janeiro 29, 2020

[Segurança] Crowdhacking e o risco de fraude em cartões sem contato

Recentemente estão se popularizando os cartões de débito e crédito que funcionam sem contato (ou “contactless”, em inglês). Ou seja, com o uso da tecnologia NFC, o cartão se comunica com a máquina de pagamento (PoS) e, assim, o cliente não precisa usar o chip nem a tarja magnética. Esse cartão tem sido amplamente adotado na indústria financeira pois considera-se que seu uso é mais fácil para os clientes.


Para aumentar a facilidade de uso, as operadoras e bancos adotaram, como padrão, que transações de pequeno valor não precisariam de senha. Aqui no Brasil, por exemplo, ao fazer uma compra de até R$ 50 você pode pagar simplesmente encostando o cartão na maquininha, sem precisar digitar a senha. Simples, fácil e rápido.

Esse valor mínimo varia de país para país. No Brasil, é de R$ 50. Nos EUA, 100 dólares. Na Europa, pode variar de 10 a 40 euros. Esse é um padrão adotado por todos os bancos e operadoras de cartão, e valores acima desse mínimo continuam exigindo a senha.



O que poderia dar errado? Muita gente se preocupa com a possibilidade de fraude, já que o cartão não pede a senha para transações de baixo valor.

Se alguém roubar o seu cartão, essa pessoa poderia fazer diversas compras pequenas em lojas que usam o terminal contactless. Mas, sinceramente, qualquer fraudador que pegasse o seu cartão vai preferir torrar ele rapidamente online, em vez de ficar fazendo várias compras pequenas e correndo o risco do cartão ser bloqueado a qualquer momento.

Já que o cartão é wireless, será que um hacker não poderia ler os dados a distância? Isso já foi especulado, e esse golpe já tem um nome: "Crowdhacking". Mas, segundo a especificação do cartão sem contato, a distância entre o cartão e o terminal é de poucos centímetros: cerca de 2 a 4 centímetros. Ainda assim, há dois padrões de uso dos cartões sem contato: "mag-stripe" e EMV. Na primeira, ao realizar uma transação o cartão, de fato, são repassados todos os dados do número do cartão via wireless, da mesma forma que acontece ao usar a tarja magnética. Nos cartões do tipo EMV, que são mais seguros e mais utilizados no mundo todo, o cartão transmite para a maquininha somente o dado de autenticação da transação, e assim não há risco e vazamento de dados.

Outra possibilidade é ilustrada no vídeo abaixo, criado e divulgado em julho de 2018. Alguém poderia chegar atrás de você com uma maquininha e, por proximidade, realizar uma transação sem que você perceba.


Esse vídeo mostra que é possível realizar uma transação sem que o cliente veja, usando a comunicação por proximidade (o NFC) entre o cartão e a maquininha. Aqui no Brasil, para valores até R$ 50 não é pedido senha e a transação é aprovada. Isso poderia acontecer facilmente no metrô de São Paulo, ainda mais se você estiver na estação Sé as 18h.

Graças ao uso do padrão EMV, os dados do cartão, em si, não são roubados ;) E as operadoras de cartão e bancos seguem um rígido padrão de segurança definido pela VISA e Mastercard, com vários controles para evitar que a fraude ocorra.
  • Para compras de baixo valor, sem uso de senha, as operadoras de cartão de crédito e os bancos adoram medidas complementares de monitoramento e prevenção para evitar fraudes;
  • O cartão só é reconhecido se estiver muito próximo da máquina. Essa proximidade garante que o cartão esteja sempre perto do cliente e, assim, não possa ser utilizado sem o seu conhecimento;
  • Entre os atributos de segurança dos cartões sem contato, toda comunicação wireless entre o cartão e a maquininha de pagamento é criptografada, garantindo que não possa ser interceptada;
  • Por conta do padrão EMV, os cartões não transmitem para o terminal todos os dados do cartão nem do cliente, e assim esses dados não podem ser reutilizados em outra compra. Como medida adicional, o cartão envia uma identificação da transação que não pode ser reutilizado posteriormente em outra transação.
Alguns cuidados extras podem ajudar a manter seus dados a salvo:
  • Fique sempre de olho no seu cartão e no seu extrato. Ative a notificação de transações por SMS. Comunique ao banco imediatamente se identificar alguma transação estranha;
  • Em caso de maior paranóia, você pode deixar o seu cartão bloqueado quando não estiver usando. Muitos bancos permitem que você bloqueie ou desbloqueie seu cartão quando não estiver em uso;
  • Você pode impedir que seu cartão seja lido remotamente utilizando uma carteira com proteção “anti-RFID”. Essas carteiras estão se tornando populares e podem ser achadas facilmente em lojas.

Além disso, você pode colocar a carteira no bolso da frente da calça ;)

A vantagem de utilizar o cartão contactless sem senha é melhorar a usabilidade para o cliente, mas isso traz o risco de segurança apontado aqui. O desafio de todos nós é justamente balancear o risco com a conveniência.

Para saber mais:
Postado por em
Marcadores: , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.