Safe Money

Como os cibercriminosos roubam dinheiro de cartões bancários

Investigamos por que os cartões com chip não são uma panaceia e quais cuidados devem ser tomados ao fazer um pagamento.

Stan Kaminsky
15 mar 2023

Os serviços de pagamento tornaram-se mais convenientes e seguros nos últimos anos, mas os cibercriminosos ainda conseguem roubar dinheiro de cartões em todo o mundo. Quais são os métodos mais comuns usados para esse tipo de roubo e como você pode combatê-los?

Clonagem de cartões

Quando os cartões armazenavam apenas informações em uma faixa magnética, era muito fácil para os fraudadores produzir uma cópia exata de um cartão e usá-la para pagamentos em lojas e saques em caixas eletrônicos. A princípio, os dados eram lidos com um dispositivo especial – um equipamento de fraude montada em um caixa eletrônico ou em uma loja. Posteriormente, o golpe foi complementado por uma câmera ou um teclado especial instalados no terminal para descobrir o código PIN do cartão. Com uma cópia do cartão e um PIN, os criminosos gravavam os dados em um cartão em branco e os usavam em um caixa eletrônico ou em um comércio qualquer.

Essa tecnologia ainda funciona em algumas partes do mundo, mas o advento dos cartões com chip reduziu muito sua eficácia. Um cartão com chip não é tão fácil de ser copiado. É por isso que os criminosos começaram a infectar os terminais de pagamento com códigos maliciosos que copiam alguns dados do cartão enquanto processam uma compra legítima. Posteriormente, os golpistas enviam solicitações de pagamento geradas de maneira inteligente usando essas informações. Em essência, eles apenas enviam dados previamente gravados na tarja magnética, mas rotulam a transação como sendo realizada pelo chip. Isso é possível quando os bancos não cruzam vários parâmetros de transação com detalhes suficientes e implementam incorretamente os protocolos EMV que todas as ações de cartão com chip devem seguir.

Com bancos que não sofrem com esse vacilo, os invasores usam um truque ainda mais sofisticado. Quando a vítima faz um pagamento legítimo, o terminal de pagamento infectado solicita que o cartão inserido gere outra transação fraudulenta. Assim, o cartão em si não é copiado, mas os fundos extras são deduzidos dele de qualquer maneira.

Como se proteger: tente usar a função de pagamento por aproximação a partir do seu smartphone, que é uma opção mais segura. Se você ainda precisar inserir um cartão em um terminal, verifique cuidadosamente o painel do código PIN em busca de modificações suspeitas. Além disso, cubra o painel com a mão, bolsa ou outro objeto ao inserir o código. Se o terminal repentinamente não aceitar pagamento por aproximação, mensagens incomuns aparecerem em sua tela ou o PIN precisar ser inserido várias vezes, esse é um motivo para suspeitar e tomar medidas de proteção adicionais. Você pode, por exemplo, verificar imediatamente o extrato da sua conta ou definir um limite pequeno para gastar dinheiro no cartão.

Carteiras “Blindadas”

Atualmente, existem carteiras e bolsas protegidas por RFID disponíveis para compra, que impedem que os cartões físicos sejamlidos remotamente em alguns lugares, como no transporte público, por exemplo. Não há nada de errado com essa proteção – ela realmente funciona. No entanto, esse cenário de ataque praticamente nunca é usado na prática. Você pode ler apenas informações básicas do cartão durante uma verificação tão rápida e isso geralmente não é suficiente para fazer um pagamento. Ao mesmo tempo, é fácil descobrir os últimos locais e valores de pagamento por aproximação!

Roubo de dados do cartão pela internet

Aqui, os golpistas estão atrás de detalhes de cartões bancários para fazer pagamentos online. Geralmente essas imersões incluem o número do cartão, a data de validade e o código de verificação (CVV/CVC); além disso, dependendo do país, o nome do titular do cartão, CEP ou número do passaporte também podem ser solicitados. Existem pelo menos três maneiras eficazes dos golpistas coletarem esses dados:

Atrair a vítima por meio de uma loja online falsa, uma cópia de phishing de uma loja online real ou sob o pretexto de arrecadar dinheiro para caridade.
Interceptar informações infectando uma página da web da loja online real (ataque conhecido como web skimmers) ou o computador/smartphone da vítima (Trojans bancários).
Invadir uma loja online real e roubar informações armazenadas do cartão de pagamento do cliente. Observe que as empresas não devem manter as informações completas de pagamento armazenadas, mas infelizmente essa regra às vezes é violada.

No geral, esse método de roubo, embora antigo, veio para ficar; por exemplo, de acordo com nossas investigações, os ataques de roubo de dados bancários quase dobraram em 2022.

Como se proteger: primeiro, faça um cartão virtual para pagamentos online. Se não for muito difícil ou caro, emita um novo cartão virtual e bloqueie o antigo pelo menos uma vez por ano. Em segundo lugar, defina um limite baixo em seu cartão de pagamento on-line ou apenas mantenha uma quantia muito pequena de dinheiro nele. Em terceiro lugar, certifique-se de que o banco sempre exige que você confirme os pagamentos online com um código único (usando 3-D Secure ou mecanismos semelhantes). E quarto, verifique cuidadosamente as formas de pagamento e endereços dos sites onde você insere informações financeiras. Para se preocupar menos com esse problema, use ferramentas de cibersegurança que protegem os pagamentos online com segurança.

Cartão antiquado e roubo de telefone

Este é, obviamente, o método de roubo mais perceptível e descarado, mas ainda é comum. Criminosos experientes podem usar cartões para pagamentos online encontrando um e-commerce que não exija a inserção de códigos de verificação adicionais. Uma maneira mais simples, mas não menos eficaz, é usar um cartão roubado para um pagamento sem contato que não exija a inserção de um PIN. Geralmente, há um limite para pagamentos feitos dessa maneira e, em alguns países, após três a cinco desses pagamentos, o cartão é bloqueado. Mas no Reino Unido, por exemplo, as perdas da vítima com esse método primitivo de roubo podem facilmente chegar a 500 libras esterlinas (5 × £ 100). Um telefone sempre é valioso para os ladrões e, se ele tiver o Google Pay ativado, é possível pagar mesmo de um aparelho bloqueado dentro do limite de pagamento permitido, causando prejuízo adicional à vítima.

Pesquisadores de segurança mostraram que, mesmo que um cartão seja bloqueado após inserir o PIN errado três vezes, às vezes ainda é possível fazer pagamentos por aproximação. Um invasor também pode trocar alguns dados com um telefone bloqueado e, em seguida, usar registros modificados dessa troca para fazer pagamentos fraudulentos únicos. Felizmente, ambos os tipos de ataque foram detectados por pesquisadores éticos, então há esperança de que os golpistas ainda não estejam usando esses métodos.

Como se proteger: é melhor definir limites de gastos relativamente pequenos em cartões para uso diário. Se o seu banco permitir, você pode definir separadamente um limite baixo para pagamentos por aproximação. Obviamente, você deve se certificar de que pode aumentar o limite rapidamente, caso seja necessário. De forma alternativa, você pode emitir um cartão virtual com limites baixos e vincular Google/Apple/Samsung Pay a ele. Se o aplicativo de pagamento puder ser configurado para permitir apenas pagamentos de um telefone desbloqueado, faça isso.

Podemos concluir que estão surgindo regras em muitos países pelas quais as vítimas são parcialmente ou totalmente compensadas por fraude. Para aproveitar estas diretrizes em prol da sua segurança, recomendamos que você tenha cuidado com os pagamentos com cartão, configure a maneira mais rápida de ser notificado sobre eles (push ou SMS) e entre em contato com o seu banco o mais rápido possível caso perceba alguma transação suspeita.

Desative a sincronização do navegador no escritório

É prática comum em muitas empresas manter informações pessoais e de trabalho separadas. Mas a sincronização do navegador geralmente passa despercebida – e os invasores já estão explorando essa brecha.

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como diferenciar uma foto ou vídeo real de uma falsificação e rastrear sua procedência.

Como mudar para a Kaspersky: um guia de migração passo a passo

Como mudar a proteção cibernética de seu computador ou smartphone para a solução de segurança mais premiada da Kaspersky.

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Recebeu uma mensagem de seu chefe ou colega de trabalho pedindo para você “resolver um problema” de uma forma inesperada? Cuidado com golpistas! Como proteger a si mesmo e sua empresa contra um possível ataque?

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

Como os cibercriminosos roubam dinheiro de cartões bancários

Clonagem de cartões

Carteiras “Blindadas”

Roubo de dados do cartão pela internet

Cartão antiquado e roubo de telefone

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Mantenha o sigilo em aplicativos de anotações criptografadas e listas de tarefas pendentes

Desative a sincronização do navegador no escritório

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Como proteger a segurança doméstica

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog