NFC
A segurança dos cartões de pagamento está em constante melhoria, mas os invasores continuam encontrando novas maneiras de roubar dinheiro. Antigamente, depois de enganar a vítima para que ela entregasse as credenciais do cartão em uma loja virtual falsa ou por meio de outro golpe, os criminosos cibernéticos faziam uma cópia física do cartão gravando os dados roubados em uma tarja magnética. Esses cartões poderiam então ser usados em lojas e até mesmo em caixas eletrônicos sem problemas. O advento dos cartões com chip e das senhas de uso único (OTPs) tornou a vida muito mais difícil para os golpistas, mas eles se adaptaram. A mudança para os pagamentos móveis por meio de smartphones aumentou a resiliência contra alguns tipos de golpes, mas também abriu novas possibilidades para eles. Agora, depois de roubar um número de cartão, o golpista tenta vinculá-lo à sua própria conta do Apple Pay ou do Google Wallet. Feito isso, ele usa essa conta em um smartphone para pagar por produtos usando o cartão da vítima, seja em uma loja comum ou em um estabelecimento falso com um terminal de pagamento com suporte a NFC.
Como as credenciais do cartão são roubadas
Esses ataques cibernéticos exigem preparação em escala industrial. Os invasores criam redes de sites falsos projetados para obter dados de pagamento. Eles podem imitar serviços de entrega, grandes lojas on-line e até mesmo portais para pagamento de contas do dia a dia ou de multas de trânsito. Os cibercriminosos também compram dezenas de smartphones, criam contas Apple ou Google neles e instalam aplicativos de pagamento sem contato.
Em seguida vem a parte interessante. Quando uma vítima acessa um site de isca, ela é convidada a vincular seu cartão ou fazer um pequeno pagamento obrigatório. Para isso, é necessário inserir os detalhes do cartão e confirmar a propriedade dele inserindo uma OTP. Na verdade, nada é cobrado do cartão neste momento.
O que realmente acontece? Os dados da vítima são transferidos quase instantaneamente para os cibercriminosos, que tentam vincular o cartão a uma carteira móvel em seus smartphones. O código OTP é necessário para autorizar esta operação. Para agilizar e simplificar o processo, os invasores usam um software especial que obtém os dados fornecidos pela vítima e gera uma imagem do cartão que o replica perfeitamente. Depois disso, basta tirar uma foto desta imagem no Apple Pay ou no Google Wallet. O processo exato de vincular um cartão a uma carteira móvel depende do país e do banco específicos, mas normalmente nenhum dado é necessário além de número, data de validade, nome do titular do cartão, CVV/CVC e OTP. Tudo isso pode ser capturado em uma única sessão e colocado em uso imediatamente.
Para tornar os ataques ainda mais eficazes, os cibercriminosos usam truques adicionais. Primeiro, se a vítima recobrar o juízo antes de clicar no botão Enviar, quaisquer dados já inseridos nos formulários ainda serão repassados aos criminosos, mesmo que sejam apenas alguns caracteres ou uma entrada incompleta. Segundo, o site falso pode informar que o pagamento falhou e solicitar que a vítima tente usar outro cartão. Dessa forma, os criminosos podem obter detalhes de dois ou três cartões de uma só vez.
Os cartões não são debitados imediatamente, e muitas pessoas, ao não verem nada suspeito em seus extratos bancários, esquecem completamente do incidente.
Como o dinheiro é roubado dos cartões
Os cibercriminosos podem vincular dezenas de cartões a um smartphone sem tentar imediatamente gastar dinheiro com eles. Este smartphone, recheado de números de cartões, é revendido na dark web. Muitas vezes, semanas ou até meses se passam entre o phishing e os gastos. Mas, quando esse dia desagradável finalmente chega, os criminosos podem decidir gastar em itens de luxo de uma loja física simplesmente fazendo um pagamento sem contato com um telefone cheio de números de cartão fraudados. Como alternativa, eles podem criar sua própria loja falsa em uma plataforma de comércio eletrônico legítima e cobrar por produtos inexistentes. Alguns países até permitem saques em caixas eletrônicos usando um smartphone com suporte a NFC. Em todos os casos acima, não é necessária nenhuma confirmação da transação via PIN ou OTP, então, o dinheiro pode ser desviado até que a vítima bloqueie o cartão.
Para acelerar a transferência de carteiras móveis para compradores clandestinos, bem como reduzir o risco para aqueles que fazem pagamentos em lojas, os invasores começaram a usar uma técnica de repetição NFC chamada de Ghost Tap. Eles começam instalando um aplicativo legítimo, como o NFCGate, em dois smartphones, um com a carteira móvel e os cartões roubados, o outro usado diretamente para pagamentos. Este aplicativo transmite, em tempo real pela Internet, os dados NFC da carteira do primeiro telefone para a antena NFC do segundo, que o cúmplice dos cibercriminosos (conhecido como “mula”) toca no terminal de pagamento.
A maioria dos terminais em lojas físicas e muitos caixas eletrônicos não conseguem diferenciar o sinal retransmitido do original, permitindo que a mula pague facilmente por produtos (ou vales-presentes, o que facilita a lavagem dos fundos roubados). E se a mula for detida na loja, não há nada incriminador no smartphone, apenas o aplicativo legítimo NFCGate. Não há números de cartões roubados, pois eles estão escondidos no smartphone do cérebro por trás da operação, que pode estar em qualquer lugar, até mesmo em outro país. Esse método permite que os golpistas retirem grandes quantias de dinheiro de forma rápida e segura, pois pode haver várias mulas pagando quase simultaneamente com o mesmo cartão roubado.
Como perder dinheiro encostando o cartão no telefone
No final de 2024, fraudadores criaram outro esquema de repetição NFC e o testaram com sucesso em usuários da Rússia, e não há nada que impeça que a operação seja expandida para o mundo todo. Nesse esquema, nem mesmo as credenciais do cartão são solicitadas às vítimas. Em vez disso, os invasores se apossam delas por meio de engenharia social instalando um aplicativo supostamente útil no smartphone das vítimas, disfarçado de serviço governamental, bancário ou outro. Como muitos desses aplicativos bancários e governamentais na Rússia foram removidos das lojas oficiais devido a sanções, usuários desavisados prontamente concordam em instalá-los. A vítima é, então, convidada a aproximar seu cartão do smartphone e digitar seu PIN para fins de “autorização” ou “verificação”.
Como você talvez tenha imaginado, o aplicativo instalado não tem nada a ver com a descrição. Na primeira onda desses ataques, o que as vítimas receberam foi o mesmo repetidor NFC, reembalado como um “aplicativo prático”. Ele lia o cartão ao ser aproximado do smartphone e transmitia seus dados, junto com o PIN, para os invasores, que os usavam para fazer compras ou sacar dinheiro em caixas eletrônicos com suporte a NFC. Os sistemas antifraude dos principais bancos russos aprenderam rapidamente a identificar esses pagamentos devido a incompatibilidades na geolocalização da vítima e do pagador, então, em 2025, o esquema mudou, mas não a essência.
Agora, a vítima recebe um aplicativo para criar um cartão duplicado e o retransmissor é instalado no lado dos invasores. Em seguida, sob o falso pretexto do risco de roubo, a vítima é persuadida a depositar dinheiro em uma “conta segura” por meio de um caixa eletrônico, usando seu smartphone para autorizar o pagamento. Quando a vítima aproxima o telefone do caixa eletrônico, o golpista retransmite os detalhes de seu próprio cartão para o dispositivo e o dinheiro vai parar em sua conta. Essas operações são difíceis de rastrear por sistemas antifraude automáticos, pois a transação parece perfeitamente legítima: alguém foi até um caixa eletrônico e depositou dinheiro em um cartão. O sistema antifraude não sabe que o cartão pertence a outra pessoa.
Como proteger seus cartões dos golpistas
Em primeiro lugar, o próprio Google e a Apple, juntamente com os sistemas de pagamento, devem implementar medidas de proteção adicionais na infraestrutura de pagamento. No entanto, os usuários também podem tomar medidas para se proteger:
- Use cartões virtuais para pagamentos on-line. Não guarde grandes quantias de dinheiro neles e só faça a recarga antes de fazer uma compra on-line. Se o emissor do seu cartão permitir, desative pagamentos off-line e saques em dinheiro desses cartões.
- Obtenha um novo cartão virtual e bloqueie o antigo pelo menos uma vez por ano.
- Para pagamentos off-line, vincule um cartão diferente ao Apple Pay, Google Wallet ou serviço semelhante. Nunca use este cartão on-line e, se possível, use uma carteira móvel no smartphone ao pagar em lojas.
- Tenha muito cuidado com aplicativos que pedem que aproxime o cartão de pagamento do smartphone e nunca digite o PIN. Se for um aplicativo bancário confiável e usado há muito tempo, tudo bem; mas se for algo suspeito que acabou de instalar usando um link obscuro fora de uma loja de aplicativos oficial, fique longe.
- Use cartões de plástico em caixas eletrônicos, não smartphones com suporte a NFC.
- Instalar uma solução de segurança abrangente em todos os computadores e smartphones para minimizar o risco de acessar sites de phishing e instalar aplicativos maliciosos.
- Ative o componente Safe Money, disponível em todos as nossas soluções de segurança, para proteger transações financeiras e compras on-line.
- Ative as notificações de transação mais rápidas possíveis (texto e push) para todos os cartões de pagamento e fale com o banco ou emissor imediatamente se notar algo suspeito.
Quer saber mais sobre como golpistas podem roubar dinheiro de cartões? Leia as publicações:
Dicas