Carteiras digitais foram vendidas como a forma mais segura e inteligente de pagar - mas uma nova onda de golpes está invertendo essa promessa para milhares de pessoas.
Como golpistas roubam o seu cartão sem nunca encostar nele
O golpe mais recente que atinge clientes de bancos no Reino Unido não começa com um aplicativo invadido nem com um celular furtado. Ele costuma nascer semanas antes, a partir de uma mensagem que parece inofensiva de tão banal: um falso reembolso do governo, um “problema” de entrega, uma promoção de varejo que soa quase crível. Nessa etapa, a vítima entrega informações suficientes para que criminosos montem, discretamente, um perfil: nome, parte dos dados do cartão e, às vezes, credenciais de internet banking capturadas em uma página de phishing.
Depois, vem o silêncio. Os criminosos aguardam, de propósito. Com o passar do tempo, a pessoa esquece aquele clique estranho. Essa pausa é planejada: quando a ligação finalmente acontece, ela parece um problema novo e urgente - não o último passo de um ataque construído com antecedência.
Em geral, o identificador de chamadas imita um número real do banco. A voz do outro lado começa tranquila e vai ganhando urgência. O suposto “especialista” já sabe os quatro últimos dígitos do cartão, o endereço e, em alguns casos, até compras recentes. Esse nível de detalhe reduz a desconfiança e dá sustentação ao enredo: existe um pagamento suspeito; o banco quer barrar; é preciso agir imediatamente.
"Fraudsters do not ask you to send them money. They ask you to “protect” it - by approving a real security notification from your own bank."
A virada das carteiras digitais: quando a segurança vira arma (Apple Pay e Google Pay)
O núcleo desse esquema está no Apple Pay, no Google Pay e em outras carteiras digitais. Essas plataformas dependem de autenticação forte: quando um novo dispositivo tenta cadastrar seu cartão, o banco envia um código de uso único, um alerta por notificação ou uma solicitação de aprovação no app. O objetivo é impedir criminosos. O golpe faz exatamente o contrário: usa o mecanismo de proteção como ferramenta.
Durante a ligação falsa de “segurança”, o golpista diz que está bloqueando transações indevidas. Ele afirma que precisa “proteger sua conta no nosso novo sistema” ou “mover você para um ambiente mais seguro”. Nesse momento, ele dispara um pedido real de cadastro do seu cartão em uma carteira digital controlada por ele.
O celular da vítima, então, exibe uma notificação legítima do banco de verdade. O texto costuma ser técnico e pouco chamativo: aprovar a solicitação para adicionar o cartão a uma carteira. Antecipando o alerta, o criminoso prepara o terreno dizendo que aparecerá um “código de segurança” ou uma “mensagem de confirmação” e que é preciso aprovar rapidamente para “cancelar” o ataque.
"When the victim taps “approve” or reads out the code, they are not stopping fraud; they are handing their card to the criminal’s phone."
A partir desse instante, o golpista consegue pagar em lojas e na internet usando uma versão tokenizada do cartão, frequentemente sem precisar do cartão físico nem de senha. O aparelho da vítima continua seguro e intacto - o prejuízo acontece em outro lugar.
Para onde o dinheiro roubado vai em poucos minutos
Equipes antifraude de grandes bancos do Reino Unido descrevem um padrão bem definido assim que a carteira é ativada. Para criminosos, tempo é dinheiro; por isso, eles aceleram uma sequência de compras caras antes que sistemas ou vítimas reajam.
- Smartphones e tablets premium em grandes redes de eletrônicos
- Roupas, bolsas e tênis de luxo em varejistas conhecidos
- Dispositivos com alta revenda, que mantêm boa parte do valor
Esses produtos são rapidamente escoados em plataformas de revenda, mercados informais ou por intermediários especializados em “lavar” mercadorias roubadas. A meta não é ostentação: é velocidade e pouca perda na revenda, para converter o máximo possível do dinheiro do banco em dinheiro vivo.
Como muitas dessas operações se parecem com pagamentos comuns por aproximação em loja, os sistemas de detecção nem sempre sinalizam na hora. Além disso, limites para transações em carteira podem ser diferentes dos de transferências online; então, os criminosos testam até onde dá para ir antes de o alarme disparar.
Por que esse golpe está se espalhando agora
Os bancos afirmam que vêm ganhando mais disputas contra fraudes “tradicionais” de cartão e contra tomada de contas. Autenticação mais forte, pontuação de risco mais inteligente e inteligência artificial dificultam ataques de força bruta e tentativas de adivinhar senhas. Essa pressão empurra grupos organizados para um dos poucos pontos que a tecnologia não consegue controlar por completo: comportamento humano sob estresse.
O Santander já coloca a fraude em carteiras digitais como a segunda maior causa de perdas com golpes de cartão neste ano. O HSBC relata uma alta acentuada nos últimos 18 meses. A entidade setorial UK Finance associa o aumento diretamente ao endurecimento da segurança em outras frentes, o que reduz a taxa de sucesso dos criminosos e incentiva abordagens mais agressivas, em maior escala, via engenharia social.
A psicologia da ligação “urgente”
As vítimas costumam descrever sensações parecidas: choque, vergonha e medo de perder economias. O criminoso explora essa tensão com habilidade. Fala rápido, empilha avisos sobre “ataques em andamento” e insiste que qualquer demora pode significar perder tudo.
"In that emotional fog, approving a bank notification feels like the safe, adult choice - not the trap it really is."
Os golpistas também ensaiam as mensagens oficiais que aparecem abaixo de notificações e códigos por SMS. Eles dizem que aqueles textos são avisos genéricos “padrão”, para que a pessoa passe o olho e siga apenas as instruções da ligação. Esse truque reduz justamente o atrito que os bancos colocaram para evitar decisões apressadas.
Como bancos e empresas de tecnologia estão reagindo
Os bancos começaram a redesenhar processos pensando exatamente nesse cenário. O HSBC diz que já implementou proteções específicas para carteiras digitais e planeja novas mudanças até 2025. Isso pode incluir critérios mais rigorosos quando um cartão é cadastrado em um novo aparelho, perguntas adicionais em casos de localização suspeita ou períodos temporários de “resfriamento” antes de liberar o uso.
Construir essas barreiras exige equilíbrio. Se ficar rígido demais, clientes legítimos enfrentam atrito constante ao trocar de celular ou relógio. Se ficar leve demais, o golpista atravessa de novo. Instituições como a Nationwide passaram a dizer de forma direta que códigos de uso único nunca devem ser compartilhados durante uma ligação ao vivo, por mais autêntica que pareça.
A Apple afirma que quem decide quais cartões entram na carteira é o banco, não a Apple. A empresa fornece dados do dispositivo e sinais de segurança, mas a decisão e a análise de risco ficam com o emissor. O Google divulga menos detalhes publicamente, porém o princípio é equivalente: o banco precisa confirmar cada cadastro de cartão.
| Etapa do ataque | Quem controla | Defesa possível |
|---|---|---|
| Mensagem de phishing | Criminoso | Filtros contra mensagens indesejadas, cautela do usuário |
| Ligação falsa do banco | Criminoso | Desligar e ligar de volta para o número oficial |
| Solicitação de cadastro na carteira | Sistema do banco | Checagens de risco mais fortes, texto mais claro |
| Aprovação do usuário | Cliente | Recusar solicitações feitas durante ligações não solicitadas |
Maneiras práticas de se proteger contra fraude em carteiras digitais
A proteção principal contraria a narrativa inteira do golpe: bancos reais não precisam da sua “ajuda” em tempo real para bloquear pagamentos suspeitos. Eles conseguem congelar cartões, estornar cobranças e desativar dispositivos automaticamente.
Especialistas em segurança passaram a repetir um checklist curto para clientes - principalmente para quem usa Apple Pay ou Google Pay todos os dias:
- Nunca aprove uma notificação de carteira ou de “adicionar cartão” enquanto fala com alguém que ligou para você do nada.
- Se alguém disser que é do seu banco, desligue e refaça a ligação usando o número no seu cartão ou no app do banco.
- Ative alertas instantâneos para toda transação do cartão no aplicativo do banco.
- Trate qualquer pedido de código de uso único como suspeito, sobretudo quando vier como “ajuda ao banco” ou “para parar uma fraude em andamento”.
Esses hábitos quebram o ritmo do atacante. Muitos golpes dependem de velocidade e pressão; um simples “eu mesmo vou ligar de volta para o banco” desmonta o roteiro e frequentemente encerra a tentativa.
O que isso indica para o futuro dos pagamentos móveis
As carteiras digitais não vão sumir: elas reduzem furto de cartão físico, diminuem clonagem em terminais e adicionam segurança forte no nível do dispositivo. Porém, a migração para pagamentos tokenizados concentra o risco em menos pontos: a etapa de cadastro, o aparelho e o momento da aprovação pelo usuário.
Bancos e provedores de carteira já estão testando análises comportamentais que percebem quando um cartão é cadastrado a partir de uma cidade incomum, em um horário estranho, ou quando uma sequência de compras de alto valor acontece logo em seguida. Esses sinais podem introduzir atrito: verificação extra, retenção temporária ou uma ligação feita de um número conhecido e confiável.
Para usuários, o desafio mais difícil é desenvolver novos instintos. Por décadas, as pessoas se preocuparam com alguém espiando a senha e com clonadores de cartão. Agora, a ameaça muitas vezes chega com voz de “suporte ao cliente”, dicção perfeita e metade do seu histórico pessoal na ponta da língua. Entender essa mudança e desconfiar de qualquer “ajuda urgente” por telefone pode pesar mais do que qualquer novo recurso de aplicativo ou camada adicional de segurança.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário