boutiqueciss.com.br

Golpe invisível de cartão: sua conta pode ser esvaziada em minutos

Pessoa inserindo cartão em caixa eletrônico enquanto segura smartphone na outra mão.

Sem aviso prévio, um truque quase invisível pode sequestrar o seu cartão bancário - seja no caixa eletrônico ou nas compras online.

Criminosos já não precisam, há muito tempo, roubar fisicamente o seu cartão para chegar ao seu dinheiro. Dispositivos minúsculos embutidos no leitor, códigos invisíveis em páginas de pagamento, ataques sofisticados a lojas virtuais: a fraude conhecida como Skimming evoluiu rapidamente nos últimos anos - e hoje atinge clientes comuns no dia a dia.

Como o Skimming drena seu cartão antes que o banco perceba

Skimming é o nome dado a qualquer técnica em que os golpistas capturam os dados do seu cartão bancário sem que você note. Isso pode acontecer diretamente no caixa eletrônico, na bomba de combustível ou na página de pagamento de uma loja online.

O objetivo é sempre o mesmo: interceptar os dados do cartão no instante em que você os digita - antes que o banco autorize a transação.

No passado, os criminosos apostavam quase só em caixas eletrônicos adulterados. Hoje, a atenção se deslocou para a internet, porque ali é possível obter mais dinheiro com menos risco. Ainda assim, os dois ambientes continuam perigosos.

Caixas eletrônicos adulterados: do encaixe plástico ao chip ultrafino

No Skimming tradicional de caixas eletrônicos, a lógica básica mudou pouco ao longo dos anos: um leitor extra é fixado sobre a entrada do cartão, junto de uma câmera escondida ou de um teclado falso para capturar a senha.

Como o ataque acontece no caixa eletrônico

Em caixas eletrônicos e terminais de postos, os golpistas combinam tecnologia com engano:

  • Um leitor é instalado sobre a fenda original do cartão e copia os dados da tarja magnética.
  • Uma microcâmera grava a digitação da senha a partir do ângulo perfeito.
  • Ou um teclado artificial é colocado sobre o verdadeiro e registra cada tecla pressionada.
  • Alguns aparelhos transmitem os dados por Bluetooth, dispensando até a volta do criminoso ao local.

Com essas informações, em países onde a tarja magnética ainda é usada normalmente, é possível clonar cartões e sacar dinheiro sem dificuldade.

Shimming: a evolução invisível do Skimming

Com a adoção dos cartões com chip, conforme o padrão EMV, a vida dos criminosos ficou bem mais difícil. A tecnologia do chip gera um código único a cada transação, o que torna cópias praticamente inúteis.

A resposta dos golpistas veio com o Shimming. Nessa técnica, usa-se um módulo extremamente fino, inserido diretamente na abertura do cartão. Esse “shimmer” se posiciona eletricamente entre o cartão e o leitor e registra parte da comunicação com o chip.

O shimmer é tão fino quanto um pedaço de papel e, por fora, praticamente não pode ser visto - até olhos experientes deixam passar.

A partir desses dados interceptados, os criminosos montam as chamadas cartões de fallback com tarja magnética. Eles costumam usá-las no exterior, onde os terminais, em caso de falha no chip, mudam automaticamente para a leitura da tarja.

Do caixa para a web: o E-Skimming nas lojas online

Paralelamente aos ataques em caixas eletrônicos, surgiu uma variante ainda mais traiçoeira: o roubo digital de cartões durante compras na internet.

No E-Skimming, invasores inserem código JavaScript malicioso diretamente na página de pagamento de uma loja. Enquanto o cliente digita os dados do cartão, o script envia uma cópia dessas informações para um servidor dos criminosos - em silêncio, sem exibir erro algum.

Grupos Magecart e ataques em massa

Os nomes mais conhecidos nesse campo são reunidos sob o rótulo Magecart. Antes, eles miravam lojas isoladas, muitas delas rodando com Magento ou Adobe Commerce. Hoje, a estratégia é bem mais ampla.

Em vez de invadir uma loja por vez, esses grupos concentram seus esforços em fornecedores cujo código é usado em milhares de sites:

  • ferramentas de análise de visitantes
  • pixels de publicidade ou rastreamento
  • plugins de descontos, avaliações ou chat

Quando um desses serviços é comprometido, o script malicioso passa a aparecer automaticamente em todas as lojas que o utilizam. Em 2024, um ataque contra uma plataforma de comércio eletrônico conhecida fez cerca de 11.000 sites serem infectados de uma só vez. Depois, centenas de milhões de dados de cartão surgiram no dark web.

Scripts escondidos em ícones e mensagens de erro

As técnicas de disfarce estão cada vez mais sofisticadas. Pesquisadores de segurança encontraram scripts maliciosos, entre outros lugares:

  • em ícones discretos do navegador (favicons),
  • como se fossem cópias legítimas de serviços como ferramentas de análise ou pixels,
  • em páginas pouco acessadas, como a página de erro “404 – página não encontrada”.

Essas páginas de erro, em especial, muitas vezes ficam fora do radar do monitoramento de segurança. Os invasores colocam ali o código que entra em ação no momento do pagamento. O cliente enxerga apenas uma breve interrupção, talvez uma mensagem dizendo que a sessão expirou. Nos bastidores, os dados do cartão já estão sendo enviados.

Como proteger seu cartão no caixa eletrônico e na bomba de combustível

Como cliente, você tem várias medidas eficazes para reduzir bastante o risco na hora de pagar.

Regras básicas no caixa eletrônico

  • Sempre que possível, use pagamento por aproximação em vez de inserir o cartão.
  • Ao digitar a senha, cubra sempre o teclado com a mão livre.
  • Prefira caixas eletrônicos dentro de agências bancárias ou em locais bem monitorados.
  • Não use equipamentos que pareçam frouxos, tortos ou com peças aparentando ter sido adicionadas depois.
  • Interrompa a operação se alguém estiver muito perto de você ou tentando distraí-lo.

Abastecer com mais segurança usando cartão

Casos de Skimming se acumulam em bombas de combustível isoladas e com pouca visibilidade. Algumas atitudes simples reduzem o risco:

  • Dê preferência, quando possível, às bombas próximas ao caixa ou à loja.
  • Faça uma rápida verificação com a mão na entrada do cartão e no teclado; se algo balançar, desista.
  • Se houver a opção, use também o pagamento por aproximação.

O pagamento por aproximação não impede todas as fraudes, mas bloqueia muitos ataques de Skimming e Shimming, porque o cartão nem chega a entrar no leitor.

Como proteger suas compras online de forma eficaz

Ao comprar na internet, não há contato físico, mas ainda assim é possível criar várias barreiras que dificultam bastante o E-Skimming.

Um cartão separado só para a internet

Uma medida muito eficiente é ter um cartão exclusivo para compras online, com limite propositalmente baixo. Muitos bancos também oferecem cartões virtuais, nos quais um novo número é gerado para cada compra e depois perde a validade imediatamente.

Com isso, você conquista duas vantagens:

  • Um cartão capturado após o pagamento perde a utilidade na hora.
  • Um limite baixo reduz o prejuízo máximo possível.

Reconhecer sinais de alerta nas compras online

Mesmo sem ser especialista, é possível notar padrões estranhos que indicam maior risco:

  • Pop-ups ou redirecionamentos inesperados exatamente no momento do pagamento.
  • Erros de digitação, frases estranhas ou visual inconsistente na página de pagamento.
  • Avisos do navegador sobre segurança da conexão ou certificado.
  • Loja que aceita apenas cartão e não oferece meios de pagamento consolidados.

Outra camada de proteção são as notificações por push ou SMS. Muitos bancos avisam em tempo real sobre qualquer transação no cartão. Assim, uma tentativa indevida aparece em poucos minutos, e o cartão pode ser bloqueado imediatamente.

O que os lojistas precisam fazer agora - e como isso ajuda o cliente

Para quem opera lojas online, as exigências ficaram muito mais rígidas. A versão atual do padrão de segurança PCI DSS obriga os comerciantes a inventariar todos os scripts usados nas páginas de pagamento e a monitorar ativamente qualquer alteração.

Na prática, isso significa:

  • Cada componente de código na página de pagamento precisa ser documentado.
  • Serviços externos só podem ser integrados depois de uma análise clara de risco.
  • Sistemas de monitoramento disparam alertas se o código mudar sem autorização.

Para o cliente, esse é um avanço discreto, mas perceptível. Quanto mais seriamente os lojistas tratam essas exigências, menor é a janela em que um invasor consegue acessar dados do cartão sem ser notado.

Por que, apesar da tecnologia moderna, o fator humano ainda é a melhor defesa

A tecnologia avança: chips no lugar da tarja magnética, função por aproximação, cartões virtuais, autenticação forte do cliente. Ao mesmo tempo, os criminosos continuam respondendo com novos truques - do shimmer na entrada do cartão ao script na página 404.

No fim das contas, muitas vezes é um olhar rápido ou uma sensação de estranheza que decide se a fraude vai funcionar ou não.

Quem confere o saldo com frequência, reage imediatamente a cobranças suspeitas e age com atenção ao pagar em máquinas desconhecidas ou em lojas pouco familiares reduz muito o risco pessoal. As medidas técnicas dos bancos barram muitos ataques, mas não substituem o olhar atento do titular do cartão.

Uma abordagem inteligente combina tudo isso: pagar por aproximação sempre que possível; usar um cartão virtual ou com limite reduzido para compras online; ativar alertas; e, na dúvida, abrir mão da transação se algo parecer fora do lugar. Assim, um simples cartão de plástico volta a ser o que deveria ser: uma ferramenta prática - e não uma porta aberta para a sua conta bancária.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário