2014/11/04

Cartões de crédito contactless permitem cobranças de 1 milhão com um simples encontrão?


Os cartões de débito e crédito contactless estão a chegar aos consumidores com a promessa de utilização mais simples (basta um simples toque na máquina para fazer pagamentos); mas investigadores dizem que têm vulnerabilidades que permitem fazer voar até 1 milhão com um simples encontrão na rua.


O anúncio é um bocado estranho, uma vez que estes cartões têm um limite relativamente reduzido para pagamentos feitos sem contacto; mas esta equipa de investigadores diz que isso é facilmente ultrapassado fazendo-se uma transacção em moeda estrangeira, de até 999.999,99 dólares/libras/euros, etc.

Mais assustador e preocupante, é que será relativamente simples configurar um smartphone como terminal de pagamento, com transacções pré-programadas deste valor, e que serão activadas assim que se aproximarem de qualquer cartão, mesmo estando na carteira da "vítima". Um simples encontrão num local movimentado é tudo o que basta para fazer a limpeza da conta bancária.

Pelo seu lado, a VISA já veio desdramatizar a situação, dizendo que existem inúmeras salvaguardas no sistema para evitar este tipo de utilizações fraudulentas, e que na prática este tipo de ataque apenas pode ser feito "em laboratório" sob condições controladas - mas de qualquer forma fica a dúvida sobre se essas salvaguardas conseguirão realmente detectar e evitar este tipo de abusos... não quando alguém tenta estupidamente roubar 1 milhão de euros de um cartão, mas quando começarem a cobrar valores aparentemente insignificantes, como 3 ou 4 euros de cada vez.

Por via das dúvidas, é melhor andarem atentos aos extractos, só para garantirem que os nossos poucos euros não se andam a evaporar ainda mais rapidamente... e sem contacto.

9 comentários:

  1. É por estas e por outras que eu nunca deixo mais de 500 mil euros na minha conta à ordem! ;)

    ResponderEliminar
  2. eu por acaso, quando pedi o novo cartao pedi expressamente sem essa tecnologia

    ResponderEliminar
  3. Nesse aspecto os pagamentos via telemóvel, em particular o Apple Pay, são mais seguros.

    ResponderEliminar
  4. Queria deixar aqui um testemunho da minha experiencia com estes sistemas nos EUA (com o Apple Pay e com Visas).

    O Apple Pay, tive oportunidade de experimentar 2 vezes ate agora:
    - uma no mcdonalds
    - e outra numa bomba de gasolina

    Funcionou bem, a unica cena e que das 2 vezes fiz figura de urso a carregar no simbolo da impressao digital no ecran em vez de por o meu dedo no sensor HEHEH...(ou seja, para mim pelo menos, nao e super intuitivo)...

    Ja em relacao ao visa, posso-te dizer que os gajos analisam os teus padroes de compra e, se acontecer algo inesperado, os gajos geralmente sao bons a detectar a coisa...

    E claro que, com transferencias altamente baixas (e se o destino do pagamento "supostamente" mudar a cada transaccao), parece-me ser "impossivel" detectar problemas proactivamente porque nao ha padrao.

    ResponderEliminar
  5. Carlos, para evitar paranóias convém referir que isto foi possível testar *apenas* nos States. Na Europa já se usa há muito os EMV que conjugam PIN com contactless etc. Mesmo que consigam activar o contactless precisam sempre do PIN para concluir a transação.

    ResponderEliminar
    Respostas
    1. Errr... então para os pagamentos até 20 euros a ideia não é precisamente evitar o PIN?

      Eliminar
    2. Estava a citar o que é referenciado no artigo, e que confere com o que temos por cá.
      De facto, a ideia base do NFC/Contactless é mesma essa: permitir pagamentos de baixo valor se forma mais célere e sem necessidade de PINs. Confesso que não estou a par se já está implementado e/ou suportado em alguns comerciantes - eu ainda não me deparei com nenhum....

      [teorias_conspiração_mode_on]
      E já agora, uma vez que levanta tantas questões: este artigo, a ser publicado precisamente nesta altura, não estará de aguma forma relacionado com a recente "guerra" Apple/Google vs. apoiantes do CurrentC?

      Eliminar
    3. Confirmado: já existem terminais em PT a fazer transações via contactless/NFC sem recurso a PIN (EMV), max 20 Eur por default.

      (Brincando um pouco com a coisa)
      Se oferecer o meu smartphone anterior a um sem-abrigo com um ‘rogue POS terminal' já configurado para transações de 1 Eur, este já nem precisa pedir: basta encostar-se a alguém no metro! :P

      Eliminar
  6. Este comentário foi removido pelo autor.

    ResponderEliminar