Guardar o cartão de crédito em lojas online ou atirar o recibo do supermercado para o lixo parece inofensivo devido às rigorosas normas de segurança atuais. Efetivamente, o padrão da indústria, conhecido como PCI DSS, foi desenhado para proteger os teus dados bancários caso uma plataforma seja invadida. Por isso, esta regra obriga as empresas a ocultar grande parte dos números do teu cartão nas interfaces e faturas. No entanto, esta falsa sensação de segurança pode custar-te muito caro, pois os hackers desenvolveram um método assustador para descobrir os números em falta e esvaziar a tua conta bancária sem dares por isso. De facto, com isto o teu cartão de crédito guardado não está seguro.
Cartão de crédito guardado: a ilusão da ocultação de dados em plataformas seguras
Antes de mais, a norma determina os mínimos de segurança exigidos para uma empresa lidar com pagamentos eletrónicos. Neste sentido, a regra permite que os primeiros seis e os últimos quatro dígitos do teu cartão fiquem totalmente visíveis, juntamente com o teu nome e a data de validade. Como resultado, num cartão tradicional de dezasseis números, ficam apenas seis dígitos protegidos e escondidos por asteriscos no ecrã. Devido à complexidade de passar por processos de certificação exigentes, a esmagadora maioria das grandes empresas implementa apenas este requisito básico e recusa-se a reforçar a privacidade dos clientes de forma proativa.
O método engenhoso do ataque de força bruta
Além disso, os cibercriminosos aproveitam o facto de a numeração bancária seguir uma fórmula matemática universal muito específica. Por outro lado, com o conhecimento da primeira dezena de números visíveis e somando o algoritmo de validação obrigatório dos cartões, sobram apenas cerca de noventa e nove mil combinações possíveis para descobrir o número completo. Desta forma, o ataque inicia-se testando estas combinações de forma extremamente lenta e distribuída. Isto em dezenas de lojas online diferentes.
Assim enviam poucas tentativas por segundo para não disparar os alarmes dos sistemas antifraude. Paralelamente, a grande falha de segurança reside nos próprios gateways de pagamento. Na prática ajudam ativamente os piratas informáticos ao devolverem mensagens de erro muito descritivas. Deste modo confirma-se se o problema da compra é um número errado, o cartão caducado ou se falta apenas acertar no código de três dígitos no verso.
O roubo silencioso e o perigo do papel impresso
Assim que os criminosos validam a numeração principal e descobrem o código de segurança através deste processo de tentativa e erro, avançam para o roubo efetivo do saldo.
Eles nem sequer precisam do teu telemóvel físico para receber o habitual código de segurança do banco. Portanto, o esquema termina com a utilização fraudulenta do cartão em comerciantes ou carteiras digitais que estão oficialmente isentos de exigir o sistema de autenticação forte. Desde modo permitem compras diretas ou levantamentos em dinheiro vivo sem qualquer bloqueio. Por conseguinte, deves adotar palavras-passe robustas para protegeres as tuas contas de comércio eletrónico. Convém também teres cuidado redobrado com os vulgares recibos em papel que deitas fora. É que expõem informação mais do que suficiente para iniciares um verdadeiro pesadelo financeiro.
