farmacia-tapada-das-merces.pt

Skimming: como proteger o seu cartão no Multibanco e nas compras online

Pessoa a usar cartão bancário e telemóvel num multibanco ao ar livre durante o dia.

Sem qualquer aviso, um truque quase invisível pode tomar conta do seu cartão bancário - seja no Multibanco, seja nas compras online.

Hoje em dia, os criminosos já não precisam de lhe roubar fisicamente o cartão para chegarem ao seu dinheiro. Com mini-dispositivos escondidos no leitor, códigos camuflados em páginas de pagamento e ataques sofisticados a lojas online, a fraude conhecida como skimming evoluiu a grande velocidade nos últimos anos - e já apanha clientes comuns no dia a dia.

Como o Skimming suga os dados do seu cartão antes de o banco dar por isso

Por skimming entende-se qualquer técnica em que os autores conseguem recolher, sem dar nas vistas, os dados do seu cartão. Isso pode acontecer diretamente num Multibanco, num terminal de pagamento num posto de combustível ou, cada vez mais, na página de checkout de uma loja online.

O objetivo é sempre o mesmo: intercetar os dados do cartão no exato segundo em que os introduz - antes de o banco autorizar o pagamento.

Durante muito tempo, a manipulação de caixas automáticas foi o método dominante. Entretanto, o foco tem-se deslocado para o ambiente online, onde é possível obter mais dinheiro com menos risco. Ainda assim, tanto o mundo físico como o digital continuam a ser uma ameaça.

Caixas automáticas manipuladas: do encaixe de plástico ao chip ultrafino

No skimming “clássico” em Multibancos, o princípio pouco mudou: adiciona-se um leitor extra ao encaixe do cartão e, em paralelo, usa-se uma forma de obter o PIN - tipicamente com uma câmara escondida ou com um teclado falso.

Como decorre o ataque no Multibanco

Em caixas automáticas e terminais de pagamento em postos de combustível, os atacantes combinam tecnologia com engano:

  • Um leitor é colocado por cima da ranhura real e captura os dados da banda magnética.
  • Uma minicâmara grava a introdução do PIN a partir de um ângulo “perfeito”.
  • Em alternativa, um teclado sobreposto ao original regista cada tecla premida.
  • Em alguns casos, o equipamento transmite os dados por Bluetooth, pelo que o criminoso nem precisa de voltar ao local.

Com esta informação, torna-se simples criar cópias funcionais do cartão e levantar dinheiro em países onde a banda magnética ainda é aceite para transações.

Shimming: a evolução invisível

Com a adoção de cartões com chip segundo o padrão EMV, o trabalho dos criminosos complicou-se: a tecnologia do chip gera um código único em cada transação, o que torna as cópias praticamente inúteis.

A resposta passou a chamar-se shimming. Aqui, é usado um módulo extremamente fino, inserido diretamente na ranhura do cartão. Este “shimmer” fica eletricamente entre o cartão e o leitor, registando partes da comunicação com o chip.

O Shimmer é tão fino como uma folha de papel e, visto de fora, é praticamente invisível - mesmo olhos treinados não o detetam.

A seguir, com os dados intercetados, os autores produzem os chamados cartões de fallback com banda magnética. O uso costuma acontecer no estrangeiro, onde muitos terminais, quando detetam problemas técnicos com o chip, mudam automaticamente para a variante da banda magnética.

Do Multibanco para a Internet: E‑Skimming nas lojas online

Ao mesmo tempo que continuam os ataques a terminais físicos, ganhou força uma variante ainda mais discreta: o roubo digital de dados durante as compras online.

No E‑Skimming, os atacantes inserem código JavaScript malicioso diretamente na página de pagamento de um site. Enquanto o cliente digita os dados do cartão, o script envia uma cópia para um servidor controlado pelos criminosos - de forma silenciosa, sem qualquer erro visível.

Grupos Magecart e ataques em massa

Os agentes mais conhecidos deste tipo de fraude são frequentemente agrupados sob a designação Magecart. Em tempos, escolhiam alvos individuais, como lojas assentes em Magento ou Adobe Commerce. Hoje, a ambição é outra.

Em vez de comprometerem lojas uma a uma, os grupos procuram fornecedores e serviços cujo código é reutilizado milhares de vezes:

  • ferramentas de análise de estatísticas de visitas;
  • pixels de publicidade ou de tracking;
  • plugins de descontos, avaliações ou funcionalidades de chat.

Quando um desses serviços é comprometido, o script malicioso aparece automaticamente em todos os sites que o integram. Em 2024, um ataque a uma conhecida plataforma de commerce fez com que cerca de 11.000 websites ficassem infetados de uma só vez. Mais tarde, centenas de milhões de dados de cartões surgiram no Darknet.

Scripts escondidos em ícones e páginas de erro

As técnicas de camuflagem estão cada vez mais refinadas. Investigadores de segurança encontraram scripts maliciosos, por exemplo:

  • em ícones discretos do navegador (favicons);
  • como supostas cópias de serviços legítimos, como ferramentas de analytics ou de pixel;
  • em páginas pouco usadas, como a página de erro “404 – Página não encontrada”.

Estas páginas de erro muitas vezes ficam fora do radar da monitorização de segurança. Os atacantes colocam ali o código que, no momento do pagamento, entra em ação. Para o cliente, pode parecer apenas um breve “vai e vem”, talvez com um aviso de sessão expirada. Nos bastidores, os dados do cartão já estão a ser desviados.

Como proteger o seu cartão no Multibanco e no posto de combustível

Como utilizador, tem várias medidas simples e eficazes para reduzir de forma clara o risco ao pagar.

Regras essenciais no Multibanco

  • Sempre que possível, prefira o pagamento contactless em vez de inserir o cartão.
  • Ao introduzir o PIN, cubra sempre o teclado com a mão livre.
  • Dê preferência a Multibancos em balcões bancários ou em locais bem vigiados.
  • Evite máquinas onde algo pareça solto, desalinhado ou “colado” posteriormente.
  • Pare a operação se alguém estiver demasiado próximo atrás de si ou tentar distraí-lo.

Abastecer com cartão em segurança

Os casos de skimming tendem a ser mais frequentes em bombas isoladas e pouco visíveis. Alguns cuidados básicos ajudam a baixar o risco:

  • Sempre que der, use bombas próximas da caixa ou da loja.
  • Verifique rapidamente com a mão a ranhura do cartão e o teclado - se algo mexer, interrompa.
  • Se existir, opte também aqui pelo pagamento contactless.

O pagamento contactless não impede todos os tipos de fraude, mas bloqueia muitos ataques de skimming e shimming, porque o cartão não chega a “desaparecer” dentro do leitor.

Como reforçar a segurança das compras online

No online não há contacto físico, mas ainda assim é possível criar barreiras que dificultam bastante o E‑Skimming.

Um cartão separado apenas para a Internet

Uma estratégia muito eficaz é usar um cartão dedicado a pagamentos online com um limite de utilização propositadamente baixo. Muitos bancos disponibilizam ainda cartões virtuais, que geram um novo número por compra e o tornam inválido logo a seguir.

Isto traz duas vantagens:

  • Um conjunto de dados roubado fica sem utilidade após o pagamento.
  • Um limite baixo restringe o prejuízo máximo.

Sinais de alerta nas compras online

Mesmo sem conhecimentos técnicos, é possível identificar padrões suspeitos que apontam para maior risco:

  • pop-ups ou redirecionamentos inesperados exatamente no momento do pagamento;
  • erros ortográficos, frases estranhas ou um design incoerente na página de pagamento;
  • avisos do navegador sobre segurança da ligação ou sobre o certificado;
  • uma loja que só aceita cartão e não oferece serviços de pagamento reconhecidos.

Como rede adicional, ative notificações por push ou SMS. Muitos bancos avisam em tempo real cada transação com cartão. Assim, uma tentativa de débito indevido é detetada em minutos e pode bloquear o cartão de imediato.

O que os comerciantes têm de fazer agora - e o que isso traz aos clientes

Para quem opera lojas online, o nível de exigência subiu. A versão atual do standard de segurança PCI DSS obriga os comerciantes a inventariar todos os scripts nas páginas de pagamento e a monitorizar ativamente quaisquer alterações.

Na prática, isto implica:

  • cada componente de código na página de pagamento ficar documentado;
  • serviços externos só serem integrados após uma avaliação clara de risco;
  • sistemas de monitorização gerarem alertas se o código mudar sem autorização.

Para os clientes, é um avanço discreto, mas real. Quanto mais seriamente as lojas cumprirem estas regras, menor será a janela de oportunidade para um atacante aceder aos dados do cartão sem ser detetado.

Porque, apesar da tecnologia, o fator humano continua a ser a melhor defesa

A tecnologia evoluiu: chips em vez de banda magnética, função contactless, cartões virtuais, autenticação forte do cliente. Em paralelo, os criminosos adaptam-se com novas manobras - do shimmer no leitor ao script escondido numa página 404.

No fim, muitas vezes é um olhar rápido ou um mau pressentimento que decide se a fraude resulta ou não.

Quem verifica o saldo com regularidade, reage de imediato a movimentos estranhos e mantém prudência ao usar caixas automáticas desconhecidas ou lojas pouco familiares reduz muito o risco pessoal. As medidas técnicas dos bancos travam muitos ataques, mas não substituem a atenção de quem usa o cartão.

Uma combinação funciona melhor: pagar por contactless sempre que possível; usar cartão virtual ou com limite reduzido nas compras online; ativar alertas; e, em caso de dúvida, abdicar da transação quando algo não parece certo. Assim, o cartão volta a ser aquilo que deve ser: uma ferramenta prática - e não uma porta aberta para a sua conta.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário