Como os cibercriminosos roubam dinheiro de cartões bancários

Investigamos por que os cartões com chip não são uma panaceia e quais cuidados devem ser tomados ao fazer um pagamento.

Os serviços de pagamento tornaram-se mais convenientes e seguros nos últimos anos, mas os cibercriminosos ainda conseguem roubar dinheiro de cartões em todo o mundo. Quais são os métodos mais comuns usados ​​para esse tipo de roubo e como você pode combatê-los?

Clonagem de cartões

Quando os cartões armazenavam apenas informações em uma faixa magnética, era muito fácil para os fraudadores produzir uma cópia exata de um cartão e usá-la para pagamentos em lojas e saques em caixas eletrônicos. A princípio, os dados eram lidos com um dispositivo especial – um equipamento de fraude montada em um caixa eletrônico ou em uma loja. Posteriormente, o golpe foi complementado por uma câmera ou um teclado especial instalados no terminal para descobrir o código PIN do cartão. Com uma cópia do cartão e um PIN, os criminosos gravavam os dados em um cartão em branco e os usavam em um caixa eletrônico ou em um comércio qualquer.

Essa tecnologia ainda funciona em algumas partes do mundo, mas o advento dos cartões com chip reduziu muito sua eficácia. Um cartão com chip não é tão fácil de ser copiado. É por isso que os criminosos começaram a infectar os terminais de pagamento com códigos maliciosos que copiam alguns dados do cartão enquanto processam uma compra legítima. Posteriormente, os golpistas enviam solicitações de pagamento geradas de maneira inteligente usando essas informações. Em essência, eles apenas enviam dados previamente gravados na tarja magnética, mas rotulam a transação como sendo realizada pelo chip. Isso é possível quando os bancos não cruzam vários parâmetros de transação com detalhes suficientes e implementam incorretamente os protocolos EMV que todas as ações de cartão com chip devem seguir.

Com bancos que não sofrem com esse vacilo, os invasores usam um truque ainda mais sofisticado. Quando a vítima faz um pagamento legítimo, o terminal de pagamento infectado solicita que o cartão inserido gere outra transação fraudulenta. Assim, o cartão em si não é copiado, mas os fundos extras são deduzidos dele de qualquer maneira.

Como se proteger: tente usar a função de pagamento por aproximação a partir do seu smartphone, que é uma opção mais segura. Se você ainda precisar inserir um cartão em um terminal, verifique cuidadosamente o painel do código PIN em busca de modificações suspeitas. Além disso, cubra o painel com a mão, bolsa ou outro objeto ao inserir o código. Se o terminal repentinamente não aceitar pagamento por aproximação, mensagens incomuns aparecerem em sua tela ou o PIN precisar ser inserido várias vezes, esse é um motivo para suspeitar e tomar medidas de proteção adicionais. Você pode, por exemplo, verificar imediatamente o extrato da sua conta ou definir um limite pequeno para gastar dinheiro no cartão.

Carteiras “Blindadas”

Atualmente, existem carteiras e bolsas protegidas por RFID disponíveis para compra, que impedem que os cartões físicos sejamlidos remotamente em alguns lugares, como no transporte público, por exemplo. Não há nada de errado com essa proteção – ela realmente funciona. No entanto, esse cenário de ataque praticamente nunca é usado na prática. Você pode ler apenas informações básicas do cartão durante uma verificação tão rápida e isso geralmente não é suficiente para fazer um pagamento. Ao mesmo tempo, é fácil descobrir os últimos locais e valores de pagamento por aproximação!

Roubo de dados do cartão pela internet

Aqui, os golpistas estão atrás de detalhes de cartões bancários para fazer pagamentos online. Geralmente essas imersões incluem o número do cartão, a data de validade e o código de verificação (CVV/CVC); além disso, dependendo do país, o nome do titular do cartão, CEP ou número do passaporte também podem ser solicitados. Existem pelo menos três maneiras eficazes dos golpistas coletarem esses dados:

  1. Atrair a vítima por meio de uma loja online falsa, uma cópia de phishing de uma loja online real ou sob o pretexto de arrecadar dinheiro para caridade.
  2. Interceptar informações infectando uma página da web da loja online real (ataque conhecido como web skimmers) ou o computador/smartphone da vítima (Trojans bancários).
  3. Invadir uma loja online real e roubar informações armazenadas do cartão de pagamento do cliente. Observe que as empresas não devem manter as informações completas de pagamento armazenadas, mas infelizmente essa regra às vezes é violada.

No geral, esse método de roubo, embora antigo, veio para ficar; por exemplo, de acordo com nossas investigações, os ataques de roubo de dados bancários quase dobraram em 2022.

Como se proteger: primeiro, faça um cartão virtual para pagamentos online. Se não for muito difícil ou caro, emita um novo cartão virtual e bloqueie o antigo pelo menos uma vez por ano. Em segundo lugar, defina um limite baixo em seu cartão de pagamento on-line ou apenas mantenha uma quantia muito pequena de dinheiro nele. Em terceiro lugar, certifique-se de que o banco sempre exige que você confirme os pagamentos online com um código único (usando 3-D Secure ou mecanismos semelhantes). E quarto, verifique cuidadosamente as formas de pagamento e endereços dos sites onde você insere informações financeiras. Para se preocupar menos com esse problema, use ferramentas de cibersegurança que protegem os pagamentos online com segurança.

Cartão antiquado e roubo de telefone

Este é, obviamente, o método de roubo mais perceptível e descarado, mas ainda é comum. Criminosos experientes podem usar cartões para pagamentos online encontrando um e-commerce que não exija a inserção de códigos de verificação adicionais. Uma maneira mais simples, mas não menos eficaz, é usar um cartão roubado para um pagamento sem contato que não exija a inserção de um PIN. Geralmente, há um limite para pagamentos feitos dessa maneira e, em alguns países, após três a cinco desses pagamentos, o cartão é bloqueado. Mas no Reino Unido, por exemplo, as perdas da vítima com esse método primitivo de roubo podem facilmente chegar a 500 libras esterlinas (5 × £ 100). Um telefone sempre é valioso para os ladrões e, se ele tiver o Google Pay ativado, é possível pagar mesmo de um aparelho bloqueado dentro do limite de pagamento permitido, causando prejuízo adicional à vítima.

Pesquisadores de segurança mostraram que, mesmo que um cartão seja bloqueado após inserir o PIN errado três vezes, às vezes ainda é possível fazer pagamentos por aproximação. Um invasor também pode trocar alguns dados com um telefone bloqueado e, em seguida, usar registros modificados dessa troca para fazer pagamentos fraudulentos únicos. Felizmente, ambos os tipos de ataque foram detectados por pesquisadores éticos, então há esperança de que os golpistas ainda não estejam usando esses métodos.

Como se proteger: é melhor definir limites de gastos relativamente pequenos em cartões para uso diário. Se o seu banco permitir, você pode definir separadamente um limite baixo para pagamentos por aproximação. Obviamente, você deve se certificar de que pode aumentar o limite rapidamente, caso seja necessário. De forma alternativa, você pode emitir um cartão virtual com limites baixos e vincular Google/Apple/Samsung Pay a ele. Se o aplicativo de pagamento puder ser configurado para permitir apenas pagamentos de um telefone desbloqueado, faça isso.

Podemos concluir que estão surgindo regras em muitos países pelas quais as vítimas são parcialmente ou totalmente compensadas por fraude. Para aproveitar estas diretrizes em prol da sua segurança, recomendamos que você tenha cuidado com os pagamentos com cartão, configure a maneira mais rápida de ser notificado sobre eles (push ou SMS) e entre em contato com o seu banco o mais rápido possível caso perceba alguma transação suspeita.

Dicas