Blog | Incognia

As múltiplas faces do golpe da maquininha

Written by Diogo Sersante | 25/mar/2024 15:59:48

O golpe mPos, popularmente conhecido como “golpe da maquininha de cartão” pode ser aplicado se utilizando de diversas abordagens. Anos após a crescente no uso do cartão de crédito e débito para pagamento, este tipo de fraude ainda faz vítimas ao ser praticado em novos setores, como no caso de falsos presentes enviados através de redes de varejo conhecidas pelo grande público. 


O golpe da maquininha é um tipo de engenharia social

Engenharia social é um conceito amplo que diz respeito à manipulação da psicologia humana para obter ganhos financeiros, informações confidenciais ou acesso não autorizado. Este método é frequentemente utilizado por criminosos cibernéticos e ladrões que exploram a vulnerabilidade humana em questões de segurança. Ao contrário de ladrões convencionais que invadem diretamente, hackers e fraudadores empregam técnicas de engenharia social para ludibriar indivíduos, muitas vezes visando obter credenciais de login ou informações sensíveis para acessar sistemas e contas online.

A engenharia social abrange uma variedade de estratégias, como phishing (e suas variantes), golpes, invasões físicas através do tailgating, que se refere a um tipo de ataque em que um cibercriminoso segue um usuário autorizado para obter acesso a dados confidenciais ou ambientes que possam causar falhas na rede de forma intencional, , ameaças e intimidação, entre outras táticas. Todos esses métodos são utilizados para enganar, coagir ou fazer-se passar por outras pessoas com o objetivo de obter acesso a informações confidenciais, dados pessoais ou propriedades.

No golpe da maquininha, por exemplo, a vítima e o fraudador estão envolvidos em uma situação de pagamento associada à compra e venda, mas exploram desde valores supostamente não pagos pelas plataformas, recebimento de presentes indevidos, etc, que, à primeira vista, parecem não apresentar nenhum perigo. 

Quais as variações da fraude mPOS?

Adulteração do display da máquina de cartão
A adulteração do display da máquina de cartão já é uma das formas mais comuns de se aplicar o golpe no país - esteja ele quebrado, coberto ou com película para dificultar a visibilidade. Uma das razões principais é a dificuldade em reconhecer a fraude de imediato.

No display danificado, o golpista alega que o visor da máquina está com defeito e sugere que o usuário confira o valor da compra e mostra o suposto aplicativo da instituição financeira através da qual a transação está sendo realizada. Na realidade, o valor cobrado na máquina é muito maior do que o exibido neste celular. E se o usuário insere a senha, a transação fraudulenta é concluída. 

Há também a situação quando é posicionada uma película, adesivo ou qualquer outra forma de obstrução da imagem do visor da máquina, impedindo o cliente de identificar o valor correto exibido. Por exemplo, a compra de uma garrafa de água de R$ 5,00 pode, na verdade, esconder a compra de um valor de R$ 205,00, mostrando apenas os últimos dígitos e fazendo com que a compra processada seja muito maior do que o devido. 


Fraude da compra duplicada
Neste cenário, no momento de confirmar a compra, o golpista afirma que houve um erro na máquina e, portanto, será necessário utilizar outra. Como as compras são feitas em máquinas diferentes, a administradora do cartão não identifica o pagamento duplicado, resultando na aprovação de ambas as transações. Há também o caso no qual a primeira maquininha é utilizada apenas para registrar a senha do consumidor e o fraudador realiza transações indevidas no outro dispositivo mPOS.  

Fraude da senha na máquina 
Nesta modalidade, o golpista entrega o dispositivo para o consumidor inserir a senha antes de mostrar a tela correta de pagamento. Nesse caso, os dígitos da senha ficam visíveis no visor da máquina e de fácil acesso para realizar transações futuras. Em seguida, com a senha em mãos, o golpista distrai o consumidor para trocar o cartão por outro semelhante e manter o cartão original em sua posse para começar a agir ou também utiliza uma segunda maquininha para realizar transações sem que o consumidor perceba até devolver o cartão original. 

Troca de cartão
Apesar de não ter relação exata com o momento de compra na maquininha de cartão, há também as situações onde o fraudador realiza a troca de cartão por outro similar ao da vítima. Com o cartão em mãos, ele realiza transações apenas utilizando seus dados. Este golpe é comum em eventos onde há aglomeração no momento de compra. 

Estabelecimentos que utilizam a maquininha como forma de pagamento também podem ser vítimas do golpe 

Fraude da máquina com erro na aproximação (malware Prilex)
Neste golpe, por exemplo, ao tentar pagar por aproximação, a máquina exibe uma mensagem de erro e pede que seja realizada uma nova tentativa, desta vez inserindo o cartão. Ao inserir o cartão, ele é clonado e usado em compras sem autorização.

Se trata do malware Prilex, o qual bloqueia o processamento da máquina quando o cliente aproxima o cartão, obrigando o comprador a inseri-lo. E, a partir da inserção, o malware se conecta com os criminosos e envia os valores para contas da organização e não para a instituição financeira.

Ele pode infectar o sistema atrelado à maquininha (prática comum em grandes estabelecimentos) e pode lesar tanto o lojista quanto o consumidor. Para que seja instalado, um falso técnico que se passa por funcionário das operadoras de máquina de mPos vai até o estabelecimento e instala o malware no computador utilizado para operar o sistema.   

Fraude do falso comprovante de pagamento
Neste caso, o fraudador se passa pelo próprio consumidor no momento do pagamento. A prática acontece quando o golpista pede pra realizar ele mesmo a transação, operando o dispositivo mPOS diretamente, e gerando um comprovante de pagamento em branco. Ao imprimir esta nota, o comerciante pensa que a compra foi aprovada, quando, na realidade, não houve nenhum pagamento. Neste caso, o golpista costuma deixar o estabelecimento antes que a fraude seja notada. 


Como identificar riscos? 

A principal forma de identificar possíveis golpes é desconfiar de comportamentos anômalos no momento de transações via cartão. Do lado do consumidor, não é comum que seja necessário passar o cartão diversas vezes ou ter problemas para identificar o valor da transação no visor. 

Também é indicado que se utilize os aplicativos de cartão ou notificações via SMS para acompanhar toda e qualquer transação realizada através dele para que seja possível agir rapidamente em caso de golpe. E, por último, o consumidor deve evitar deixar o seu cartão nas mãos de terceiros. 

Sob a ótica dos estabelecimentos físicos e digitais, é essencial adotar soluções que protejam suas plataformas e seus usuários de maneira eficaz, como é o caso da identidade por localização da Incognia. O uso dos dados de localização exatos e informações dos dispositivos para validar transações e usuários é importante para identificar a aplicação deste tipo de fraude e fazer a conexão com a instituição financeira que processou o pagamento fraudulento. Além disso, preparar os canais oficiais de atendimento para tratar este desafio e orientar o consumidor corretamente caso se torne uma vítima é essencial. 

A abordagem proativa para este tipo de prática precisa estar presente em varejistas, empresas de comércio online, delivery, serviços financeiros e outras plataformas da economia compartilhada para evitar que novos usuários sejam lesados e que haja um impacto financeiro e reputacional nestas marcas. Um ecossistema seguro é vital para todos os elos da cadeira, tanto consumidores finais quanto negócios.