Blog da KondutoNotícias da fraudeProteja sua loja

Cartões por aproximação estão se popularizando – e não estão imunes a fraudes

Por 7 de agosto de 2019 julho 7th, 2020 Nenhum comentário

Quem não gostaria de combinar praticidade e segurança na hora de efetuar um pagamento? Com esta promessa, cartões por aproximação estão se popularizando no Brasil e no mundo e viraram uma grande aposta de gigantes do setor, como Visa e Mastercard, além de já serem fornecidos pelos principais bancos daqui e lá de fora. A pandemia do novo coronavírus só reforçou esta tendência.

Ainda não usou? Nunca viu? Uma rápida explicação. Como o nome já diz, basta aproximar este tipo de cartão das maquininhas ou terminais que o aceitam (e que já são a maioria) e pronto. Pagamento efetuado com sucesso. Nada de inserir o cartão na máquina, colocar senha ou qualquer outro dado. Consequentemente, menos demora para comprar aquele lanche no mercado, colocar gasolina no carro, etc e etc. Prático, né?

Além disso, os cartões por aproximação usam a tecnologia que está na moda: NFC, sigla em inglês para “Near Field Communication” ou, em tradução livre, comunicação por campo de proximidade. Ela utiliza um sistema de criptografia que muda a cada transação e permite que apenas um código seja enviado do cartão ao terminal junto às informações da conta, sem mais “intermediários”, o que dificulta golpes como clonagem e acesso aos dados. Seguro, né?

Sim, é óbvio que concordamos que os cartões por aproximação são práticos e seguros. Mas isso não livra esta forma de pagamento das fraudes – algo que inclusive estava nas nossas previsões para o ano de 2019. Os golpes podem ir dos mais, digamos, infantis, até a outros que envolvam bastante tecnologia.

Passando dos limites

Uma das brechas na segurança do cartão por aproximação foi revelada recentemente pela prestigiada revista norte-americana Forbes (clique aqui para ler o artigo em inglês) e repercutiu mundo afora. Leigh-Anne Galloway e Tim Yunusov, dois pesquisadores da empresa de cibersegurança “Positive”, comprovaram à publicação que conseguiram fazer compras de valor superior a 30 libras com o cartão de aproximação da Visa no Reino Unido sem precisar colocar a senha.

Senha? Mas você disse que não precisava! Sim, de fato não é necessário digitar senha nas compras por aproximação, só que isso vai até determinado valor – 30 libras no caso do Reino Unido, 100 dólares no caso dos Estados Unidos e 100 reais no caso do Brasil, para citar alguns exemplos. Passando disso, sim, é preciso digitar a senha, o que na verdade é mais uma camada de proteção contra golpes.

E aí que está o problema. Os dois pesquisadores conseguiram fazer três compras no valor de 31 libras e – mais chocante – uma no valor de 101 libras. No primeiro caso, o sistema antifraude do banco ou emissor do cartão provavelmente perceberia o golpe, pela repetição de valores. O mesmo aconteceria no caso de transações muuuuito altas. Mas e no caso de 101 libras?

“Isso significa que se alguém roubou o seu cartão, não seria preciso saber a sua senha ou se passar por você para pagar bem mais de 30 libras. O que descobrimos é que na realidade podemos efetuar pagamentos em valor razoavelmente altos. No Reino Unido, fizemos pagamentos de 100 libras sem qualquer detecção”, disse Galloway.

Para simular o golpe, os dois pesquisadores utilizaram um device que interceptou a comunicação entre o cartão e o terminal de pagamento e alterou as mensagens. Desta forma, eles puderam informar ao cartão que a verificação por senha não era necessária ou já havia sido feita por outros meios, mesmo que o valor solicitado fosse maior que 30 libras.

Outros golpes?

Questionada pela Forbes, a Visa não confirmou nem negou a falha na segurança e disse que esta fraude “não aconteceria em grande escala no mundo real”, uma vez que o criminoso precisaria necessariamente ter o cartão da vítima em mãos sem que ela tivesse relatado o extravio, além de passar pelos processos de validação dos emissores e por protocolos de detecção a cada compra ilegítima.

Os especialistas da Positive, no entanto, discordam da empresa no que se refere à necessidade de o cartão estar obrigatoriamente em posse do golpista e alegam que testes mostraram que bastaria ao criminoso aproximar-se do cartão da vítima por um curto período para receber um pagamento irregularmente.

Em um dos casos, por mais absurdo que pareça, alguém poderia se aproveitar de um momento de distração de uma pessoa no restaurante, por exemplo, aproximar uma máquina de pagamento mobile da carteira da vítima e pronto. Os pesquisadores ressaltam que o golpe não iria se prolongar se feito diversas vezes com a mesma maquininha ou terminal.

Outro ataque, mais engenhoso, usaria dois smartphones. Um seria usado para se aproximar do cartão da vítima e obter o “criptograma de pagamento do cartão”, uma espécie de assinatura que devesse garantir a autenticidade dos pagamentos futuros. O criptograma é então enviado para o segundo telefone, que simula o cartão como se estivesse fazendo um pagamento mobile. Os hackers poderiam ir além do limite permitido fazendo o mesmo ataque de interceptação que explicamos antes.

Como se proteger?

Dados do UK Finance divulgados pela Forbes mostram que a fraude com pagamentos por aproximação custou 19,5 milhões de libras em 2018, contra 14 milhões em 2017. Um valor baixo se comparado a movimentação total de 70 bilhões de libras no ano, mas que já deveria ser observado com atenção.

“Embora seja um tipo relativamente novo de fraude e possa não ser a prioridade número um para os bancos no momento, se os limites de verificação puderem ser contornados facilmente, isso significa que poderemos ver perdas mais prejudiciais para os bancos e seus clientes no futuro”, alerta Yunusov, o outro pesquisador citado na matéria da revista norte-americana.

Para os especialistas, a melhor dica para evitar golpes com cartões por aproximação é mantê-los guardados em segurança. Também é recomendável que o cliente sempre monitore suas compras e transações, de maneira que consiga detectar eventual transação fraudulenta antes mesmo que os bancos.

Stephen Ridgway, outro especialista em cibersegurança consultado pela Forbes, defende inclusive que as pessoas usem capas nos celulares ou nas carteiras que dificultem ou até bloqueiem a leitura via NFC. Já Ted Rossman, fonte de uma matéria sobre o tema na Fox (leia em inglês aqui), discorda: “Acho um exagero. Os golpes deste tipo não estão generalizados e o consumidor nunca é o responsável pelas fraudes, então acho que é ir longe demais”.

A evolução da segurança bancária e novas regulamentações também devem melhorar a proteção. Ridgway acredita que os provedores de pagamento vão reconhecer e bloquear facilmente compras ilegítimas feitas por cartão por aproximação que ultrapassem o limite permitido se isso se tornar comum. No caso de países da União Europeia, vale lembrar que um pacote de novas regras no e-commerce e meios de pagamento entra em vigor em breve, e uma delas padroniza a obrigatoriedade da senha nos países do bloco depois de 130 libras gastas ou cinco transações por aproximação feitas no mesmo dia.

Ficando pop

Como dissemos no início deste texto, o cartão por aproximação e outros meios de pagamento via NFC (como pulseiras, smartphones e relógios) são a nova aposta da indústria do setor. Mastercard e Visa, por exemplo, fizeram testes em grande escala em dois eventos de futebol de 2019: a Copa América masculina no Brasil e a Copa do Mundo Feminina na França. Os resultados foram positivos, conforme relatado nesta matéria do site Máquina do Esporte.

Também em 2019, a Visa ampliou a tecnologia de pagamento por aproximação para o transporte público brasileiro e firmou parceria com o Metrô Rio. Desde o final de abril, já é possível embarcar na capital fluminense aproximando das catracas o cartão bancário ou o smartphone com os dados cadastrados, o que evita filas – e a ideia da empresa é estender o serviço para outras cidades.

Em 2020, com a pandemia, o uso de pagamentos via NFC foi inclusive encorajado em várias partes do mundo, por evitar contatos físicos. A ferramenta, portanto, vai fazer parte da nossa rotina em breve – e, consequentemente, atrair a atenção dos fraudadores.

Você já assina a newsletter da Konduto?

Eduardo Carneiro

Autor Eduardo Carneiro

Eduardo é jornalista formado pela Cásper Líbero e trabalhou em sites como Gazeta Esportiva, Terra e UOL ao longo da carreira. Na Konduto desde junho de 2019, escreve sobre as novidades do mundo da fraude e arrisca imitações de celebridades.

Mais posts de Eduardo Carneiro