Segurança De Pagamentos

Avaliação da Reflectiz em Conformidade com PCI DSS

Um avaliador independente de PCI testou a plataforma Reflectiz em relação às novas regras do PCI DSS, revelando que a ferramenta pode apoiar efetivamente a conformidade. O artigo destaca a vulnerabilidade das páginas de checkout, que frequentemente carregam scripts de terceiros que podem ser comprometidos por atacantes, como demonstrado pelo grupo Magecart. O PCI DSS v4.0.1 introduziu requisitos que exigem um inventário de scripts de pagamento e a detecção de adulterações em tempo real. A Reflectiz se destaca por monitorar o comportamento dos scripts, não apenas suas assinaturas, e por ser implementada sem a necessidade de alterações de código. Além disso, fornece evidências prontas para auditoria. O artigo também menciona que, desde janeiro de 2025, comerciantes que utilizam redirecionamento completo para processadores podem não precisar cumprir certos requisitos, mas aqueles que incorporam iframes de pagamento devem demonstrar que não são suscetíveis a ataques de script. A análise completa está disponível em um white paper da Integrity360 Europe.

Campanha de phishing em massa visa clientes da indústria hoteleira

Uma campanha de phishing em larga escala, atribuída a um grupo de ameaças de língua russa, tem como alvo clientes da indústria de hospitalidade, especialmente hóspedes de hotéis. Desde o início de 2025, mais de 4.300 domínios foram registrados para essa atividade, com 685 deles contendo o nome ‘Booking’, além de outros nomes populares como ‘Expedia’ e ‘Airbnb’. A campanha, que começou em fevereiro, utiliza um kit de phishing sofisticado que personaliza a página apresentada ao visitante com base em um identificador único na URL. Os ataques começam com e-mails de phishing que incentivam os destinatários a clicar em links para confirmar reservas, levando-os a sites falsos que imitam marcas conhecidas. Esses sites suportam 43 idiomas e utilizam um sistema de cookies para manter a aparência de marca durante a navegação. Após a inserção de dados do cartão de crédito, os atacantes tentam processar transações em segundo plano, enquanto uma janela de ‘chat de suporte’ aparece para enganar a vítima. A identidade do grupo por trás da campanha ainda é desconhecida, mas o uso de comentários em russo no código sugere sua origem. A campanha se alinha com outras atividades de phishing que visam a indústria hoteleira, levantando preocupações sobre a segurança de dados e conformidade com a LGPD.