Grupos de criminosos digitais continuam desenvolvendo novas formas, cada vez mais engenhosas, de roubar o dinheiro das suas vítimas sem sequer fazê-las sair de casa, e não há nada de novo sob o sol em relação a isso. Uma reportagem recente da VICE, entretanto, joga luz — e acende um alerta — acerca de um “cúmplice” improvável nessa equação: o Apple Pay e as demais plataformas de pagamento digitais.
De acordo com a matéria, uma nova técnica obtida por alguns grupos de fraudadores têm utilizado os sistemas da Apple, do Google e da Samsung para cadastrar cartões de créditos roubados e, com isso, fazer compras por meio dos seus próprios aparelhos. De acordo com um dos golpistas, o Apple Pay é a “maneira mais fácil” de ganhar dinheiro com o novo golpe.
A prática envolve cartões de crédito roubados e gira em torno de um bot que entra em contato com as vítimas de forma automática. As pessoas que tiveram seus cartões roubados são enganadas e repassam códigos de autenticação aos bandidos, que, por sua vez, conseguem cadastrar os cartões no Apple/Google/Samsung Pay em seus próprios aparelhos. Em seguida, a prática mais comum é comprar milhares de dólares em cartões-presente de diversas lojas e serviços, para antever qualquer bloqueio do cartão ou da conta.
A reportagem analisou vários canais no Telegram onde os golpistas se reúnem. Um deles postou a foto de duas caixas contendo os cartões-presente adquiridos junto à legenda “US$20 mil em gift cards“; numa mensagem posterior, ele afirmou que usou o Apple Pay com um cartão de crédito roubado para pagar pelos itens, e que o sistema de pagamento da Apple é a “forma mais fácil de lucrar usando o bot” — uma vez que, depois de cadastrar o cartão, basta encostar o iPhone/Apple Watch no terminal de pagamento e autenticar com a sua própria biometria.
A reportagem sugere que o Apple Pay é o sistema favorito dos golpistas por sua extrema simplicidade no momento de adicionar um novo cartão: no caso de boa parte dos bancos dos Estados Unidos, tudo o que se precisa fazer é adicionar as informações “visíveis” do cartão, sem a necessidade de digitar uma senha ou tirar uma foto do plástico em si — o que favorece a compra online de dados de cartões roubados. Quando o banco tenta verificar as informações, os bots entram em ação para conseguir os dados de autenticação da vítima.
Além disso, por conta das medidas de privacidade da Apple, a pessoa no caixa não vê o nome do dono do cartão nem quaisquer outras informações sobre ele no momento de uma compra.
O pesquisador de cibersegurança Timur Yunusov, da Positive Technologies, criticou a Apple enquanto “intermediária” das transações do Apple Pay, afirmando que a falta de checagem da plataforma favorece fraudes e impede que as instituições financeiras verifiquem a legitimidade da compra:
Se eu de repente cadastrar meu cartão dos EUA no Apple Pay em algum lugar da Tailândia e comprar algo numa loja por US$10 mil, ninguém vai me impedir. Se eu tentar fazer o mesmo com meu cartão físico, eu provavelmente cairei em algum tipo de medida antifraude. A Apple criou um esquema de pagamentos no qual eles ficam longe dos dados da transação. Eles não checam nem podem checar nada, e só enviam os dados para os serviços de tokenização da Visa ou da Mastercard. Muitos dados simplesmente não chegam no banco emissor, e o banco é que cuida das checagens antifraude.
As críticas de Yunusov, entretanto, tiveram resposta: o Wells Fargo, por exemplo, afirmou que todas as checagens antifraude realizadas em transações feitas com cartões físicos também são feitas nos pagamentos sem contato. Isso não explica, entretanto, o aparente interesse dos golpistas em usar o Apple Pay e sistemas semelhantes em suas campanhas.
A Apple, por sua vez, respondeu à reportagem simplesmente com um redirecionamento aos seus artigos de segurança relacionados ao Apple Pay, como um que lembra que as verificações antifraude dos pagamentos e do cadastro dos cartões são de responsabilidade dos bancos emissores. Um outro artigo orienta os usuários a tomar cuidado com mensagens e ligações falsas tentando obter códigos de verificação e outros elementos autenticadores.
De qualquer forma, fica o alerta. Em uma nota relacionada, há poucos dias noticiamos o Apple Pay ganhou um sistema de Prevenção de Fraude Aprimorada no Brasil e em outros países.
via AppleInsider
