Digital wallets foram vendidos como a forma mais segura e inteligente de pagar, mas uma nova vaga de burlas está a inverter essa promessa para milhares de utilizadores.
Como os burlões roubam o seu cartão sem nunca o verem
A fraude mais recente a atingir os bancos do Reino Unido não começa com uma aplicação invadida ou um telemóvel roubado. Começa semanas antes com uma mensagem que parece completamente banal: um falso reembolso do governo, um problema numa entrega, uma promoção de uma loja que soa quase plausível. As vítimas partilham apenas dados suficientes para que os criminosos construam, em silêncio, um perfil: nome, detalhes parciais do cartão, talvez credenciais de banca online obtidas através de uma página de phishing.
Depois, tudo fica em silêncio. Os burlões esperam. As vítimas esquecem a mensagem estranha em que um dia clicaram. Essa pausa é deliberada. Quando a chamada finalmente chega, parece uma emergência recente - não o passo final de um ataque planeado há muito.
O identificador de chamada (caller ID) muitas vezes imita um número verdadeiro do banco. A voz é calma e, depois, ligeiramente urgente. O “assistente” já sabe os últimos quatro dígitos do cartão, a morada e, por vezes, transações recentes. Esses pormenores reduzem a suspeita e tornam a história credível: há um pagamento suspeito; o banco quer travá-lo; é necessária ação imediata.
Os burlões não lhe pedem para lhes enviar dinheiro. Pedem-lhe para o “proteger” - aprovando uma notificação de segurança real do seu próprio banco.
A reviravolta da carteira digital: transformar a segurança numa arma
O centro deste esquema está no Apple Pay, Google Pay e noutras carteiras digitais. Estas ferramentas dependem de autenticação forte: quando um novo dispositivo adiciona o seu cartão, o banco envia um código de utilização única, um alerta push ou um pedido de aprovação na app. Esse processo foi desenhado para manter os criminosos afastados. A burla inverte-o.
Durante a falsa chamada de segurança, o burlão diz que está a bloquear pagamentos fraudulentos. Afirma que precisa de “proteger a sua conta no nosso novo sistema” ou “migrá-lo para um ambiente mais seguro”. Nesse momento, desencadeia um pedido genuíno de adição do cartão a uma carteira digital que ele controla.
O telemóvel da vítima apresenta então uma notificação legítima do seu banco real. A redação é técnica e seca: aprovar este pedido para adicionar o seu cartão a uma carteira. O criminoso, antecipando o aviso, diz à vítima previamente que vai aparecer um “código de segurança” ou “mensagem de confirmação” e que deve ser aprovado rapidamente para cancelar o ataque.
Quando a vítima toca em “aprovar” ou dita o código, não está a travar a fraude; está a entregar o seu cartão ao telemóvel do criminoso.
A partir desse instante, o burlão consegue pagar em lojas e online com uma versão tokenizada do cartão, muitas vezes sem precisar do cartão físico ou do PIN. O dispositivo da vítima continua seguro e intocado. O dano acontece noutro lugar.
Para onde vai o dinheiro roubado em minutos
As equipas de fraude nos principais bancos do Reino Unido relatam um padrão claro assim que a carteira fica ativa. Para os criminosos, tempo é dinheiro, por isso avançam rapidamente com uma série de compras de alto valor antes de os sistemas - ou as vítimas - reagirem.
- Smartphones e tablets topo de gama em cadeias de eletrónica
- Moda de luxo e sapatilhas de marcas conhecidas
- Gadgets com elevado valor de revenda, que mantêm grande parte do preço
Estes artigos passam rapidamente para plataformas de revenda, mercados informais ou através de intermediários especializados em “lavar” bens roubados. O objetivo não é vida glamorosa; é velocidade e mínima perda na revenda, para que a maior parte do dinheiro do banco se converta “limpamente” em numerário.
Como muitas destas transações parecem pagamentos móveis normais em loja, os sistemas de deteção de fraude nem sempre as assinalam de imediato. Os limites para transações por carteira digital diferem das transferências online, pelo que os criminosos testam o que conseguem fazer passar antes de os alarmes dispararem.
Porque é que esta burla está a aumentar agora
Os bancos dizem estar a ganhar mais batalhas contra a fraude clássica com cartões e a tomada de controlo de contas. Autenticação mais forte, avaliação de risco mais inteligente e inteligência artificial tornam mais difícil forçar contas ou adivinhar palavras-passe. Essa pressão empurra grupos organizados para uma das poucas coisas que a tecnologia não consegue controlar por completo: o comportamento humano sob stress.
O Santander classifica agora a fraude com carteiras digitais como a segunda maior causa de perdas por burlas com cartões este ano. O HSBC relata um aumento acentuado nos últimos 18 meses. A entidade do setor UK Finance liga o crescimento diretamente ao reforço da segurança noutras áreas, o que reduz as taxas de sucesso dos criminosos e os incentiva a atacar mais pessoas, de forma mais agressiva, recorrendo a engenharia social.
A psicologia da chamada “urgente”
As vítimas descrevem frequentemente os mesmos sentimentos: choque, vergonha, medo de perder as poupanças. O interlocutor usa essa tensão com habilidade. Fala depressa, acumula avisos sobre “ataques em curso” e sugere que qualquer atraso pode significar perder tudo.
Nesse nevoeiro emocional, aprovar uma notificação do banco parece a escolha segura e responsável - não a armadilha que realmente é.
Os burlões também ensaiam as mensagens oficiais de segurança que aparecem por baixo de alertas push e códigos por SMS. Dizem às vítimas que são avisos genéricos que surgem “por defeito”, levando as pessoas a passarem por cima deles e a focarem-se apenas nas instruções do interlocutor. Este pequeno truque elimina precisamente a fricção que os bancos introduziram para abrandar decisões apressadas.
Como os bancos e as empresas tecnológicas estão a responder
Os bancos começaram a redesenhar sistemas a pensar exatamente neste cenário. O HSBC afirma ter implementado proteções específicas para carteiras digitais e planeia mais alterações ao longo de 2025. Isto pode significar limites mais apertados quando um cartão é adicionado a um novo dispositivo, perguntas adicionais em locais de risco, ou períodos temporários de “reflexão” (cooling-off).
Construir estas barreiras é um trabalho delicado. Se for demasiado restritivo, clientes legítimos sofrem fricção constante ao mudar de telemóvel ou relógio. Se for demasiado permissivo, os burlões voltam a entrar. Instituições como a Nationwide dizem agora de forma direta aos clientes que códigos de utilização única nunca devem ser partilhados durante uma chamada em direto, por mais autêntica que pareça.
A Apple afirma que são os bancos - e não a Apple - que aprovam quais os cartões que entram numa carteira. A Apple fornece dados do dispositivo e sinais de segurança, mas a decisão e a avaliação de risco cabem ao emissor. A Google deu menos detalhes publicamente, mas o seu sistema segue o mesmo princípio: o banco tem de confirmar cada registo (enrolment) de cartão.
| Etapa do ataque | Quem a controla | Defesa possível |
|---|---|---|
| Mensagem de phishing | Criminoso | Filtros de spam, cautela do utilizador |
| Chamada falsa do banco | Criminoso | Desligar e voltar a ligar para o número oficial |
| Pedido de adicionar à carteira | Sistema do banco | Verificações de risco mais fortes, redação mais clara |
| Aprovação do utilizador | Cliente | Recusar pedidos feitos durante chamadas não solicitadas |
Formas práticas de se proteger contra a fraude com carteiras digitais
A defesa central contraria toda a narrativa da burla: bancos legítimos não precisam da sua ajuda em tempo real para bloquear pagamentos suspeitos. Conseguem congelar cartões, reverter cobranças e desativar dispositivos automaticamente.
Especialistas em segurança repetem agora uma lista curta para clientes, sobretudo para quem usa Apple Pay ou Google Pay diariamente:
- Nunca aprove uma notificação de carteira digital ou de adição de cartão enquanto está a falar com alguém que o contactou inesperadamente.
- Se alguém disser que é do seu banco, desligue e volte a ligar usando o número no seu cartão ou na app do banco.
- Ative alertas instantâneos para todas as transações do cartão na sua app de banca móvel.
- Considere suspeito qualquer pedido de código de utilização única, sobretudo se for apresentado como “ajudar o banco” ou “parar uma fraude em curso”.
Estes hábitos abrandam o ímpeto do atacante. Muitas burlas dependem de velocidade e pressão; um simples “eu volto a ligar para o banco por iniciativa própria” quebra o guião e muitas vezes termina a tentativa.
O que isto significa para o futuro dos pagamentos móveis
As carteiras digitais não vão desaparecer; reduzem o roubo de cartões físicos, diminuem a clonagem (skimming) em terminais e acrescentam segurança forte ao nível do dispositivo. Mas a transição para pagamentos tokenizados concentra o risco em menos pontos: a etapa de registo (enrolment), o próprio dispositivo e o momento de aprovação do utilizador.
Bancos e fornecedores de carteiras já estão a testar análises comportamentais que detetam quando um cartão é adicionado a partir de uma cidade invulgar, a uma hora estranha, ou quando surge de imediato uma sequência de compras de luxo. Esses dados podem introduzir fricção: verificação adicional, uma retenção temporária, ou uma chamada a partir de um número conhecido e de confiança.
Para os utilizadores, o verdadeiro desafio está em aprender novos instintos. As pessoas passaram décadas preocupadas com olhares por cima do ombro e clonagem de cartões. Agora, a ameaça chega muitas vezes com voz de apoio ao cliente, pronúncia perfeita e metade do seu historial pessoal “na mão”. Compreender essa mudança - e tratar com suspeita qualquer “ajudante” telefónico urgente - pode importar mais do que qualquer nova funcionalidade de app ou camada de segurança.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário