As carteiras virtuais e as apps de pagamentos tornaram-se o motor das finanças quotidianas para milhões de utilizadores. Inegavelmente, esta digitalização massiva mudou os nossos hábitos de consumo, mas também criou um terreno fértil para o crime organizado, que aperfeiçoa constantemente as suas técnicas de fraude. Longe vão os tempos dos esquemas telefónicos básicos; agora, a grande ameaça é o e-skimming, uma modalidade criminosa que atua diretamente sobre o browser web do utilizador, pondo em xeque a segurança das contas digitais.
O que é o e-skimming e por que razão é indetetável?
Em primeiro lugar, importa perceber que o e-skimming (também conhecido como Magecart) consiste na injeção de código malicioso no site de um comércio legítimo. O objetivo é simples: copiar e extrair os dados confidenciais que os clientes inserem nos formulários de pagamento ou ecrãs de login.
A gravidade deste fraude reside na sua total invisibilidade para o consumidor:
Ataque em tempo real: O roubo acontece no teu navegador, muito antes de os dados chegarem ao servidor da loja. Isto anula a eficácia de sistemas de segurança tradicionais como as firewalls das empresas.
Processo normal: Para o utilizador, a compra decorre sem erros. No entanto, em segundo plano, um código baseado em JavaScript regista cada pressão de tecla e envia a informação para servidores controlados por criminosos.
Ofuscação de código: Os scripts mais modernos simulam o comportamento real do sistema, chegando a formatar automaticamente o número do cartão para não levantar suspeitas.
O perigo para as carteiras virtuais e cartões pré-pagos
Muitos utilizadores acreditam que, por não usarem cartões de crédito físicos, estão imunes. Infelizmente, isso é um erro. A maioria das carteiras virtuais fornece cartões pré-pagos digitais para compras online. Se inserires os dados desses cartões num site infetado, o número e o código CVV são comprometidos da mesma forma.
Além disso, os criminosos utilizam estes scripts para extrair nomes de utilizador e palavras-passe de serviços financeiros. Com este acesso, conseguem esvaziar saldos, liquidar investimentos ou até solicitar empréstimos de aprovação imediata em nome da vítima, transferindo os fundos para contas de difícil rastreio.
Como descobrir se caíste na armadilha?
Dada a natureza silenciosa desta ameaça, é necessário estar atento a sinais de alerta que podem indicar que os teus dados foram filtrados.
O sinal mais óbvio são pequenos consumos em lojas estranhas no extrato do teu cartão virtual. Muitas vezes, estes movimentos começam meses após o roubo dos dados.
Entretanto se receberes mensagens com códigos de validação que não pediste, é sinal de que alguém está a tentar usar as tuas credenciais.
Não ignores também falhas estranhas de sessão ou redirecionamentos anómalos ao clicar no botão de confirmação de compra podem ser indícios de manipulação por um script malicioso.
Estratégias de prevenção para blindar o teu dinheiro
A cibersegurança deve ser um pilar na gestão das tuas finanças diárias. Para te protegeres contra a injeção de código e outras ameaças invisíveis, deves adotar uma postura preventiva rigorosa.
A tática mais segura passa pela geração de cartões digitais temporários ou de utilização única, garantindo que os dados perdem a validade quase de imediato. Deves também ativar notificações instantâneas para todos os movimentos na tua app financeira e proteger o teu e-mail principal com autenticação de dois fatores (2FA) baseada em aplicações ou chaves físicas. Por fim, instala sempre as tuas aplicações bancárias a partir de lojas oficiais para evitar software malicioso oculto.
