As notificações se acumulam. No meio da rotina corrida e do hábito automático, um toque mínimo na tela passou a ter um peso muito maior do que deveria.
Hoje, muita gente faz operações bancárias no celular sem pensar duas vezes. Um aviso sonoro, uma olhada rápida, o polegar desliza sobre a tela e pronto: a tarefa parece concluída. Esse ritmo fácil, criado para dar praticidade, virou o novo ponto de ataque. Os criminosos aprenderam a explorar exatamente o instante em que a pessoa diz “sim”.
O que está acontecendo no dia a dia dos bancos
A maioria dos aplicativos bancários usa um aviso por notificação para a autenticação forte do cliente. A pessoa tenta entrar, cadastrar um favorecido ou aprovar um pagamento; o telefone acende com um pedido; o usuário abre o app e toca em “Aprovar”. Em teoria, esse segundo fator deveria elevar a segurança. Na prática, os golpistas passaram a atacar justamente essa etapa.
Fraudadores disparam enxurradas de solicitações ao longo do dia e da noite. A vítima recusa algumas, mas acaba cedendo em algum momento. Alguns grupos fazem sessões de phishing em tempo real: imitam a tela de login do banco, roubam o primeiro fator e acionam uma notificação legítima para o telefone da vítima. Em seguida, um falso atendente de suporte pressiona a pessoa a aprovar “para confirmar a identidade”. No Android, um malware bancário pode até colocar uma camada falsa sobre o aplicativo verdadeiro para capturar o gesto de aprovação. A fricção desapareceu. A cautela também.
A sobrecarga de alertas ajuda os criminosos. Quando tudo apita o tempo inteiro - mensagens de trabalho, entregas, promoções, atualizações e avisos de redes sociais - o alerta do banco deixa de parecer excepcional. Esse excesso de estímulos treina o cérebro a responder rápido, sem leitura cuidadosa. É justamente aí que a fraude encontra espaço para parecer rotina.
Os atacantes não precisam quebrar a criptografia. Só precisam vencer um instante apressado e distraído.
A dinâmica da fadiga de MFA
O método deles é frustrantemente simples. Os golpistas juntam logins vazados e kits de phishing. Tentam entrar na conta, o que envia uma notificação para o verdadeiro titular. Se a pessoa rejeita, eles tentam de novo - a cada poucos minutos, ou até a cada poucos segundos. Muitos ainda aumentam a pressão com ligação ou mensagem: “Aprove agora para bloquear um pagamento suspeito”. Esse roteiro social transforma uma checagem de segurança em um reflexo de “confirmar”.
De onde vem o problema
A pressão europeia da PSD2 pela autenticação forte do cliente levou os bancos a trocar códigos únicos por SMS por aprovações dentro do aplicativo. No papel, a mudança é mais robusta: vínculo ao dispositivo, biometria e verificações no servidor. Na prática, o risco não sumiu; apenas mudou de lugar. Pagamentos instantâneos, filas densas de notificações e peculiaridades dos redirecionamentos internos dos apps abriram novas brechas.
- A falta de contexto nas notificações aumenta a chance de erro. Muitos alertas não mostram o favorecido, o valor nem a finalidade. A resposta costuma vir no piloto automático.
- A reutilização de credenciais ainda alimenta os ataques. E-mails e senhas vazados dão aos criminosos o primeiro ponto de entrada.
- As transferências instantâneas elevam o ganho do golpe. O dinheiro pode cair numa conta laranja e sair do país em minutos.
- O celular concentra quase tudo: banco, e-mail e autenticadores. O abuso de recursos de acessibilidade e de falhas em redirecionamentos internos amplia a superfície de ataque para trojans móveis.
- O banco aberto adiciona repasses e etapas de consentimento. Cada redirecionamento cria uma nova chance de confusão, que os engenheiros sociais exploram sem demora.
Quando se remove a fricção de forma descuidada, também se elimina a pausa que ajuda as pessoas a perceber uma armadilha.
O que isso significa para clientes, bancos e reguladores
Para os clientes, a linha entre fraude “autorizada” e “não autorizada” fica embaçada. Se a pessoa tocou em “Aprovar”, isso significa consentimento? Em alguns casos, os bancos tratam o gesto como sinal verde. No Reino Unido, os reguladores apertaram o modelo para golpes de pagamento autorizado por push, reforçando a responsabilidade das instituições e melhorando o reembolso de muitas vítimas. Essa pressão tende a crescer à medida que os pagamentos instantâneos se expandem e as verificações de confirmação do beneficiário se tornam padrão.
Para os bancos, a conta está mudando. As perdas com fraude sobem, mas passos adicionais no login prejudicam conversão e satisfação. Por isso, muitas instituições passaram a investir em camadas invisíveis: biometria comportamental, pontuação de risco do dispositivo, detecção de anomalias e bloqueio em tempo real de aparelhos comprometidos. Padrões de grandes empresas de tecnologia, como as chaves de acesso baseadas em FIDO2, fortalecem a autenticação presa ao dispositivo e enfraquecem as estratégias de phishing por retransmissão. Ainda assim, o fator humano continua enorme. Uma chave elegante não corrige um toque apressado provocado por uma voz convincente.
A própria sociedade vive de alertas. Conversas de trabalho, avisos de entrega, promoções, tudo pisca na tela sem parar. Nesse ambiente, a notificação bancária deixa de parecer rara ou grave. Por isso, o desenho da interface e a forma de escrever a mensagem passam a ser decisivos: o jeito como o aplicativo apresenta aquele instante molda a escolha da pessoa.
O que os especialistas sugerem e quais soluções realmente funcionam
Os especialistas insistem no mesmo defeito de origem: um botão “Aprovar” sem contexto. As contramedidas mais eficazes já aparecem em diferentes áreas de finanças e tecnologia. Todas tentam desacelerar o reflexo, devolver contexto ou amarrar a aprovação à ação exata.
| Medida | O que ela muda | Limitações |
|---|---|---|
| Correspondência numérica | O usuário digita um código exibido na tela de login; o toque mecânico deixa de funcionar | Sites de phishing ainda podem retransmitir o código em tempo real |
| Vínculo dinâmico | A aprovação mostra favorecido e valor; o vínculo criptográfico impede alterações silenciosas | Exige interface clara; telas pequenas podem esconder detalhes importantes |
| Chaves de acesso e chaves protegidas por hardware | Vincula o login ao dispositivo e ao domínio; resiste a retransmissões de phishing | Perda do aparelho e recuperação da conta exigem projeto cuidadoso |
| Limitação da frequência das notificações | Bloqueia ou atrasa enxurradas depois de recusas; adiciona avisos | Os atacantes migram para ligações sociais e contas novas |
| Fortalecimento do aplicativo móvel | Impede sobreposição de tela, detecta desbloqueio avançado indevido e protege o ambiente de execução | Malwares sofisticados continuam evoluindo |
- Use linguagem simples nas notificações: quem está acessando, de qual aparelho, de onde aproximadamente e em que horário.
- Insira um período de espera para o primeiro pagamento a um novo favorecido ou para valores fora do padrão.
- Troque de canal depois de várias recusas: nada de novas notificações; exija reautenticação biométrica ou uma checagem com atendente.
- Compartilhe sinais de kits de phishing e contas laranja entre os participantes do setor para encurtar a vida útil das campanhas.
Um alerta por notificação deve parecer a decisão sobre uma ação específica, e não um teste vago de identidade.
O problema mais profundo: segurança como escolha de projeto
Autenticação não é um ritual. É um ponto de decisão. Quando a tela informa pouco e o layout condiciona uma resposta automática, o comportamento humano se torna previsível. E usuários previsíveis são fáceis de conduzir. Bancos que reestruturam os fluxos pensando em compreensão - e não apenas em conformidade - estão vendo menos perdas ligadas a aprovações e menos chamadas para o suporte.
A mesma lógica vale para sistemas internos de empresas. Se uma aplicação financeira, de benefícios ou de compras corporativas faz a pessoa confirmar algo sem mostrar contexto suficiente, o risco se repete. Processos seguros precisam ser legíveis. Quando o usuário entende o que está autorizando, o erro cai. Quando tudo parece genérico, a pressa vence.
O que você pode fazer agora
Pare quando surgir um alerta do nada. Se alguém ligar dizendo para aprovar “para impedir uma fraude”, desligue e fale com o banco usando um número conhecido. Ative a confirmação do favorecido e os alertas de pagamento. Não reutilize senhas. Use chaves de acesso quando houver essa opção. Mantenha o aparelho atualizado e apague apps que você não reconhece.
Se você trabalha em produto financeiro, teste a redação. Troque “Confirmar autenticação” por algo humano: “Alguém está tentando entrar em um celular Samsung em Belo Horizonte às 14h03. Se não for você, toque em Negar.” Mostre o nome do favorecido, parte da agência e da conta, e o valor exato em cada aprovação. Adicione fricção só quando o risco aumentar. No restante, mantenha o processo rápido.
Um passo a passo rápido: correspondência numérica na prática
Você entra no site pelo computador. A tela mostra um número de dois dígitos, por exemplo, 47. O telefone recebe uma notificação com três opções: 12, 47 e 83. Você abre o aplicativo e escolhe 47. O app assina o desafio com uma chave do dispositivo e envia isso ao banco. Um criminoso disparando notificações em massa não consegue adivinhar o número correto sem ver sua tela. Se um site falso tentar retransmitir o fluxo, a pressão do tempo ainda faz a vítima cair com menos frequência, e a pontuação de risco pode identificar a divergência entre dispositivo e localização.
Riscos e trocas que vale manter em mente
Os pagamentos instantâneos encurtam a janela de recuperação. O período de espera e a correspondência do nome reduzem a velocidade, mas barram muitos golpes. As aprovações por notificação parecem simples, porém essa facilidade esconde o custo dos erros. As chaves de acesso aumentam a resistência a phishing, mas exigem recuperação de conta e migração de dispositivo bem planejadas. Nenhum controle resolve tudo sozinho. Os melhores resultados surgem quando vínculo ao dispositivo, contexto rico e travas inteligentes trabalham junto com boa educação do usuário.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário