Sign in Subscribe
Newsletter

PacificNews#202: Plaything

PacificNews#202: Plaything

Você está seguro no pagamento por aproximação?

Você já encostou o cartão na maquininha para pagar um café e pensou: “será que alguém poderia fazer isso de longe, sem eu ver?”. Com a popularização dos pagamentos por aproximação, essa dúvida é cada vez mais comum, e os golpes envolvendo maquininhas de cartão portáteis, infelizmente, também. Mas qual é o risco real? E, mais importante, como você pode se proteger de forma simples e eficaz?

Recentemente, na Itália, um caso chamou a atenção. Um homem foi preso em Sorrento tentando aplicar um golpe de 100 euros em um bar. Ao revistá-lo, a polícia encontrou algo curioso: uma maquininha de cartão portátil, modificada para aplicar fraudes. O mais preocupante é que não era a primeira vez; ele já havia sido detido em Roma com um dispositivo semelhante. O aparelho parecia ser um modelo comum, como os que vemos em feiras e pequenos comércios, que funciona de forma independente, sem precisar de um celular. Isso mostra como a tecnologia, que foi criada para facilitar a vida, pode ser usada por criminosos.

Existem dois modus operandi possíveis para esse tipo de crime. O primeiro é o mais conveniente para os ladrões: eles roubam uma carteira e, posteriormente, realizam uma série de pequenas transações com o cartão roubado, sem a necessidade de digitar a senha, como se simulassem uma série de compras de curto prazo. Quando o limite é atingido, a carteira é descartada.

O segundo método pode ser descrito como uma espécie de arrastão digital. Os ladrões escolhem locais lotados com alta densidade de pessoas com probabilidade de contato, como transporte público ou filas em estabelecimentos comerciais. Com uma maquininha já programada com um valor a ser cobrado, ele a aproxima de bolsos, bolsas e mochilas, na esperança de que o aparelho consiga "pescar" o sinal de um cartão por aproximação e realizar a transação sem que a vítima perceba.

Apesar de assustador, o arrastão digital tem uma taxa de sucesso muito baixa. Primeiro, pois leva cerca de 30 segundos para receber a confirmação da transação, antes que a solicitação precise ser repetida. Segundo, a maquininha deve estar quase em contato com o cartão, geralmente a uma distância de 0,5 a 4 centímetros. Terceiro, não deve haver elementos interferentes, como outros cartões. Portanto, o ladrão precisa encontrar uma série de circunstâncias fortuitas para ter sucesso. 

Mesmo que a chance seja pequena, ela não é zero. Por isso, é fundamental se prevenir. Felizmente, proteger-se é mais fácil do que você imagina. Adote estes hábitos:

  • Cuidado com o Bolso de Trás: Guardar a carteira no bolso de trás da calça não só facilita o trabalho dos batedores de carteira tradicionais, como também cria o cenário perfeito para o golpe da maquininha. Prefira bolsos frontais ou compartimentos internos de bolsas e mochilas.
  • Considere uma Carteira com Bloqueio (RFID): Já existem no mercado carteiras com uma proteção especial (chamada de RFID) que cria uma espécie de “escudo”, impedindo que o sinal do seu cartão seja lido por maquininhas próximas.
  • Ative TODAS as Notificações do seu Banco: Configure o aplicativo do seu banco para avisar sobre qualquer transação, até as de R$1,00. Os golpistas contam que você não notará débitos pequenos, mas com as notificações ativadas, você descobre a fraude na hora.
  • Use o Celular para Pagar: Pagar por aproximação com o smartphone é uma das formas mais seguras. Por quê? Porque o celular só libera o pagamento após você desbloquear a tela (com sua digital, rosto ou senha). Assim, mesmo que um golpista encoste a maquininha no seu celular, nada acontecerá.

Se mesmo com todos os cuidados você for vítima de um golpe, contate seu banco imediatamente para contestar a compra. Como todas as transações são rastreáveis, é possível identificar a maquininha usada no crime. Com informação e alguns cuidados simples, você aproveita toda a conveniência dos pagamentos por aproximação sem cair em armadilhas.

Leia mais

Sni5Gect, o ataque inovador contra redes móveis 5G

Pesquisadores da Universidade de Tecnologia e Design de Cingapura contaram detalhes sobre uma forma inovadora de atacar redes móveis 5G – que não precisa de uma estação maliciosa para funcionar. Esta técnica é disruptiva dado o funcionamento das redes 5G: elas funcionam por meio de uma malha de antenas chamadas estações rádio-base, que conectam os celulares e dispositivos à rede da operadora. Cada uma dessas estações cobre uma área específica e transmite sinais que permitem chamadas, acesso à internet e troca de dados em alta velocidade. Ataques à rede 5G, em geral, aconteciam através de uma equipamento malicioso imitando uma estação oficial, conhecido como falsa estação rádio-base (ou rogue base station). 

Estas formas de ataque com bases maliciosas limitavam o escopo e a praticidade de ataques a redes 5G. Mas, agora com o desenvolvimento do framework Sni5Gect, os pesquisadores conseguiram fazer a interceptação e injeção de mensagens em comunicações 5G, sem precisar de uma base dessas. Basta que o atacante esteja ao alcance de uma vítima recebendo uma mensagem não criptografada entre uma determinada estação de rádio-base e o dispositivo alvo do ataque. 

Nesta técnica, a conexão maliciosa ocorre antes da autenticação e antes que o tráfego seja protegido, o que significa que o invasor não precisa das credenciais do dispositivo da vítima. Isso pode ser feito aguardando o celular-alvo perder a conexão e restabelecê-la. Não é incomum esta reconexão à rede, ocorre especialmente após o usuário desativar o modo avião, desembarcar de um voo, passar por um túnel ou estacionamento subterrâneo. Até uma simples viagem de elevador pode fazer esta reconexão acontecer. Se o invasor conseguir iniciar o ataque antes de a conexão ser protegida, poderá interceptar mensagens não criptografadas e injetar conteúdos maliciosos.

Uma das possibilidades de extrapolação deste ataque seria, por exemplo, derrubar o modem no dispositivo da vítima, identificá-lo e rastreá-lo, permitindo um downgrade na conexão para 4G, que possui vulnerabilidades conhecidas e exploráveis. 

O ataque Sni5Gect foi testado contra diferentes modelos de smartphone, como OnePlus Nord CE2, Samsung Galaxy S22, Google Pixel 7 e Huawei P40 Pro, com uma excelente taxa de sucesso que variou entre 70 e 90%. Vale lembrar que os pesquisadores fizeram o framework desta técnica de ataque disponível em código aberto.

Leia mais

Patches & Updates

SAP NetWeaver:
As falhas CVE-2025-31324 (pontuação CVSS de 10) e CVE-2025-42999 (pontuação CVSS de 9,1) constituem um problema de verificação de autorização ausente e um bug de desserialização insegura, e foram resolvidas com notas de segurança divulgadas em abril e maio, respectivamente. O problema é que dezenas de instâncias do SAP NetWeaver estão suscetíveis a comprometimento após um agente de ameaças lançar um novo exploit funcional que encadeia tais vulnerabilidades para execução de código. Na sexta-feira, o projeto de inteligência e pesquisa de ameaças Vx-Underground publicou que alguém aparentemente ligado ao grupo de crimes cibernéticos Scattered Spider divulgou o referido exploit no Telegram. 

Apple:
Aparentemente, o governo do Reino Unido abandonou seus planos para obrigar a Apple a enfraquecer suas proteções criptográficas e incluir um backdoor em seu dispositivo. Quem falou sobre o assunto foi o Diretor Nacional de Inteligência dos Estados Unidos, Tulsi Gabbard, que, em seu X (antigo Twitter) pessoal, publicou que “o Reino Unido concordou em suspender a obrigatoriedade da Apple conter um backdoor”.  Esta história de “backdoor” surgiu em janeiro de 2025, por meio de nota emitida pelo Home Office britânico, com o objetivo de permitir acesso amplo a dados criptografados na nuvem da Apple, inclusive de usuários fora do país.

T-Mobile:
A empresa  alemã de celulares, T-Mobile, foi processada no ano passado, junto com a AT&T e Verizon, por compartilhamento ilegal de dados de localização de usuários sem o seu consentimento. Cada uma das partes apelou em uma diferente corte, mas só agora a decisão de uma delas veio à tona. A T-Mobile, que até 2019 vendia informações de localização de seus clientes a agregadores, alegou que vender dados de localização não viola a lei. Entretanto, um colegiado de três juízes da Corte de Apelações do Distrito de Columbia, nos EUA, decidiu por unanimidade contra a T-Mobile, alegando que “cada celular é um dispositivo de rastreamento e que, para receber serviço, este dispositivo deve, periodicamente, se conectar à torre de comunicação mais próxima, enviando a localização de seu usuário” o juizado ainda completou a sentença alegando que esta localização, repetida indefinidamente, representa uma “janela íntima na vida daquela pessoa”.

Destaques pelo mundo

Paypal:
Cibercriminosos alegam ter roubado 15,8 milhões de credenciais de login do PayPal, incluindo senhas em texto simples. No entanto, a empresa nega qualquer alegação de violação de dados, afirmando que o vazamento está relacionado a um incidente de segurança de 2022, período em que sofreu um ataque de preenchimento de credenciais em larga escala, com 35.000 contas expostas. No início de 2025, a empresa teve que pagar US$2 milhões aos reguladores dos EUA que consideraram que o PayPal não cumpriu a regulamentação de segurança cibernética de Nova York.

Grok:
O modelo de inteligência artificial do X, antigo Twitter, Grok, permite que usuários escolham diferentes “personas” para o bot, que oferecem conversas com personalidades variadas e “sabores” diferentes, como um comediante sem noção, amigo leal, doutor, entre outras. Ocorre que o próprio Grok está expondo os prompts subjacentes de várias de suas diferentes personas de IA. A exposição oferece alguns insights sobre como o Grok foi concebido, além da forma como seus criadores enxergam o mundo. Uma das personas, inclusive, tinha a missão de te convencer sobre teorias da conspiração, como a de que “uma cabala global secreta” controla o mundo, seriam verdadeiras. Até o momento, nem X nem xAI se manifestaram sobre o ocorrido. 

Allianz:
De acordo com o site de notificação de violações de dados Have I Been Pwned, o incidente cibernético ocorrido em julho na gigante de seguros norte-americana Allianz Life permitiu que agentes maliciosos roubassem informações pessoais de 1,1 milhão de clientes. O vazamento de dados incluiu nomes, sexo, data de nascimento, endereços de e-mail e residenciais, e números de telefone dos clientes de um banco de dados hospedado pela gigante da nuvem Salesforce.

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa

Read more