De todos os métodos utilizados pelos cibercriminosos para obter dinheiro fácil, queremos explicar hoje a clonagem física de cartões de crédito e de débito (também conhecida como ciberataque por SKIMMING) e o uso fraudulento dos mesmos (chamado CARDING). Assim, os cibercriminosos nem sempre utilizam a Internet para se apoderarem dos nossos dados pessoais e, em especial, das informações do nosso cartão (número do cartão, datas de validade, números de segurança e PIN do utilizador).
Quais são as técnicas mais comuns que podemos sofrer fisicamente?
- ATMs falsos: O cibercriminoso manipula uma caixa multibanco numa agência bancária ou num ponto de venda de venda automática. Para além de instalar uma câmara oculta para obter o número PIN ou informação de conta bancária, substitui elementos da caixa multibanco para que, quando o cartão é inserido, a banda magnética ou chip possa ser copiado. O cibercriminoso só precisará de recolher estes dados e copiá-los para um novo cartão em branco, e terá uma cópia clonada que poderá utilizar como original.
- Dispositivos de pagamento fraudulentos: Tem cuidado com o pagamento por POS fora dos estabelecimentos oficiais ou em locais pouco habituais (ruas, mercados, etc.). Os cibercriminosos podem obter um destes dispositivos e utilizá-los no que parece ser uma venda ou pagamento normal. A fim de clonar o cartão, será necessário inseri-lo no POS, uma vez que através do sem contacto o cibercriminoso não conseguirá obter o número PIN.
- Dispositivos electrónicos de clonagem: O Proxmark ou o Flipper são dispositivos electrónicos muito utilizados pelos cibercriminosos e pelos autores de fraudes, uma vez que, bastando aproximá-los do nosso cartão de crédito ou do nosso telemóvel (se tivermos os cartões no mesmo), permitem clonar todos os dados numa questão de segundos (ao contrário dos POS). O mais frequente é o agressor abordar-nos fisicamente, seja nos transportes públicos, numa loja ou mesmo enquanto esperamos pela nossa vez num supermercado.
Voltaremos a falar destes dois dispositivos (Proxmark e Flipper) em futuras TIPS relacionadas com outras utilizações fraudulentas, como o acesso não autorizado a edifícios, a desativação de sistemas de alarme ou o roubo de veículos.
Como é que o podemos detetar e prevenir?
- Tapa o teclado quando introduzires o PINquer seja para pagar numa loja ou levantar dinheiro de uma caixa multibanco, e alerta-nos para qualquer ação que consideremos suspeita.
- Fora dos estabelecimentos oficiais, sobretudo se estivermos em viagem, é por vezes mais seguro pagar em dinheiro ou via sem contacto do telemóvel, que nos obriga a validar a compra com o PIN de desbloqueio do ecrã ou com a nossa impressão digital/facial. Desta forma, faltar-lhes-á a informação necessária para clonar o cartão a 100%. Além disso, se tivermos ativado a autenticação de dois factores ou a verificação pessoal com o nosso banco, o banco notificará instantaneamente o nosso telemóvel de qualquer pagamento ou débito efectuado. Assim, podemos reconhecer aqueles que não efectuámos.
- Quando estamos em locais onde há muita gente (eventos, feiras, congressos, visitas turísticas, lojas, transportes, etc.) devemos estar sempre atentos aos nossos pertences. Especialmente se costumamos levar as nossas carteiras e bolsas no bolso de trás das calças ou no bolso exterior de uma mala de mão ou mochila. Apesar da camada têxtil, o Proxmark seria capaz de clonar perfeitamente o cartão devido à caraterística sem contacto do cartão.
NOTA IMPORTANTE: Se suspeitarmos que estamos a ser vítimas de um ataque informático, recomendamos, como sempre no domínio profissional, solicita apoio ao serviço informático, ao responsável pela segurança ou ao seu superior direto. E, a nível pessoal, denuncia o facto às autoridades policiais.
*Data de envio: 10 de março de 2025