Passar dados do cartão por telefone a supostos funcionários do banco. Clicar em links que chegam por mensagem ou e-mail mesmo sem saber quem enviou. Entregar o cartão ao motoboy que foi recolhê-lo na sua casa para protegê-lo de uma suspeita de fraude. As iscas de certos golpes financeiros são mais do que conhecidas, mas mesmo assim seguem fazendo vítimas.
Golpes como esses são conhecidos pelo nome de “engenharia social”, que nada mais é que a tática de manipular, influenciar ou enganar alguém para obter dados pessoais, bancários ou o controle de sistemas que possibilitem um crime subsequente. Ou seja, uma fraude financeira, infelizmente, “facilitada” pela vítima, que é convencida a compartilhar seus dados.
“A partir do momento que os criminosos obtêm informações confidenciais das vítimas, podem transferir fundos, fazer pagamentos e realizar outras transações não autorizadas, causando danos financeiros a indivíduos e instituições”, afirma Fidel Beraldi, diretor de Customer Compliance & Fraud da Mastercard Brasil e coordenador do Fórum de Segurança e Prevenção a Fraudes da Abecs, associação que representa o setor de meios eletrônicos de pagamento.
A manipulação psicológica e o poder de persuasão do criminoso são ingredientes fundamentais em golpes de engenharia social, tanto quanto a ingenuidade ou excesso de confiança do portador do cartão, que fornece a um desconhecido informações confidenciais como o número e até a senha de seu cartão. Promoções atrativas e falsas premiações são muitas vezes utilizadas na tentativa de convencimento.
A engenhosidade dos fraudadores faz com que transações extremamente seguras como as realizadas com cartões acabem se tornando vulneráveis. “Embora a tecnologia de pagamentos brasileira seja uma das mais sofisticadas do mundo, as estratégias de engenharia social continuam sendo uma adversidade à segurança”, comenta o head de Cibersegurança do C6 Bank, José Luiz Santana. De acordo com a Febraban, mais de 70% dos golpes bancários hoje são decorrentes de engenharia social.
Sem falha tecnológica
O ecossistema de cartões se apoia em uma série de protocolos que garantem a proteção de todas as transações, presenciais e remotas. Autenticar que é o portador do cartão quem está no comando da transação é um dos pilares desse arsenal de segurança.
Nas compras presenciais, a criptografia no processamento do chip garante a validação dos dados do cartão e de credenciais de segurança, como a senha. Se o pagamento for por aproximação, outras tecnologias além da criptografia entram em ação para garantir segurança e melhor experiência de compra. De qualquer forma, pode parecer desnecessário dizer, mas não é: a senha do cartão jamais deve ser compartilhada.
Já nas compras remotas, o processamento de pagamentos conta com soluções como a tokenização, que substitui os dados do cartão por credenciais de uso único ou exclusivo para um tipo de transação, e a tecnologia 3DS, protocolo de segurança que analisa em tempo real mais de cem dados sobre o portador, o comércio e a transação, tornando mais assertiva a autorização (ou não) da compra.
As estratégias de engenharia social procuram ferir justamente essa barreira de proteção criada pela autenticação, sem nenhum ataque cibernético. Em vez disso, ludibriam a vítima para que ela própria forneça seus dados pessoais, do cartão e de autenticação – e, assim, transações ilícitas ocorrem sem que haja falha tecnológica. “Os golpes acontecem quando os criminosos realizam compras com dados que apenas o portador do cartão deveria ter acesso”, afirma Santana, do C6 Bank.
“Adicional às comunicações realizadas pelas instituições financeiras de como não cair em golpes, o Fórum de Segurança e Prevenção a Fraudes da Abecs tem discutido o tema, debatido boas práticas de prevenção e detecção de fraudes que envolvam engenharia social, além de apoiar a Associação na produção de vídeos educativos para evitar golpes em transações com cartão de crédito”, conta Beraldi, coordenador do Fórum.
Confira os principais vídeos produzidos pela Abecs para alertar consumidores sobre as tentativas mais comuns de golpes.
Como evitar cair em golpes
Apesar de representarem uma ameaça importante para a segurança das transações, os golpes de engenharia social podem ser evitados, basicamente, com atenção e desconfiança por parte do portador.
Em um pagamento presencial com cartão, antes de digitar a senha ou aproximar o cartão, o portador deve:
- verificar o valor da compra;
- conferir se a tela da maquininha está em bom estado de conservação e as informações estão perfeitamente legíveis;
- se o equipamento realmente está pedindo a senha (caso esteja em outro passo da transação, os números digitados ficarão visíveis e poderão ser lidos por quem estiver por perto).
Se desconfiar de qualquer alteração, simplesmente interrompa a transação, no estágio em que ela estiver.
Além disso, o portador não deve jamais:
- passar informações sensíveis a ninguém, em especial se receber um telefonema de “um funcionário do banco” (instituições financeiras jamais entram em contato com o portador dessa forma);
- perder de vista seu cartão (entregando-o a um atendente, que pode se afastar e trocá-lo, fotografá-lo ou anotar os dados).
Nas transações remotas, outras medidas de segurança são:
- checar se o e-commerce é confiável antes de digitar os dados do cartão;
- desconfiar de ofertas apelativas;
- optar pela autenticação em duas etapas, em que o banco emissor, por exemplo, envia um código para o smartphone do portador, que deve digitá-lo para finalizar a transação;
- criar um cartão virtual a cada nova transação (os dados de um cartão virtual são efêmeros: só valem pelo tempo pré-determinado pelo emissor e/ou em estabelecimentos específicos).
Letramento digital
O executivo do C6 Bank conta que não só o time de segurança, mas a instituição como um todo, investe tempo, energia e dinheiro em educação para tentar impedir que os clientes cedam, por conta própria, dados sensíveis a criminosos.
Segundo ele, golpistas que usam engenharia social identificam quando as pessoas estão mais propensas a falta de atenção ou reações emocionais, tanto nos pagamentos com cartão presente como nos virtuais. Por isso, adverte que uma inclusão digital só será plena quando a sociedade for letrada digitalmente, com pelo menos alguma noção de proteção dos próprios dados.
“Investir em letramento digital é tão importante quanto investir em tecnologia, pois o mundo digitalizado apresenta riscos e é preciso ter consciência de como existir com segurança nessa realidade”, José Luiz Santana, head de Cibersegurança do C6 Bank
Chargeback: um diferencial nas transações remotas
“É importante lembrar que a indústria de cartões não penaliza o cliente quando transações fraudulentas acontecem”, finaliza Santana. O chargeback é um dos principais diferenciais das compras com cartão em relação aos demais meios de pagamento, pois garante que, em caso de contestação de pedidos com problemas ou fraudulentos, o portador do cartão receba de volta o valor.
Por Panorama