Embora as transações em dinheiro não desapareçam tão cedo, a popularização de novas opções para realizar pagamentos on-line cresceu ao longo dos últimos anos. De acordo com uma pesquisa recente do Sistema de Reserva Federal dos Estados Unidos, os pagamentos em dinheiro representaram apenas 26% de todos as transações, enquanto os pagamentos por cartão de crédito e débito, assim como através de métodos de pagamento on-line, representam 65% das operações.
A pandemia de Covid-19 também desencadeou mudanças na forma como as pessoas compram, e o e-commerce experimentou um aumento na demanda devido aos governos limitarem a interação entre as pessoas para conter a propagação da doença ou pelo fato das pessoas se isolarem e realizarem a maior parte de suas compras de forma on-line.
Como a conveniência e a comodidade são importantes, o aumento dos métodos de pagamento sem dinheiro e de compras on-line, bem como o uso de smartphones para fazer compras, levou ao aumento do uso de métodos de pagamento através de celulares. Apple Pay, Google Pay, PayPal, Venmo e WeChat Pay estão entre alguns dos aplicativos de pagamento mais populares. No entanto, eles podem ter seus próprios riscos, e os criminosos adoram utilizar esses apps em golpes.
Riscos
Como estamos nos enfocando principalmente em aplicativos de pagamento por smarphone, é lógico que um dos maiores riscos seria a perda do seu dispositivo, que armazena a maior parte de suas informações confidenciais e dados de pagamento. Caso o seu smarphone não esteja protegido corretamente, os criminosos podem acumular cobranças em seus cartões ou usar seus aplicativos de pagamento para fazer comprar com seus dados. Além de esvaziar sua conta bancária ou sobrecarregar seu saldo, o incidente pode prejudicar sua classificação de crédito com o banco, dificultando a contratação de um empréstimo no futuro.
Os smartphones, assim como outros dispositivos digitais, também podem ser infectados com diferentes tipos de malware. Os keyloggers, por exemplo, podem registrar e transmitir aos cibercriminosos cada tecla pressionada em seu dispositivo, permitindo obter suas senhas ou credenciais de acesso à conta usadas para acessar aplicativos de pagamento. Como alternativa, os cibercriminosos podem implantar aplicativos maliciosos fingindo ser outra coisa e atacar seus aplicativos de pagamento. Por exemplo: os pesquisadores da ESET descobriram um trojan que se fazia passar por um aplicativo para otimizar o desempenho da bateria. A ameaça estava direcionada a usuários do aplicativo oficial do PayPal e tentava transferir 1.000 euros (aproximadamente US$1.200) para a conta do atacante.
Golpes
Além de tentar roubar seu smartphone ou infectá-lo com malware, os cibercriminosos também contam com outros meios mais tradicionais para atacar a sua carteira digital: os golpes cibernéticos.
A premissa é geralmente semelhante a outras tentativas de golpes, como fingir ser alguém conhecido e pedir ajuda simulando uma emergência. O golpista também pode obter acesso à sua lista de contatos e fingir ser alguém para quem você já enviou dinheiro usando um aplicativo de pagamento.
Os cibercriminosos também podem recorrer aos tipos usuais de golpes, usando aplicativos de relacionamento para estabelecer um vínculo e, depois de estabelecê-lo, tentar arrancar dinheiro das vítimas apelando para todos os tipos de desculpas.
Golpes que falam que a vítima ganhou um prêmio ocorrem com muita frequência: as vítimas são informadas de que ganharam um grande prêmio, no entanto, para recebê-lo, é necessário pagar uma taxa por transação. Claro, eles nunca receberão o prêmio imaginário de um sorteio no qual nunca participaram e provavelmente nunca receberão sua "taxa por transação" de volta.
Além disso, há ataques de phishing em que os criminosos se fazem passar pela empresa que opera o aplicativo de pagamento. Os golpistas montam réplicas de sites como parte da estratégia para fazer com que os usuários insiram seus dados de acesso para, em seguida, roubar o dinheiro das vítimas ou vender os dados de login na dark web.
Outra ameaça que devemos destacar são as mensagens de spam com solicitações de envio de dinheiro que surgem nas contas de usuários. Se um usuário acidentalmente acabar clicando em uma dessas solicitações, a transferência de dinheiro para a conta do golpista pode acabar ocorrendo.
Como se proteger
A primeira coisa que você deve fazer para proteger o seu dinheiro é ativar todas as medidas de segurança fornecidas pelo seu smartphone. Isso inclui habilitar o desbloqueio biométrico (validação de rosto, validação de retina, validação de impressão digital) e bloqueio por padrão. Feito isso, fica difícil para alguém entrar em seu telefone ou usar os aplicativos de pagamento, uma vez que exigem que o usuário verifique sua identidade cada vez que quiser acessá-los, fazer uma transação ou comprar algo. Por outro lado, os dispositivos Android e Apple são compatíveis com as funções “Find my phone”, que permitem desativar seu telefone remotamente em caso de perda ou roubo... e você pode até mesmo apagar os dados remotamente.
A maioria dos aplicativos de pagamento também permite ativar recursos de segurança adicionais, como autenticação em dois fatores, que você deve implementar imediatamente, caso ainda não o tenha. Você também pode bloquear os aplicativos com medidas de segurança adicionais, como código e bloqueios biométricos, e ativar esses recursos também para transações. Além disso, você deve ativar as notificações sempre que uma transação ou pagamento for feito. Dessa forma, se ocorrer alguma atividade suspeita, você receberá um alerta quase em tempo real.
Para evitar o download de aplicativos maliciosos direcionados a atacar a sua carteira digital, é sempre necessário examinar o que está sendo instalado para impedir o download de um aplicativo malicioso disfarçado de outra coisa. Outra boa regra prática é verificar as permissões solicitadas pelos apps.
Por último, mas não menos importante, considere o uso de uma solução de segurança em seu telefone para se proteger contra a maioria das ameaças e impedir atividades maliciosas. Uma vantagem extra é que muitos produtos de segurança incluem recursos de proteção de pagamento para proteger seus apps.
Dicas de um analista de malware
Embora existam riscos associados ao uso de aplicativos de pagamento por smartphone, alguns são mais seguros do que outros, destaca o pesquisador de malware da ESET, Lukas Stefanko.
“Usar serviços como Apple Pay ou Google Pay é um pouco mais seguro do que usar um cartão de crédito real com pagamento por aproximação, porque esses serviços não fornecem números de cartão de crédito reais ao comerciante; em vez disso, eles fornecem apenas nomes de contas virtuais que são geradas para cada pagamento”, destacou Stefanko. Ele também elogiou o fato de que, como medida extra de segurança, os usuários que desejam impedir que um criminoso utilize dados do cartão carregados em seus telefones através da aproximação podem desativar o NFC para melhorar a segurança.