Dark web. Cartões de crédito e de débito em risco

Entre quatro milhões de cartões bancários que foram encontrados à venda, mais de 3 mil eram portugueses e tinham o custo aproximado de 10 euros. A NordVPN explica os perigos a que estamos sujeitos e como podemos proteger-nos.

E se o seu cartão de crédito ou débito estivesse à venda na dark web? Pode parecer um cenário hipotético, mas foi verificado pela empresa NordVPN, que analisou os dados de quatro milhões de cartões bancários que se encontravam à venda e concluiu que, destes, 3281 pertenciam a cidadãos portugueses. O preço médio dos cartões encontrados era de 10,50 dólares (9,25 euros à taxa de câmbio atual), sendo que os portugueses eram um pouco mais caros: 12,26 dólares (10,80 euros).

Entre os cartões nacionais encontrados destacam-se os Visa (1002), seguidos dos Mastercard (367) e Maestro (9). “A missão da Nord Security e especialmente da NordVPN é fazer com que as pessoas se possam sentir mais seguras na internet. Grande parte dessa missão passa por informar e sensibilizar as pessoas em relação à privacidade e aos riscos reais e, consequentemente, dar soluções/informações sobre como evitar esses riscos, dentro do possível”, explica a NordVPN ao i, adiantando que “hacks a cartões bancários é algo cada vez mais recorrente e que afeta de forma muito significativa a vida das pessoas”.

“Mas o nosso interesse é identificar o que mais afeta as pessoas e informar/sensibilizar para tal. Estamos a trabalhar noutros pontos de informação relacionados com hacks a passwords correntes, que muito impactam a vida das pessoas”, diz, não percecionando um motivo específico pelo qual a maioria dos cartões pertencem à corporação de serviços financeiros que está sediada em Foster City, na Califórnia, EUA. 

“Será mesmo uma questão aleatória que, porventura, terá a ver com a maior ou menor utilização e cobertura de cartões Visa em detrimento de cartões MasterCard”, sublinha, esclarecendo que o método que esteve em causa para piratear os cartões foi o da intitulada “força bruta”, sendo que estes ataques “funcionam um pouco como adivinhação”. 

“Pense num computador que tenta adivinhar a nossa password. Primeiro vai tentar a combinação 000000, depois 000001, depois 000002 e assim sucessivamente. Como se trata de um computador, o mesmo pode fazer milhares de hipóteses por segundo”, aponta, lembrando que o cartão bancário tem 16 dígitos: os primeiros 1 ou 2 dígitos representam a entidade bancária (ex: 4 Visa); os seguintes 13 ou 14 são referentes ao país e ao usuário do cartão; o último número é um número de prova dos anteriores 15 (algoritmo) e o código CVV é composto por 3 dígitos, por isso pode ser adivinhado facilmente

“Ao fim e ao cabo, os hackers não vão atrás de cartões nem pessoas em específico neste tipo de ataque. Simplesmente tentam adivinhar todos os detalhes do cartão até que funcione e o possam vender na dark web”, afirma a empresa de soluções de cibersegurança mais conhecida pela aplicação da rede privada virtual (VPN). 

Recorde-se que o último escândalo que envolveu cartões portugueses remonta a julho de 2021. À época, o Jornal de Notícias noticiou que hackers – recorrendo a phishing para obter os dados pessoais dos utilizadores lesados – haviam desviado milhares de euros de cartões de crédito para criptomoedas. Em poucos minutos os utilizadores ficaram com o saldo esgotado, que era compreendido entre cinco e 10 mil euros, sendo que este foi transferido para corretoras de criptomoedas.

“O Grupo de Lesados Wizink, constituído online a partir das reclamações que crescem nas redes sociais, conta já com 25 pessoas que, entre abril e maio, perderam 130 mil euros nos cartões de crédito Wizink”, lia-se no artigo que apresentou dois casos distintos: o de “Maria”, que havia ficado sem 4 200 euros, transferidos para uma corretora de criptomoedas, e o de uma pessoa que foi alertada pela SIBS para um movimento estranho no cartão e, nesse mesmo dia, perdeu 4 918,45 euros. “O Banco de Portugal apela aos lesados que apresentem queixa, pois está a investigar e a matéria criminal será remetida às autoridades policiais”, foi elucidado.

Mas as estratégias para fraude com cartões de crédito, mais ou menos apuradas, existem há muito. A título de exemplo, em maio de 2016, o i escreveu que “vários clientes com cartão de crédito da Caixa Geral de Depósitos foram alvo de fraude. O banco já veio confirmar ‘que foram identificados movimentos fraudulentos com cartões de crédito com origem no Brasil’”. Naquela altura, os criminosos identificavam-se como empregados de uma instituição financeira, ligavam para casa das vítimas e perguntavam-lhes se haviam feito determinada compra. 

As vítimas não reconheciam esses gastos – oriundos do Brasil – e o suposto trabalhador do banco avisava então que o cartão de crédito fora clonado, pedindo para que este fosse cortado ao meio – mas mantendo o chip intacto – e entregue, imediatamente, a um estafeta. Deste modo, com os dados na sua posse os criminosos gastavam avultadas quantias. A chamada do banco só surgia mais tarde mas desta vez alertando para a utilização fraudulenta.

Em dezembro de 2011, e tal como foi igualmente avançado pelo i, o grupo de hackers Anonymous atacou a infraestrutura digital da Stratfor, uma empresa de global intelligence com publicações diárias de previsões estratégicas e análises do mundo dos negócios, revelando a falta de segurança do servidor que alojava a base de dados. 

Na sequência desse ataque foram divulgadas informações sensíveis sobre os assinantes da publicação, nomeadamente nomes, números de cartões de crédito, códigos de confirmação, moradas e números de telefone. No entanto, antes de as divulgarem, o grupo utilizou alguns desses cartões para doar cerca de um milhão de dólares a várias instituições de solidariedade, como a Cruz Vermelha Americana, a Save The Children e a Care.

Juntavam-se à Marinha Portuguesa, na lista de clientes da Stratfor, diversas instituições governamentais internacionais, departamentos das Nações Unidas, da defesa norte-americana, embaixadas, companhias aéreas e de transportes ferroviários, empresas petrolíferas, como a brasileira Petrobras, e multinacionais dos mais variados setores, como a Sony, a Phillips, a Pfizer, a Microsoft, a Wester Union, a American Express, a Visa, o Crédito Suíço ou o BNP Paribas. O major Mário Tomé e o general Loureiro dos Santos souberam, por exemplo, através do i, que os seus dados pessoais, incluindo morada, endereço de e-mail, número de telefone e de cartão de crédito, tinham vindo a público.

“Grande aumento” de “uso fraudulento de cartões de crédito” No passado mês de janeiro, foi dado a conhecer que o phishing para obter dados de cartões bancários havia sido o crime informático mais denunciado em 2021. De acordo com o balanço anual do Gabinete de Cibercrime do Ministério Público, das 1160 denúncias feitas em 2021, 167 tiveram como alvo informações bancárias, e são mais do dobro das registadas em 2020. Como houve um reforço na prevenção deste tipo de ilícitos, o Ministério Público (MP) frisou que os hackers passaram a “induzir as vítimas a facultar-lhes os dados dos seus cartões de crédito”.

Exatamente há um mês também, o i realçou que o crime informático, na cauda do tráfico de droga e de armas, já é indicado como uma das fontes de maior rendimento dos criminosos, tendo falado com Carlos Cabreiro, responsável pela Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T).

“Imagine que numa campanha o criminoso lança 1000 emails. Mesmo que haja uma percentagem mínima de 1% que acredita que aquilo é verdadeiro, estamos a falar em 10 pessoas que perderam o acesso às suas contas bancárias. Mas estas campanhas são sempre aos milhares. É, portanto, devastador que uma única ação tenha um impacto sobre um conjunto vasto de vítimas”. 

Em janeiro de 2021, a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) da PJ tinha 13 900 inquéritos a correr relacionados com a cibercriminalidade. Um ano depois, os casos chegaram aos 17 800. Isto é, um crescimento de 27%. Segundo Carlos Cabreiro, “as vítimas no caso do phishing bancário têm sido às centenas. Desses quase 18 mil casos em investigação, esse tipo de crimes corresponde, mais ou menos, a 25%”.

Porém, tal não é surpreendente, pois, lia-se o seguinte no Relatório Anual de Segurança Interna 2020: “No âmbito da fraude em meios de pagamento, verificou-se um grande aumento nos crimes relacionados com uso fraudulento de cartões de crédito em plataformas online. A crescente facilidade e normalidade na utilização da internet para adquirir produtos ou serviços, frequentemente sem as necessárias e adequadas regras de segurança, tem facilitado a consumação de fraudes”.

Assim sendo, o que é que os portugueses podem fazer para se protegerem deste tipo de cibercrimes mas, mais particularmente, de verem os seus cartões hackeados? Na ótica da NordVPN, “de forma proativa”, devem “verificar o extrato bancário regularmente em busca de movimentos suspeitos ou estranhos, e responder rápida e seriamente a qualquer notificação por parte do banco de que o cartão possa ter sido utilizado sem autorização; ter contas bancárias separadas para fins distintos. Guardar pequenos montantes de dinheiro nas contas onde estejam associados os cartões bancários que usamos regularmente e em compras online”.

Também refere que “alguns bancos (Caixa, Millenium, etc) oferecem a possibilidade de usar cartões virtuais temporários, que são uma excelente opção para compras online. MBNet também”, sendo que a verificação em dois passos – verificar as transações / compras através de um dispositivo diferente, uma mensagem de texto, impressão digital ou outra medida semelhante – “já se converteu na norma mínima, e os bancos em Portugal por norma são exemplares nesse aspecto. No entanto, se o banco não oferecer ainda essa opção – deverá pedir e até considerar mudar de banco caso não esteja disponível”.

“Caso haja suspeita ou confirmação de que o cartão foi hackeado – contactar imediatamente o banco para que investigue o abuso e, muito provavelmente, pedir que seja bloqueado o cartão se esta não tiver sido bloqueada automaticamente”, recomenda a empresa, salientando que “a venda de cartões bancários na dark web continua a ser um crime bastante lucrativo”. 

“Os cartões bancários portugueses custam em média 10,80 euros. Numa base de dados de 4,5M de cartões, um hacker pode ganhar 48M euros. Enquanto continuar a ser um crime lucrativo, vai continuar a despertar a atenção de quem o comete. Por isso podemos dizer que sim”, responde quando questionada sobre o eventual aumento deste crime na dark web ou fora da mesma. Neste sentido, considera essencial esclarecer-se o significado da expressão. “A dark web é uma parte oculta da internet, composta por webs que ocultam o seu endereço IP. Não se consegue aceder à dark web com os navegadores ou browsers mais conhecidos (i.e. Safari, Firefox, Google Chrome). Para tal é necessário utilizar um programa especial – TOR é o mais conhecido”. 

“Estas webs estão alojadas na dark net e praticamente todo o seu tráfego é encriptado. Como acontece com tantas outras ferramentas, a dark web tem muitas funcionalidades. Se é usada para um bom fim ou um mau fim, depende de quem a usa. Existem hackers bons e hackers maus”, frisa ao abordar um tema que tem vindo a ser debatido nas últimas semanas devido ao facto de a plataforma Discord, utilizada pelo jovem que planeou um atentado à Faculdade de Ciências da Universidade de Lisboa, ter sido designada erradamente por dark web. “Por exemplo, na dark web podemos encontrar documentos científicos gratuitos, notícias independentes, fóruns, bibliotecas online – entre outras coisas. Por outro lado, podemos encontrar coisas muito más como serviços de venda de drogas, armas ou informação bancária obtida ilegalmente”.

“O índice de risco português foi estimado em 0,4. Descobriu-se que o país mais vulnerável do mundo era Hong Kong, com uma pontuação máxima de possível risco de 1. Foi analisada uma base de dados de 4,5M de cartões (base de dados composta por 4 bases distintas), mas existem muitas mais à venda na dark web”, observa, continuando: “Se houver um agravamento da situação em Portugal passará pelas medidas que serão adotadas pelas pessoas e pelos bancos em relação à prevenção e proteção neste tipo de situações”.

Sabe-se que o índice de risco foi determinado tendo em conta o número de cartões bancários na base de dados per capita do país em questão, o número de cartões bancários em circulação no país em questão (Visa, Mastercard e American Express) e a proporção de cartões bancários não reembolsáveis no país em questão, encontrados na base de dados.