{"id":23579,"date":"2025-04-15T14:40:59","date_gmt":"2025-04-15T17:40:59","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23579"},"modified":"2025-04-15T14:40:59","modified_gmt":"2025-04-15T17:40:59","slug":"apple-google-nfc-carding-theft-2025","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/apple-google-nfc-carding-theft-2025\/23579\/","title":{"rendered":"Fraudadores de cart\u00f5es com NFC se escondem atr\u00e1s do Apple Pay e Google Wallet"},"content":{"rendered":"

A seguran\u00e7a dos cart\u00f5es de pagamento est\u00e1 em constante melhoria, mas os invasores continuam encontrando novas maneiras de roubar dinheiro. Antigamente, depois de enganar a v\u00edtima para que ela entregasse as credenciais do cart\u00e3o em uma loja virtual falsa ou por meio de outro golpe, os criminosos cibern\u00e9ticos faziam uma c\u00f3pia f\u00edsica do cart\u00e3o gravando os dados roubados em uma tarja magn\u00e9tica. Esses cart\u00f5es poderiam ent\u00e3o ser usados em lojas e at\u00e9 mesmo em caixas eletr\u00f4nicos sem problemas. O advento dos cart\u00f5es com chip e das senhas de uso \u00fanico (OTPs) tornou a vida muito mais dif\u00edcil para os golpistas, mas eles se adaptaram<\/a>. A mudan\u00e7a para os pagamentos m\u00f3veis por meio de smartphones aumentou a resili\u00eancia contra alguns tipos de golpes, mas tamb\u00e9m abriu novas possibilidades para eles. Agora, depois de roubar um n\u00famero de cart\u00e3o, o golpista tenta vincul\u00e1-lo \u00e0 sua pr\u00f3pria conta do Apple Pay ou do Google Wallet. Feito isso, ele usa essa conta em um smartphone para pagar por produtos usando o cart\u00e3o da v\u00edtima, seja em uma loja comum ou em um estabelecimento falso com um terminal de pagamento com suporte a NFC.<\/p>\n

Como as credenciais do cart\u00e3o s\u00e3o roubadas<\/h2>\n

Esses ataques cibern\u00e9ticos exigem prepara\u00e7\u00e3o em escala industrial. Os invasores criam redes de sites falsos projetados para obter dados de pagamento. Eles podem imitar servi\u00e7os de entrega, grandes lojas on-line<\/a> e at\u00e9 mesmo portais para pagamento de contas do dia a dia ou de multas de tr\u00e2nsito. Os cibercriminosos tamb\u00e9m compram dezenas de smartphones, criam contas Apple ou Google neles e instalam aplicativos de pagamento sem contato.<\/p>\n

Em seguida vem a parte interessante. Quando uma v\u00edtima acessa um site de isca, ela \u00e9 convidada a vincular seu cart\u00e3o ou fazer um pequeno pagamento obrigat\u00f3rio. Para isso, \u00e9 necess\u00e1rio inserir os detalhes do cart\u00e3o e confirmar a propriedade dele inserindo uma OTP. Na verdade, nada \u00e9 cobrado do cart\u00e3o neste momento.<\/strong><\/p>\n

O que realmente acontece? Os dados da v\u00edtima s\u00e3o transferidos quase instantaneamente para os cibercriminosos, que tentam vincular o cart\u00e3o a uma carteira m\u00f3vel<\/strong> em seus smartphones. O c\u00f3digo OTP \u00e9 necess\u00e1rio para autorizar esta opera\u00e7\u00e3o. Para agilizar e simplificar o processo, os invasores usam um software especial que obt\u00e9m os dados fornecidos pela v\u00edtima e gera uma imagem do cart\u00e3o que o replica perfeitamente. Depois disso, basta tirar uma foto desta imagem no Apple Pay ou no Google Wallet. O processo exato de vincular um cart\u00e3o a uma carteira m\u00f3vel depende do pa\u00eds e do banco espec\u00edficos, mas normalmente nenhum dado \u00e9 necess\u00e1rio al\u00e9m de n\u00famero, data de validade, nome do titular do cart\u00e3o, CVV\/CVC e OTP. Tudo isso pode ser capturado em uma \u00fanica sess\u00e3o e colocado em uso imediatamente.<\/p>\n

Para tornar os ataques ainda mais eficazes, os cibercriminosos usam truques adicionais. Primeiro, se a v\u00edtima recobrar o ju\u00edzo antes de clicar no bot\u00e3o Enviar, quaisquer dados j\u00e1 inseridos nos formul\u00e1rios ainda ser\u00e3o repassados aos criminosos, mesmo que sejam apenas alguns caracteres ou uma entrada incompleta. Segundo, o site falso pode informar que o pagamento falhou e solicitar que a v\u00edtima tente usar outro cart\u00e3o. Dessa forma, os criminosos podem obter detalhes de dois ou tr\u00eas cart\u00f5es de uma s\u00f3 vez.<\/p>\n

Os cart\u00f5es n\u00e3o s\u00e3o debitados imediatamente, e muitas pessoas, ao n\u00e3o verem nada suspeito em seus extratos banc\u00e1rios, esquecem completamente do incidente.<\/p>\n

Como o dinheiro \u00e9 roubado dos cart\u00f5es<\/h2>\n

Os cibercriminosos podem vincular dezenas de cart\u00f5es a um smartphone sem tentar imediatamente gastar dinheiro com eles. Este smartphone, recheado de n\u00fameros de cart\u00f5es<\/a>, \u00e9 revendido na dark web. Muitas vezes, semanas ou at\u00e9 meses se passam entre o phishing e os gastos. Mas, quando esse dia desagrad\u00e1vel finalmente chega, os criminosos podem decidir gastar em itens de luxo de uma loja f\u00edsica simplesmente fazendo um pagamento sem contato com um telefone cheio de n\u00fameros de cart\u00e3o fraudados. Como alternativa, eles podem criar sua pr\u00f3pria loja falsa em uma plataforma de com\u00e9rcio eletr\u00f4nico leg\u00edtima e cobrar por produtos inexistentes. Alguns pa\u00edses at\u00e9 permitem saques em caixas eletr\u00f4nicos usando um smartphone com suporte a NFC. Em todos os casos acima, n\u00e3o \u00e9 necess\u00e1ria nenhuma confirma\u00e7\u00e3o da transa\u00e7\u00e3o via PIN ou OTP, ent\u00e3o, o dinheiro pode ser desviado at\u00e9 que a v\u00edtima bloqueie o cart\u00e3o.<\/p>\n

Para acelerar a transfer\u00eancia de carteiras m\u00f3veis para compradores clandestinos, bem como reduzir o risco para aqueles que fazem pagamentos em lojas, os invasores come\u00e7aram a usar uma t\u00e9cnica de repeti\u00e7\u00e3o NFC chamada de Ghost Tap<\/a>. Eles come\u00e7am instalando um aplicativo leg\u00edtimo, como o NFCGate, em dois smartphones, um com a carteira m\u00f3vel e os cart\u00f5es roubados, o outro usado diretamente para pagamentos. Este aplicativo transmite, em tempo real pela Internet, os dados NFC da carteira do primeiro telefone para a antena NFC do segundo, que o c\u00famplice dos cibercriminosos (conhecido como \u201cmula\u201d) toca no terminal de pagamento.<\/p>\n

A maioria dos terminais em lojas f\u00edsicas e muitos caixas eletr\u00f4nicos n\u00e3o conseguem diferenciar o sinal retransmitido do original, permitindo que a mula pague facilmente por produtos (ou vales-presentes, o que facilita a lavagem dos fundos roubados). E se a mula for detida na loja, n\u00e3o h\u00e1 nada incriminador no smartphone, apenas o aplicativo leg\u00edtimo NFCGate. N\u00e3o h\u00e1 n\u00fameros de cart\u00f5es roubados, pois eles est\u00e3o escondidos no smartphone do c\u00e9rebro por tr\u00e1s da opera\u00e7\u00e3o, que pode estar em qualquer lugar, at\u00e9 mesmo em outro pa\u00eds. Esse m\u00e9todo permite que os golpistas retirem grandes quantias de dinheiro de forma r\u00e1pida e segura, pois pode haver v\u00e1rias mulas pagando quase simultaneamente com o mesmo cart\u00e3o roubado.<\/p>\n

Como perder dinheiro encostando o cart\u00e3o no telefone<\/h2>\n

No final de 2024, fraudadores criaram outro esquema de repeti\u00e7\u00e3o NFC e o testaram com sucesso em usu\u00e1rios da R\u00fassia, e n\u00e3o h\u00e1 nada que impe\u00e7a que a opera\u00e7\u00e3o seja expandida para o mundo todo. Nesse esquema, nem mesmo as credenciais do cart\u00e3o s\u00e3o solicitadas \u00e0s v\u00edtimas. Em vez disso, os invasores se apossam delas por meio de engenharia social instalando um aplicativo supostamente \u00fatil no smartphone das v\u00edtimas, disfar\u00e7ado de servi\u00e7o governamental, banc\u00e1rio ou outro. Como muitos desses aplicativos banc\u00e1rios e governamentais na R\u00fassia foram removidos das lojas oficiais devido a san\u00e7\u00f5es, usu\u00e1rios desavisados prontamente concordam em instal\u00e1-los. A v\u00edtima \u00e9, ent\u00e3o, convidada a aproximar seu cart\u00e3o do smartphone e digitar seu PIN para fins de \u201cautoriza\u00e7\u00e3o\u201d ou \u201cverifica\u00e7\u00e3o\u201d.<\/p>\n

Como voc\u00ea talvez tenha imaginado, o aplicativo instalado n\u00e3o tem nada a ver com a descri\u00e7\u00e3o. Na primeira onda desses ataques, o que as v\u00edtimas receberam foi o mesmo repetidor NFC, reembalado como um \u201caplicativo pr\u00e1tico\u201d. Ele lia o cart\u00e3o ao ser aproximado do smartphone e transmitia seus dados, junto com o PIN, para os invasores, que os usavam para fazer compras ou sacar dinheiro em caixas eletr\u00f4nicos com suporte a NFC. Os sistemas antifraude dos principais bancos russos aprenderam rapidamente a identificar esses pagamentos devido a incompatibilidades na geolocaliza\u00e7\u00e3o da v\u00edtima e do pagador, ent\u00e3o, em 2025, o esquema mudou, mas n\u00e3o a ess\u00eancia.<\/p>\n

Agora, a v\u00edtima recebe um aplicativo para criar um cart\u00e3o duplicado e o retransmissor \u00e9 instalado no lado dos invasores. Em seguida, sob o falso pretexto do risco de roubo, a v\u00edtima \u00e9 persuadida a depositar dinheiro em uma \u201cconta segura\u201d por meio de um caixa eletr\u00f4nico, usando seu smartphone para autorizar o pagamento. Quando a v\u00edtima aproxima o telefone do caixa eletr\u00f4nico, o golpista retransmite os detalhes de seu pr\u00f3prio cart\u00e3o para o dispositivo e o dinheiro vai parar em sua conta. Essas opera\u00e7\u00f5es s\u00e3o dif\u00edceis de rastrear por sistemas antifraude autom\u00e1ticos, pois a transa\u00e7\u00e3o parece perfeitamente leg\u00edtima: algu\u00e9m foi at\u00e9 um caixa eletr\u00f4nico e depositou dinheiro em um cart\u00e3o. O sistema antifraude n\u00e3o sabe que o cart\u00e3o pertence a outra pessoa.<\/p>\n

Como proteger seus cart\u00f5es dos golpistas<\/h2>\n

Em primeiro lugar, o pr\u00f3prio Google e a Apple, juntamente com os sistemas de pagamento, devem implementar medidas de prote\u00e7\u00e3o adicionais na infraestrutura de pagamento. No entanto, os usu\u00e1rios tamb\u00e9m podem tomar medidas para se proteger:<\/p>\n