“É de inserir ou aproximar?” pode se tornar uma questão mais difícil agora que uma gangue de cibercriminosos criou um malware capaz de contornar a segurança dos pagamentos por aproximação.
Mas ainda não há motivos suficientes para abandonar esse meio de pagamento. O grupo Prilex conseguiu contornar, e não quebrar sua segurança.
O novo programa malicioso bloqueia o processamento do pagamento por aproximação da máquina, obrigando o comprador a inserir o cartão no leitor. O malware, então, conecta-se com os criminosos e envia para eles, e não para a instituição financeira, as informações de pagamento.
Os pagamentos “contactless” (sem contato, em inglês) se popularizaram durante a pandemia e demonstraram ser uma alternativa tão segura quanto o pagamento com chip do cartão.
Segundo Fabio Assolini, chefe de pesquisa da Kaspersky na América Latina, empresa que identificou o programa, o número de detecções não é alto, o que pode indicar que ainda está em teste. “O Prilex é bem direcionado. Não vão instalar o vírus na padaria da esquina. Eles preferem empresas que movimentam valores expressivos”, disse.
Em nota, a Abecs (Associação Brasileira das Empresas de Cartões de Crédito e Serviços) disse que não detectou evidência desse malware em ação. “[A associação] continuará monitorando e buscando informações junto ao mercado sobre o suposto golpe para impedir o pagamento por aproximação, uma modalidade de pagamento extremamente segura”, disse.
No pagamento por aproximação, cada transação tem um código criptografado exclusivo. Ou seja, mesmo que as informações sejam capturadas por criminosos, não têm utilidade. Já no pagamento pelo chip, há a transmissão direta dos dados do cartão, que são sempre os mesmos.
“Sabendo disso, os criminosos por trás do Prilex não querem que as pessoas paguem por aproximação. Querem forçar as pessoas a inserir o cartão. A maquininha, conectada a um sistema infectado, vai conseguir capturar os dados desse cartão, porque o dado transacionado será o dado do cartão real”, explica Fabio Assolini, da Kaspersky, empresa de cibersegurança que identificou o malware.
Os criminosos conseguem ter acesso às informações porque, através de engenharia social, infectaram computadores ligados aos pontos de venda e o software que processa o pagamento realizado. A maquininha de cartão que estiver conectada a esse computador no ponto de venda não é afetada.
Segundo a Abecs, foram feitos 3 bilhões de pagamentos por aproximação no terceiro trimestre de 2022, um crescimento de 157,7% em relação ao mesmo trimestre do ano anterior.
A participação no total de transações presenciais saltou de 3,9% em setembro de 2020 para 37,7% em setembro de 2022. A expectativa da entidade é que metade das transações presenciais de 2022 tenham sido feitas por aproximação.
Apesar de ser seguro em termos de criptografia, os cartões por aproximação não são imunes a outros tipos de fraude.
Por exemplo, o método permite compras de até R$ 200 sem a necessidade de digitar senha, então caso o cliente seja furtado ou perca o cartão, corre o risco de que compras sejam feitas sem sua autorização.
Para se proteger, o consumidor pode desativar a opção “contactless” nos aplicativos dos bancos quando for a eventos com aglomeração, como shows ou Carnaval. Ou usar dinheiro.
– Verifique o valor exibido no visor antes pagar por aproximação;
– Registre o envio de mensagens de todas as compras feitas para o seu celular;
– Acompanhe as notificações do app e o extrato do seu banco;
– Não aproxime o cartão antes da hora;
– Tenha cuidado com o cartão.
– Se perdê-lo, bloqueie imediatamente;
– Caso tenha caído em um golpe, avise seu banco e conteste cobranças indevidas;
APROXIMAÇÃO COM CELULAR PODE SER MAIS SEGURA
Outra forma de usar o pagamento contactless é cadastrando o cartão de crédito ou débito nos serviços de pagamento disponíveis em smartphones e smartwatches (relógios inteligentes). Os principais são Samsung Pay, Google Pay e Apple Pay.
Esses aplicativos usam a tecnologia NFC (Near Field Connection) dos dispositivos, análoga à RFID (identificação por radiofrequência, na sigla em inglês) presente nos cartões físicos.
O uso da aproximação através dos celulares pode ser ainda mais seguro, já que, para ativá-lo, é necessário desbloquear o celular (PIN, biometria ou FaceID) e abrir o aplicativo.