fazer, e ele decidiu:

Dividir a rede em segmentos, alocar VLANs separadas para caixas registradoras, equipamentos de serviço e estações de trabalho; Limitar o conjunto de dispositivos dos quais a conexão RDP é permitida; Habilitar listas brancas de endereços MAC e Port Security, para que um dispositivo estranho não possa ser simplesmente conectado à rede; Definir senhas obrigatórias para todas as contas locais; Proibir navegadores de armazenar senhas de sistemas internos; Instruir o segurança a ficar de olho nas caixas registradoras.

Dia Dois: O Hacker joga "telefone estragado"

O Hacker notou que havia um botão de chamada de funcionário em um canto atrás das prateleiras de batatas fritas. Ele apertou, e um toque melodioso soou pelo salão, e logo um vendedor correu para o departamento. O que poderia ser mais inofensivo? Usando o HackRF One, o Hacker interceptou e gravou o sinal que sai do botão ao ser pressionado. Acontece que o botão transmite o mesmo sinal estático sem proteção contra repetição. Se você reproduzir esse sinal no ar, o toque funcionará obedientemente sem a participação do botão. Um ataque clássico de replay, que por algum motivo ainda funciona em 2026.

Agora o botão de chamada de funcionário foi transferido para o laptop do Hacker. Um toque — e o sinal soa no salão. Os funcionários correm para o sinal, a caixa registradora fica sem vigilância, e neste momento o cúmplice do Hacker calmamente... O diretor, irritado, ordenou que os botões fossem quebrados e colados imediatamente, mas isso não ajudou. O Hacker pegou o mesmo HackRF One, iniciou o software de código aberto gr-dect2 e começou a ouvir o ar. Acontece que a loja ainda usa telefones sem fio DECT. Para verificar, ele ligou de um telefone da loja para outro e se certificou de que o sinal era interceptado e decifrado em tempo real. Depois disso, restava apenas ouvir. Planos de fornecimento, cronogramas de trabalho, discussões sobre problemas com o caixa — tudo o que soava nos telefones DECT dos funcionários, agora soava simultaneamente nos fones de ouvido do Hacker. Nos relatórios de pentest, muitas vezes há uma ressalva: os riscos desse vetor são médios devido ao alto custo do equipamento e à falta de conhecimento dos atacantes, mas esta é uma informação desatualizada. O HackRF One original custa cerca de US$ 300, e clones chineses podem ser facilmente encontrados em marketplaces por 6-7 mil rublos. Com o gr-dect2, a situação é ainda mais simples — é um projeto com documentação aberta.

O que fazer com isso

As recomendações aqui são menos técnicas e mais organizacionais. O diretor deveria substituir os botões primitivos por sistemas com codificação dinâmica, e a telefonia DECT desatualizada por VoIP ou comunicação com fio.

Dia Três: O Hacker entra no Wi-Fi corporativo sem registro e SMS

Talvez o Wi-Fi esteja em alta? Ele realmente parecia sólido: não uma senha simples no roteador, mas WPA-Enterprise com autenticação por login e senha. Parecia uma barreira séria. Mas não para o Hacker. Ele implantou um ponto de acesso de phishing com o mesmo nome. Assim que o dispositivo de um funcionário (tablet de serviço ou smartphone do trabalhador) tentou se reconectar à rede, ele viu dois pontos com o mesmo SSID e escolheu aquele com o sinal mais forte e a resposta mais rápida. O ponto do Hacker respondeu mais rápido. Ao se conectar ao "gêmeo", o dispositivo tentou se autenticar e enviou as credenciais diretamente para os logs do Hacker. O diretor começou a ficar grisalho lentamente.

O que fazer com isso

Configurar EAP-TLS com verificação de certificado nos dispositivos cliente. Monitorar o espectro de rádio. Ferramentas simples, incluindo as de código aberto, podem detectar pontos não autorizados com SSIDs iguais ou semelhantes aos corporativos. Treinar funcionários. Se a senha do Wi-Fi for solicitada novamente ou a conexão for suspeitamente longa, o funcionário deve informar o departamento de TI ou segurança.

Dia Quatro: O Hacker desmonta a caixa registradora transformadora e o cofre de dinheiro

Lembra como o Hacker ficou indignado que qualquer um pudesse desrosquear o saleiro, embora houvesse apenas sal dentro? Agora imagine o mesmo saleiro, mas com o dinheiro da troca dentro. Uma caixa registradora transformadora é um dispositivo de hardware e software com uma gaveta de dinheiro de metal, scanners de código de barras (estacionário e manual) e uma impressora de recibos. Na parte inferior do dispositivo, há uma série de portas USB desprotegidas. O Hacker conecta um teclado comum a elas e começa a experimentar. A combinação Ctrl+Alt+F1–F5 alterna para um console de texto com um prompt para inserir login e senha. O acesso a um sistema completo já está próximo. As teclas de atalho Alt+F2 para iniciar comandos rapidamente foram convenientemente desativadas por alguém. Mas o console multiusuário do Linux permaneceu acessível. O Hacker desliga e liga a energia novamente, entra na BIOS pressionando Del. Nenhuma senha para entrar. Isso significa que você pode inicializar a partir de sua própria unidade flash, obter controle total do sistema, alterar configurações, instalar malware. O mais interessante espera o Hacker sob a caixa registradora. A gaveta de dinheiro de metal tem um botão mecânico de abertura de emergência na parte inferior. Se a gaveta não estiver trancada com chave (e os funcionários, aparentemente, esquecem de fazer isso regularmente), qualquer comprador pode se abaixar, apertar o botão e pegar o dinheiro.

A história com as caixas registradoras estaria incompleta sem seus irmãos gêmeos — os terminais de autoatendimento. Essencialmente, as mesmas caixas registradoras transformadoras, apenas em um formato ainda mais conveniente para o Hacker. Portas — USB, de rede, de energia — visíveis e de fácil acesso. A diferença é que uma caixa registradora transformadora pode ser teoricamente guardada por um vendedor, enquanto um terminal de autoatendimento geralmente fica em um canto do salão, deixado por conta própria e para todos que desejam "estudá-lo". O Hacker precisou ficar perto da caixa registradora por alguns minutos para ver como um funcionário digitava o código. Em seguida, acesso à funcionalidade, capacidade de emitir recibos, fazer devoluções e, claro, abrir aquela gaveta de metal por baixo.

O que fazer com isso

A solução está na superfície: restringir o acesso físico ao equipamento de caixa registradora. Tampas para portas USB, gabinetes fechados e tampas seladas impedirão a conexão de um dispositivo estranho. Uma senha para entrar na BIOS e a proibição de inicializar a partir de mídias removíveis protegerão contra tentativas de obter controle do sistema através de sua própria unidade flash. Separemente, vale a pena pensar na autorização dos funcionários. Um scanner de código de barras já está instalado na caixa registradora, então uma boa solução são cartões de identificação pessoais, onde a senha é codificada no código de barras. O funcionário aproxima o cartão do scanner, o sistema se autentica, o código em si não é visível para ninguém. Ao mesmo tempo, a combinação alfanumérica do cartão deve ser removida para que não possa ser digitada manualmente, contornando o scanner. E, claro, não se esqueça da fechadura na gaveta de dinheiro: se ela puder ser deixada destrancada, mais cedo ou mais tarde alguém o fará. Portanto, uma boa solução são modelos com travamento automático. O diretor olha para esta lista de verificação e lamenta não ter ido carregar madeira na Sibéria, como planejava.

Dia Cinco: O Hacker engana com cartões e devolução de dinheiro

Primeiro, o Hacker, como um comprador comum, comprou um produto na loja, pagou com cartão e recebeu um recibo. Esperando o terminal de autoatendimento entrar no modo de espera, o Hacker pressionou o canto superior esquerdo da tela e entrou no menu oculto para funcionários. O sistema solicitou autorização. O Hacker digitou a senha que viu o vendedor usar (um número de inventário simples) e entrou no menu do caixa. Em seguida, a opção "devolução por recibo de venda". O sistema mostrou uma lista das últimas operações, e o Hacker selecionou a compra recém-feita, após o que tentou um pequeno experimento: devolver o dinheiro não para o cartão com o qual o produto foi pago, mas para um completamente diferente — pertencente a terceiros. Pareceria que nesta fase o terminal deveria parar a operação ou solicitar confirmação de um funcionário sênior. Mas nada disso aconteceu: para transferir o dinheiro, a senha comum do vendedor-consultor foi suficiente. O sistema avisou honestamente que o dinheiro iria para outro cartão, mas ainda assim executou a operação. O produto permaneceu com o Hacker, a compra foi formalmente transformada em devolução, e o dinheiro da loja foi para uma conta de outra pessoa. Restava verificar se tal função tinha restrições de tempo. Por exemplo, que a devolução só seria possível nos últimos 14 dias, conforme exigido pela lei de proteção ao consumidor. Mas quando o Hacker tentou fazer uma devolução de uma compra feita há vários meses, o sistema executou essa operação também. Esta é uma lacuna na lógica de negócios e controle de acesso:

Baixo limite de autorização. Para uma operação financeira, a senha de um vendedor comum é suficiente, que é fácil de ver. Sem verificação de correspondência de cartões. A devolução para outro cartão em si não é um erro: muitos bancos e redes de varejo suportam esse cenário para conveniência dos compradores. Mas tais operações devem exigir a participação do gerente da loja, do responsável material ou de outro funcionário com os poderes apropriados. Sem restrições de tempo e limite. A devolução é possível por um período ilimitado e teoricamente por um valor ilimitado dentro do saldo disponível do caixa.

O que fazer com isso

É necessária autorização em dois níveis e restrição rigorosa da janela de tempo para devoluções. Devolução automática — apenas nos últimos 14 dias. Tudo o que for anterior é transferido para o modo manual com verificação em vários níveis e documentação. Vinculação do cartão de devolução ao cartão de pagamento por padrão. Devolução em dinheiro ou para outro cartão — como exceção, estritamente regulamentada, com registro separado. Um log de auditoria separado de todas as operações de devolução com vinculação ao ID do caixa, número do recibo e cartão do destinatário para análise posterior.

O que o Hacker levou no final

Nada, porque era um pentester disciplinado. Ele veio, olhou, coletou evidências e foi escrever um relatório. Mas, falando sério, a situação é desagradável, pois uma loja não é apenas um edifício. Na verdade, é um filial da infraestrutura corporativa, um conjunto de interfaces confiáveis, exposto diretamente ao comprador, em espaço público. E cada um deles, em si, não parece assustador. Bem, o que há de tão ruim em um botão de chamada? Em um telefone? Em um USB de caixa? No número de inventário do vendedor? No cabo sob o terminal? E então essas "coisas inofensivas" se somam em uma cadeia: acesso à rede, credenciais, sistemas internos, informações operacionais, ações financeiras. Um bom pentest em tal ambiente não termina com a frase "feche a porta e coloque uma senha". Termina com uma pergunta mais desagradável: quem decidiu que todas essas coisas deveriam ser deixadas na zona de acesso do cliente?

Se o artigo atingir 1000 curtidas — o Hacker visitará sua loja também ☺ Enquanto isso, convido você ao meu canal no Telegram, onde falo sobre engenharia reversa e gêneros vizinhos: t.me/glinkinivan. PURP — um canal no Telegram onde a cibersegurança é revelada de ambos os lados das barricadas t.me/purp_sec — insights e ideias do mundo do hacking ético e proteção orientada a negócios por especialistas da Bastion

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.