Cartões Bancários – Saiba como os Proteger

/ Segurança Financeira / By

Falar de cartões bancários, como cartões de débito e de crédito, é falar de algo muito apetecível no mundo do crime.

Estes são alguns dos ataques perpetuados a cartões bancários que é importante conhecer e que vamos abordar neste artigo, fornecendo os detalhes necessários para que se possa proteger dos mesmos:

  • O roubo dos dados dos cartões bancários, que permitem que um agente mal intencionado efetue pagamentos com eles, e que pode ser efetuado por observação dos cartões físicos ou comprometendo plataformas onde os utilizou e que guardam os seus dados para que possa utilizar os mesmo cartões mais comodamente em pagamentos futuros;
  • Tecnologias por aproximação que permitem que um criminoso aproxime um terminal de pagamentos do seu bolso para efetuar pagamentos não autorizados, uma vez que os pagamentos até determinados valores não requerem a inserção de PIN, ou copiar os dados dos seus cartões bancários;
  • A clonagem de cartões bancários em Multibandos e bombas de postos de combustível, recorrendo a tecnologia dissimulada;
  • Entre outros.

Conhecer as vulnerabilidades existentes é essencial para que possa proteger as suas contas cartão de pagamentos não autorizados.

A evolução dos pagamentos com cartões bancários

Os primeiros cartões bancários apareceram na década de 1950. Nos Estados Unidos, o Diners Club lançou o primeiro cartão de crédito multiusos, feito em papel e que permitia que os consumidores efetuassem compras numa rede limitada de estabelecimentos.

Alguns anos mais tarde, em 1958, a American Express e o BankAmericard (hoje em dia Visa) lançaram os seus próprios cartões bancários.

Já em 1966 foi introduzido o Master Charge (Mastercard hoje em dia).

Conheça os principais tipos de cartões bancários utilizados nos dias de hoje, assim como as formas mais modernas de realizar pagamentos.

Cartões bancários de banda magnética

Os cartões de banda magnética, desenvolvidos pela IBM em 1969, armazem informação de forma estática que é lida nos terminais de pagamento. Por não utilizarem criptografia e as informações nunca mudarem, podem ser facilmente lidos e copiados para um cartão em branco por qualquer pessoa com um leitor de banda magnética, podendo ser utilizados em pagamentos não autorizados pelo consumidor.

Cartão bancário de banda magnética
Cartão bancário de banda magnética

Cartões bancários com chip EMV de contacto

Os cartões com chip EMV (Europay, Mastercard e Visa), tiveram o início do seu desenvolvimento em 1994. Os primeiros cartões com chip EMV foram lançados na Europa em 1996 e a sua adoção global teve lugar em 2000. Requerem a sua inserção física no terminal de pagamentos para concluir uma transação e utilizam criptografia para gerar um código único para cada transação, conhecido como criptograma, que é validado pelo banco. Como este código apenas pode ser utilizado uma vez, torna a clonagem mais complexa, sendo assim a sua utilização mais segura do que a dos cartões de banda magnética.

Cartão bancário com chip EMV
Cartão bancário com chip EMV

Contudo, apesar de considerados mais seguros do que os cartões de banda magnética, não são totalmente imunes, sendo conhecidos vários ataques. Tendo isto em conta, é necessário não baixar as defesas.

Cartões bancários com chip EMV de aproximação (contactless)

Os cartões EMV contactless utilizam tecnologia Near-Field Communication (NFC), tornando-se assim mais práticos de utilizar e, de certa forma, mais seguros por não terem de ser inseridos nos terminais de pagamento.

Pagamento com cartão bancário por aproximação
Pagamento com cartão bancário por aproximação

Contudo, para maximizar a sua segurança, é necessário guardá-los devidamente em carteiras ou porta-cartões com bloqueio de tecnologia Radio-Frequency Identification (RFID), pois de outra forma estão sujeitos à leitura dos seus dados sem que se dê conta. Falamos sobre este tipo de carteiras mais abaixo neste mesmo artigo.

Dispositivos móveis

Pagamentos por aproximação (NFC)

O pagamento com dispositivos móveis, como smartphones, tablets e smartwatches, através de aproximação, recorrendo à tecnologia NFC, veio tornar os pagamentos ainda mais cómodos, pois normalmente temos o telemóvel mais à mão do que o cartão bancário.

Pagamento por aproximação com um telemóvel
Pagamento por aproximação com um telemóvel

Neste tipo de pagamentos deve ser garantido que é solicitada autenticação biométrica em cada transação, por forma a garantir que não são executados pagamentos não autorizados.

Carteiras digitais (e-wallets)

As carteiras digitais, como a Apple Pay e a Google Pay, tornam-se ainda mais cómodas ao permitir pagamentos presenciais (por NFC) e online, através da mesma aplicação.

Estas transações também devem ser protegidas com autenticação biométrica, garantindo assim que não são efetuados pagamentos não autorizados.

QR Codes

Pagamento efetuado através da leitura de um QR Code
Pagamento efetuado através da leitura de um QR Code

A utilização de QR Codes para efetuar pagamentos está a ser largamento adotada, especialmente devido à sua simplicidade, uma vez que não envolve inserir ou aproximar seja o que for, apenas fazer o scan de um QR Code.

Proteção física

Guarde os seus cartões bancários de forma segura

Desde há alguns anos que os bancos passaram a fornecer cartões contactless, munidos com tecnologia RFID, que lhe permite encostar o cartão à máquina de pagamentos, em vez de ter de o inserir e colocar o PIN.

Sem dúvida que isto simplificou os pagamentos, mas trouxe um dissabor que muitos já experimentaram: se alguém aproximar uma máquina de pagamentos electrónicos ao seu cartão quando o tem na carteira e esta está no bolso, por exemplo, vai-lhe sair dinheiro da conta sem sequer dar conta!

Ou seja, os famosos carteiristas passaram a ter a vida facilitada em certa medida, pois em vez de arriscarem ser apanhados a tirar a carteira do bolso, apenas precisam do momento certo para se aproximarem com um destes equipamentos. Se o pagamento for abaixo de um determinado valor (50 Euros em Portugal), nem sequer é necessário PIN.

Outra vulnerabilidade, é a cópia dos dados do cartão também por aproximação

Para evitar isto, deve comprar uma carteira anti-RFID, que bloqueia os campos eletromagnéticos, inibindo assim este truque. Existem várias no mercado para todos os gostos e carteiras.

O seu cartão bancário deve ser fisicamente intransmissível

O aspeto mais importante a reter é que no seu cartão estão dados como o número, a validade e o código de segurança (CVV). Bastam estes três dados para que uma pessoa mal intencionada consiga efetuar pagamentos online com o seu cartão.

Tendo esta informação em conta, pense duas vezes antes de passar o cartão para a mão seja de quem for.

Por vezes são os funcionários de lojas que na altura de utilizar os terminais de pagamento, nos esticam a mão para lhes cedermos o cartão, com o objetivo de serem eles a encaixarem o cartão no terminal. Ainda que, propositadamente, o código não esteja na mesma face em que está o número e a validade, não existe razão nenhuma para que tenha de ceder o cartão seja a quem for, em vez o inserir diretamente no terminal.

O mesmo acontece quando os colaboradores dos bancos lhe pedem o cartão para através dele chegarem ao número da sua conta, para a realização de uma qualquer operação bancária. Não obstante estes funcionários terem acesso a detalhes sensíveis da sua conta no âmbito das suas funções, nada justifica que lhe peçam o cartão. Recuse-se a entregá-lo e indique-lhes o número da sua conta. Em alternativa, através da sua identificação, o banco consegue perfeitamente chegar ao número da sua conta.

Estes são alguns dos problemas que podem ocorrer quando dá o seu cartão para a mão de outras pessoas:

  • Clonagem de cartões – o funcionário da loja ou do banco pode clonar o seu cartão disfarçadamente com um dispositivo próprio;
  • Exposição dos dados do cartão – o funcionário pode observar e até copiar os dados do seu cartão, o que lhe permitirá efetuar pagamentos online;
  • Falta de controlo sobre a transação – em lojas onde estiver a efetuar pagamentos, ao não colocar pessoalmente o cartão no terminal, perde o controlo sobre a transação. Ou seja, por exemplo, não controla o valor que lhe estão a cobrar.

Tome atenção onde insere o seu cartão bancário

Os Multibancos são muitas vezes alvo da colocação de dispositivos que clonam cartões
Os Multibancos são muitas vezes alvo da colocação de dispositivos que clonam cartões

Os Automated Teller Machines (ATM), vulgarmente designados de caixas multibanco, assim como os leitores de cartões das bombas dos postos de combustível, são alvos frequentes de aplicação de tecnologia disfarçada que captura os dados de cartões de débito e de crédito, sem que os clientes suspeitem. Antes destes darem conta, já centenas ou mesmo milhares de euros lhes foram roubados da conta.

Os ATMs, muito deles disponíveis na parte exterior dos bancos e noutros locais, são um modo conveniente de levantar dinheiro e de efetuar outras operações bancárias sem a necessidade de ir ao banco e aguardar para ser atendido por um funcionário.

Os postos de combustível, principalmente os mais recentes, dispõem de leitores de cartões bancários nas próprias bombas, que permitem que os seus clientes paguem o combustível ali mesmo, em vez de terem de se dirigir ao funcionário que se encontra dentro do balcão, no edifício do posto de combustível.

Apesar de toda esta conveniência, estes equipamentos acabam por não ter o mesmo nível de vigilância dos que se encontram dentro dos bancos, sendo alvos fáceis para os criminosos. As tecnologias de clonagem de cartões e teclados falsos são muito semelhantes aos fidedignos. Alguns armazenam os dados internamente, sendo necessário que os criminosos voltem ao local pars os recolher, enquanto que outros os transmitem em tempo real por dados móveis, redes sem fios, ou Bluetooth.

Siga as seguintes dicas para detetar estes equipamentos falsos e evitar cair nestas armadilhas:

  1. Puxe pelo teclado e pelo leitor de cartões para verificar se ele se desprende facilmente.
  2. Tenha atenção à ortografia do equipamento. Tal como acontece muitas vezes no phishing por email, muitos criminosos não dominam a língua portuguesa e erros ortográficos são muitas vezes indicativos de que algo de anormal se passa.
  3. Se ocorrerem erros após a inserção do cartão e do respetivo PIN, podem ser indicativos de que algo de anormal se passa, e de que um criminoso pode já ter recebido os seus dados.

Além destes pontos que o poderão ajudar a detetar estes mecanismos, há outras formas de evitar cair nestes armadilhas, tais como:

  • Utilizar dinheiro sempre que possível.
  • Verificar os movimentos dos seus cartões com frequência.
  • Evitar os ATMs exteriores aos bancos.
  • Tapar sempre o teclado o melhor que puder, enquanto insere o PIN. Alguns destes esquemas incluem a instalação de mini-câmeras apontadas ao teclado, que registam o PIN que inserir. Ainda que isto não previna que os dados do seu cartão sejam copiados e que um cartão clone possa ser utilizado em máquinas de pagamento, vai dificultar que a sua conta bancária seja esvaziada, pois os criminosos não vão ter o seu PIN.

Posto isto, é de elevada importância que estes equipamentos possuam tecnologia anti-adulteração, que previna a aplicação destes disfarces.

Estes ataques são conhecidos como skimming quando efetuados contra cartões bancários de banda magnética, e shimming quando os cartões bancários alvo contêm chips EMV.

Skimming

O skimming é um ataque mais antigo direcionado a cartões de banda magnética, que envolve ler os seus dados recorrendo a um leitor de cartões. Como a informação é estática, nunca muda, e não é utilizada encriptação, é fácil clonar estes cartões.

Shimming

O shimming é um ataque em tudo semelhante ao skimming, mas direcionado a cartões bancários com chip EMV. Trata-se de um ataque menos comum e menos eficaz, porque enquanto o skimming permite clonar o cartão bancário de banda magnética, o shimming captura alguns dados do chip EMV, mas não pode gerar o criptograma único que é usado em cada transação. Este criptograma não pode ser reutilizado, pelo que não pode criar uma cópia funcional de um cartão EMV. No entanto, eles podem ser utilizados em transações onde apenas os dados estáticos são necessários, como transações com banda magnética, se a segurança do sistema do comerciante for baixa.

De notar também que os dispositivos shimming são mais difíceis de identificar, pois é necessário desmontar os equipamentos onde eles estão inseridos.

Pagamentos online seguros

Ligue-se à Internet de forma segura

Se vai efetuar compras online e, por isso, partilhar dados de pagamento, faça os possíveis por:

  • Utilizar um dispositivo pessoal em vez de um dispositivo público ou de outra pessoa. Este é um passo importante para ajudar a garantir, em certa medida, que visita efetivamente o website que pretende e que os dados que lá coloca não são interceptados.
  • Utilize uma ligação segura. Evite redes sem fios (Wi-Fi) públicas, como as que são encontradas em cafés, aeroportos, hóteis, etc. Se tiver mesmo de as utilizar, é recomendado que utilize uma Virtual Private Network (VPN) de confiança.

Já depois de ter estes passos garantidos, é igualmente importante garantir que se liga ao website verdadeiro. Isto é, digite diretamente o endereço do serviço a que pretende aceder ou, no caso de o procurar num motor de pesquisa, esteja atento para não clicar em sites falsos que se fazem passar pelo site que pretende. São bem conhecidos os casos em que isto acontece, e nos quais o utilizador é iludido com um site que em tudo se assemelha ao que pretende visitar. Nestes casos, os dados que insere no site são enviados diretamente para as pessoas mal-intencionadas que os colocaram online com o único propósito de lhe roubarem os dados do seu cartão. Assim, para evitar este problema, além de toda a atenção no momento de clicar no resultado da pesquisa, é essencial que verifique o endereço na barra de endereços do seu browser, por forma a garantir que se trata mesmo do site que pretende visitar.

Prefira serviços que estejam em conformidade com o PCI-DSS

Por muito que seja cuidadoso, ao partilhar os dados dos seus cartões com websites de comércio eletrónico, está a incorrer em riscos que deixa de conseguir controlar. Se estes sites não tiverem determinados cuidados, os dados do seu cartão e os seus dados pessoais (como o seu nome e a sua morada), podem ser acedidos por pessoas não autorizadas.

Estar em conformidade com a Indústria dos Cartões de Pagamento (PCI – Payment Card Industry) significa aderir a standards de segurança delineados no Payment Card Industry Data Security Standard (PCI-DSS) Estes standards garantem que as empresas que processam, armazenam, ou transmitem informações de cartões de crédito tomam as medidas necessárias para garantir a segurança dos dados do detentor do cartão, por forma a prevenir violações de dados, fraude e acesso não autorizado.

Plataformas de comércio eletrónico como o Shopify e o WooCommerce procuram estar em conformidade com o PCI-DSS e têm informação disponível sobre o tema nos seguintes links, respetivamente:

Utilize cartões virtuais

Um cartão virtual é em tudo semelhante ao seu cartão físico, mas com algumas vantagens, entre as quais:

  • Pode criar vários cartões – Ou seja, a maioria dos serviços permitem-lhe criar vários cartões virtuais, à medida das suas necessidades. Isto significa, por exemplo, que pode ter um cartão diferente por cada serviço que utilizar ou, se quiser, para cada pagamento que efetuar.
  • Pode especificar se o cartão é de utilização única, para utilização em várias compras ou para o pagamento recorrente de um serviço.
  • Pode especificar o limite máximo de valor do cartão.

Além destas vantagens, pode cancelar qualquer cartão virtual em qualquer altura. Ou seja, se anulou a subscrição de um determinado serviço e quer mesmo garantir que a anulação é efetiva, pode cancelar o cartão. Desta forma, se o serviço tentar cobrar a mensalidade, não vai conseguir. Contudo, antes de cancelar um cartão, verifique que serviços estão a ser cobrados nesse cartão, pois se o cancelar, vai afetá-los a todos.

Conclusão

De forma resumida, o importante a reter é que os dados do seu cartão têm muito interesse para quem anda no mundo do crime, pelo que:

  • Evite os cartões bancários de banda magnética, e prefira os de chip EMV uma vez que são mais seguros. Utilize pagamentos com NFC ou QR Code quando possível, preferencialmente configurados para exigir autenticação com dados biométricos.
  • Nunca deve passar o seu cartão físico para a mão de outra pessoa.
  • Nunca deve partilhar os dados do seu cartão bancário físico (como o número, a validade e o código de segurança) presencialmente ou pela Internet. Em vez disso, crie cartões virtuais, com limites de utilização.
  • Deve guardar os seus cartões em carteiras com bloqueio RFID, evitando assim que lhe encostem um terminal de pagamentos ao bolso, efetuando pagamentos não autorizados, ou que tentem ler os dados do seu cartão.
  • Deve prestar especial atenção em caixas Multibanco e nas bombas dos postos de combustível, uma vez que são alvos comuns de tecnologia dissimulada que tem como objetivo clonar os seus cartões.
  • Efetue pagamentos online utilizando os seus próprios dispositivos e ligações à Internet, e garanta que utiliza serviços de comércio eletrónico reputáveis que estejam em conformidade com o PCI-DSS.