São Paulo, 14 de dezembro de 2020 - A pandemia da COVID-19 causou um aumento na demanda por comércio eletrônico devido às limitações na interação entre as pessoas e, para retardar a propagação da doença, a maior parte das compras foi feita pela Internet. De acordo com uma pesquisa recente do Federal Reserve dos Estados Unidos, os pagamentos em dinheiro representaram apenas 26% de todas as transações, enquanto que os feitos por cartão de crédito e débito, bem como por meio de pagamento eletrônico, foram de 65%. Nesse sentido, a ESET, empresa líder em detecção proativa de ameaças, analisou os riscos de pagamentos por meio de smartphones e carteiras digitais, que também se tornaram alvos de cibercriminosos.

Smartphones, como outros dispositivos eletrônicos, também podem ser infectados com diferentes tipos de malware. Os keyloggers podem registrar e transmitir cada tecla pressionada em um smartphone, permitindo que os cibercriminosos obtenham senhas ou credenciais de acesso à conta usadas para acessar aplicativos de pagamento, por exemplo. 

Como alternativa, o malware pode implantar aplicativos nocivos, se passando por programas legítimos, e atacar aplicativos pagos. Para explicar como isso funciona, os pesquisadores da ESET descobriram um cavalo de Troia se passando por um aplicativo para otimizar o desempenho da bateria, visando usuários do PayPal e tentando transferir 1.000 euros (aproximadamente R$6.200) para as contas do invasor. 

Demonstração: cavalo de Troia Android rouba dinheiro de contas PayPal, mesmo com 2FA habilitado

 

Além de roubo de dispositivo ou infecções por malware, os cibercriminosos também usam meios tradicionais de acessar carteiras: os ciber-golpes. A ideia inicial geralmente é fingir ser um contato confiável e solicitar ajuda durante uma emergência. O criminoso também pode obter acesso à sua lista de contatos e fingir ser alguém que já recebeu dinheiro enviado usando um aplicativo de pagamento móvel. Outra possibilidade é recorrer a outros tipos de fraude, como o uso de aplicativos de namoro para conhecer pessoas e, uma vez que o relacionamento é estabelecido, eles tentam tirar dinheiro de suas vítimas usando todos os tipos de desculpas.

Por outro lado, o golpe do sorteio é uma tática frequentemente usada, em que as vítimas em potencial são informadas de que ganharam um prêmio importante, mas terão que pagar uma taxa de transação para recebê-lo. O suposto prêmio do sorteio nunca é recebido, e o dinheiro da suposta “taxa de transação” provavelmente também não será recuperado. 

Logo depois, estão os ataques de phishing, nos quais os criminosos se apresentam como a empresa responsável pelo aplicativo de pagamento móvel. Os golpistas fazem réplicas de sites legítimos como parte de sua estratégia para tentar enganar as vítimas para que insiram suas credenciais de acesso à conta e, em seguida, roubam dinheiro delas ou vendem suas chaves de login na dark web. Outra ameaça são as mensagens de spam com solicitações de envio de dinheiro que aparecem diretamente nas contas dos usuários. Se uma pessoa tocar acidentalmente em uma dessas notificações, isso pode desencadear uma transferência de dinheiro para os golpistas. 

Como se proteger? 

A primeira coisa a ser feita para proteger o dinheiro dos aplicativos é habilitar todas as medidas de segurança que os smartphones oferecem. Isso inclui o desbloqueio biométrico (varredura de rosto, de retina e de impressão digital) e bloqueio de padrão. Feito isso, fica difícil entrar no telefone ou usar os aplicativos de pagamento, pois estes exigem que o usuário verifique sua identidade cada vez que quiser acessá-los, fazer uma transação ou comprar algo. Por outro lado, os dispositivos Android e iOS são compatíveis com as funções "Find my phone", que permite desativar o telefone remotamente em caso de perda ou roubo, podendo até mesmo apagar dados remotamente. 

A maioria dos apps de pagamento também permite ativar recursos de segurança adicionais, como duplo fator de autenticação. Você também pode ativar notificações sempre que uma transação ou pagamento for feito. Desta forma, se ocorrer alguma atividade suspeita, um alerta será recebido quase em tempo real. 

Para evitar o download de aplicativos maliciosos que visam os pagamentos, a ESET sempre recomenda examinar o que está sendo instalado para evitar que um aplicativo fraudulento se instale. Outra boa regra prática é verificar as permissões que os aplicativos solicitam. Por último, mas não menos importante, considere o uso de uma solução de segurança em seu smartphone para se proteger contra a maioria das ameaças e impedir atividades maliciosas. Um benefício adicional é que muitos produtos de segurança incluem funcionalidades de proteção de pagamento que monitoram aplicativos bancários. 

Embora haja riscos associados ao uso de aplicativos de pagamento móvel, alguns são mais seguros do que outros: “O uso de serviços como Apple Pay ou Google Pay é um pouco mais seguro do que o uso de um cartão de crédito real com pagamento sem contato porque estes serviços não fornecem números reais de cartão de crédito ao comerciante; em vez disso, eles fornecem apenas nomes de contas virtuais que são gerados para cada pagamento”, diz o pesquisador de malware da ESET Lukas Stefanko. Ele também reforçou o fato de que, “os usuários que desejam impedir que um criminoso abuse dos dados do cartão carregados em seus smartphones por proximidade podem desativar o NFC para melhorar a segurança”. 

Para saber mais sobre cibersegurança, acesse o portal de notícias da ESET: https://www.welivesecurity.com/br/2020/12/02/apps-de-pagamento-por-smartphone-saiba-como-garantir-a-seguranca-das-transacoes/

Sobre a ESET 

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite www.eset.com/br ou siga-nos no LinkedIn, Facebook e Twitter.