Tem um cartão de débito Contactless? Veja esta vigarice
Tornou-se viral uma publicação onde um homem, Paul Jarvis, vê um vigarista a "roubar" as pessoas utilizando um método "novo" que saca dinheiro dos cartões de débito Contactless, aqueles cartões que em Portugal até 20 euros não precisa de colocar o PIN nem de introduzir o cartão, basta aproximar à máquina.
O curioso desta situação é que o larápio traz consigo um terminal TPA e, de forma ardilosa, "rouba" as pessoas sem tocar na carteira das mesmas. Se pensa que já viu de tudo, está enganado!
O que é um cartão Contactless?
Antes de avançarmos para a notícia vamos explicar em traços gerais o que é um cartão Contactless.
Em 2013, em Portugal, a UNICRE deu a conhecer um novo método para pagamentos que não necessita que o utilizador introduza o tradicional código PIN, sendo essa validação/autenticação realizada apenas por aproximação do cartão de débito ao TPA (Terminal de Pagamento Automático).
Na prática, em vez do utilizador digitar o PIN, este deverá aproximar o cartão da máquina de pagamento (cerca de 4 cms) e o sistema reconhecerá e aprovará o pagamento.
De referir que o sistema apenas funciona, por enquanto, para compras até 20 euros. Em Portugal há milhares de terminais preparados para esta tecnologia mas ainda não é uma prática corrente do consumidor português.
Como funciona a vigarice?
Segundo a imagem que o senhor Jarvis tirou e colocou no Facebook, o esquema é simples de perceber. O larápio aproxima o TPA das bolsas das pessoas (e das carteiras nos bolsos) e, existindo este cartão, o mesmo transfere para a conta do TPA a quantia até 30 libras, valor máximo permitido para os cartões Contactless no Reino Unido.
So this guy was spotted wandering round with a Point of Sale (POS) device. All he has to do is key in a price less than ...
Publicado por Paul Jarvis em Sábado, 13 de Fevereiro de 2016
O homem inclusive conta que foi testar o método no pub local onde costuma frequentar. Percebeu que, de facto, o esquema funciona e que é fácil vigarizar as pessoas sem estas darem conta.
Era sabido que os dispositivos móveis (smartphones) conseguem detectar os dados do cartão via NFC, mas este esquema de sacar dinheiro só mesmo com o TPA será possível, mas a facilidade é grande.
Embora cá em Portugal ainda não seja uma prática muito usada, na verdade no Reino Unido há já bastantes serviços que recorrem a este método, como os transportes públicos por exemplo, o que torna este esquema um roubo eficaz e produtivo se as pessoas não estiverem atentas. Mas, mesmo atentas, pela forma como o sistema funciona, não será difícil perder rapidamente até 30 libras no metro ou num qualquer meio de transporte.
Alguns dados disponíveis referem que, em 2014, 1 em cada 3 pagamentos por cartão, na cidade de Londres, eram efectuados com este tipo de tecnologia. Podemos facilmente pensar na evolução até aos dias de hoje.
Como este pagamento não aparece de imediato na conta do lesado, este só dias mais tarde dá conta que pagou um valor sem saber, caindo sobre ele a responsabilidade e ilibando a instituição bancária.
As instituições bancárias ainda não têm uma forma de lidar com este esquema, até mesmo porque quando o cartão fica bloqueado ainda há possibilidade de fazer um pequeno levantamento.
Quem tem um cartão, como pode desligar esta funcionalidade?
Na verdade na Internet tudo se aprende. Por sua conta e risco, se quiser seguir esta dica, poderá desligar esta funcionalidade do seu cartão, evitando assim qualquer tentativa de lhe sacarem até 20 euros sem o seu consentimento.
Basicamente, como pode ver na imagem, o cartão tem a antena em torno da margem do cartão. Fazendo um corte mínimo, de cerca de 5 mm no cartão, irá cortar a antena que permite accionar o débito no cartão e jamais o sistema será accionado. Nada fica afectado no cartão para pagamentos tradicionais, apenas a antena NFC deixa de funcionar.
Este artigo tem mais de um ano
Nos cartões que conheço, o possível estrago estará limitado, pois a cada 4 utilizações é pedido novamente o pin do cartão para validar a operação.
Só se for no próprio dia, porque o meu até à data, nunca me pediu código nenhum…
O meu também não. Nunca pediu nenhum PIN. Essas 4 utilizações só se forem no mesmo dia.
Eu disse bem: nos cartões que conheço. Não conheço todos.
Uma falha grave do seu Banco, porque a própria SIBS afirma no seu site que ao atingir o limite de 60€ seja ela diária ou não, nesta modalidade a próxima compra só poderá ser efetuada com PIN.
mesmo assim se por acaso formos “roubados” por este método, ao fim de um ano fica em 720€ pelo limite de 60€ como diz o Pedro. Claro que temos de ser aldrabados todos os meses mas não deve ser difícil para quem anda constantemente de metro/centros comerciais/locais com muitas pessoas aglomeradas… já dá para pagar umas férias/pc novo/seguro do carro/…
Foi precisamente por esta razão que nunca ativei o pagamento contactless.
uma pergunta, uma pessoa normal sabe que desapareceu 20€ da sua conta, faz queixa, acho que é obvio de apanhar o ladrao??
TPA registado em nome de alguem, e conta de destino tambem tem de ser de alguem… ou esta a escapar-me algo??
Eu tambem nunca ativei e no outro dia um senhor na caixa do supermercado incentivou-me a pagar com o contactless e funcionou..
Nem activas, vem logo activado. Desde que o cartão em si tenha sido activado então está pronto a ser usado (e por norma só o primeiro cartão de uma conta é que não vem activado, a partir daí as substituições vêm automáticamente activadas).
Em suma: para não ter contactless só mesmo um cartão que não tenha a tecnologia contactless, não há outra forma (excepto a de cortar a antena como referido neste artigo).
Eu assim que esta funcionalidade apareceu, fui ao meu banco e pedi para desactivarem esta funcionalidade, acharam estranho, mas desactivaram.
Off-topic Existe uma empresa chamada Eve com um projeto chamado “pyramid flipper” no qual é proposto às pessoas ideias e sugestões para o novo dispositivo da marca (um tablet neste caso). Com isso em mente, tive uma idea semelhante – criar um smartphone que nos orgulhassemos verdadeiramente de ter – seria feito “à medida” e por isso estaria menos suscetível a críticas que muitas vezes nos parecem óbvias em smartphones hoje em dia (por exemplo os materiais utilizados na construção dos Lumias 950 e 950 XL). Criei, por isso, um post no site da Eve onde proponho que todos demos a nossa opinião, sugestões e ajudem na criação de um telemóvel espetacular. Para isto acontecer basta comentarem e demonstrarem interesse na minha ideia no post que fiz. Aguardo o que tenham para me dizer!
Aqui está o link para o post:
http://eve.community/t/an-amazing-eve-phone/512?u=artur
Obrigado!
Dêem uma vista de olhos neste site:
http://eve.community/t/an-amazing-eve-phone/512?u=artur
em cada 4 utilizações, vão 80 euros ou mais.
boas noites se fizeres 4 pagamentos seguidos sem tirar extracto nem nada.. vai pedir pin.. 😀 abraço
O limite é esse, no entanto faz “reset” quando usamos o cartão e introduzirmos o pin. Ou seja, nunca usaste o contactless (paywave etc) mais do que 4 vezes de seguida sem pelo meio pagares da form tradicional com pin ou levantares dinheiro também introduzindo o pin. A lógica disso é que se meteste o pin, o cartão encontra-se supostamente na tua posse e tens mais 4 vezes para usar o contactless. No entanto, não apoio nem acho que esta tecnologia seja algo que deva vir activo nos cartões, estou apenas a expor algo que li.
Alguém sabe se tendo mais cartões com esta tecnologia na carteira é possível isto acontecer? Eu tenho 3 cartões destes na carteira, 2 multibanco e o passe dos transportes públicos. Se aproximarem o TPA da minha carteira que vai acontecer?
Eu tenho 3 cartões com esta tecnologia (ou outra que reage no terminal) e sempre que tentei, porque me aborrecia tirar o cartão da carteira e porque sei que o cartão com o qual quero pagar é o que está mais perto do terminal, não funcionou, diz que não conseguiu ler.
Roubam te o passe mensal lol
os telemoveis já com NFC podem ler os cartões conctless, é activar o nfc e instalar algum nfc reader no telemovel android neste caso. e já ve qual o cartão que lê.
Lê e faz o quê? Nada.
Directamente não faz nada, é um facto.
Agora gravando a informação recolhida do cartão original num cartão em branco, tão fácil de arranjar, será que pode usar-se para pagamentos? Não duvido muito que funcione…
Completamente enganado.
Sei e “descobri” esta quebra de segurança à cerca de 1 ano quando recebi o meu primeiro cartão com contactless. Sabias que o teu cartão grava através de NFC os últimos pagamentos que fazes por contactless? Nem no banco sabiam isso. Ou negam em comunicar.
De forma ingénua perguntei no meu banco se através de NFC ficam alguns dados pessoais gravados no cartão, movimentos, etc. No balcão disseram-me que podia ficar descansado que no cartão não fica nada gravado a não ser o número do cartão e códigos de segurança que é comunicado via NFC para o terminal ATM ao qual processa o pagamento. Tretas. Com uma simples aplicação gratuita na Play Store consegui extrair por NFC o extracto dos meus pagamentos feitos por contactless, o nome do banco, Pins Try Left, etc etc e o pior é que consegui clonar toda essa informação para o telemóvel e usar o mesmo num pagamento que testei no LIDL e no Jumbo.
http://postimg.org/image/ed15b1sh1
Este extrato foi retirado do meu cartão através de uma de várias aplicações na loja da Google.
Foram pagamentos que fiz somente com o meu smartphone com o cartão físico no bolso tanto no jumbo como no lido e sem dar um único erro mas vezes que usei. Era como se tivesse a usar o meu próprio cartão.
Comuniquei o ano passado esta informação a vários bancos nomeadamente à unicre e até à data sem qualquer resposta.
Eles sabem e sempre souberam que pagamentos por contactless não são seguros seguros.
A maneira como o tipo do vídeo fez este esquema é totalmente irrisório.
Não é nada preocupante o que este gajo fez pq é 99% garantido que vai ser apanhado mesmo se não tivesse sido filmado visto que todos os terminais estão associados a uma empresa. Agora se em vez do terminal usares o teu próprio smartphone tens poucas hipóteses em ser apanhado pq ele clona o cartão para o próprio tlm e ao usá-lo numa compra sai da conta do lesado diretamente para o comerciante enqt no caso do terminal atm ainda passa pela empresa associada ao terminal.
Brevemente coloco aqui um vídeo a fazer uma compra com o meu cartão mas através do tlm.
Por isso se tiverem um cartão contactless ativo, aconselho a colocá-lo no meio da carteira, dificultando assim a leitura do mesmo por parte de outros equipamentos. A outra solução que uso é colocá-lo no meio de 2 cartões nfc brancos que podem comprar online por menos de um euro.
Uma dúvida:
Ao testares isso, nao comprometeste o teu cartao ao utilizares a aplicacao? Quem te garante que nao copiaram os dados e poderao fazer o mesmo que tu fizeste? Por acaso queria testar o mesmo mas nao me apetece muito que os dados do cartao sejam lidos e guardados em algum sitio que desconheço.
PS: Presumo que utilizaste a app Credit Card Reader NFC (EMV)?
Ainda esta semana contactei com o meu banco por causa disto. Queria baixar de 25 euros para 10, para minimizar estragos caso perca o cartão, mas disseram-me que não é possível alterar este valor, mas que posso simplesmente desactivar o serviço (não é necessário cortar o cartão). E aparentemente também me devolvem o dinheiro perca o cartão e alguém o use… Por isso parece-me bem! 🙂
Pois tenho ideia que todos os cartões têm um seguro em caso de roubo e haja uso indevido usando o contactless, agora uma burla como esta não seria fácil de realizar em Portugal, para teres um terminal de pagamentos tens que estar registado ou seja até podes roubar mas sabem quem foi, e até por ventura podes apanhar alguém distraído e com a carteira abonada que não dê pela transacção mas não ias ficar rico a roubar desta forma, rapidamente serias apanhado.
Não é fácil mas também não é extremamente difícil, basta que o terminal “pirata” não esteja “ligado” a um banco na zona euro mas sim um banco mais manhoso e por defeito o teu banco deixe fazer pagamentos para fora dessa zona sem autorização prévia. Não é comum, mas imagina que porque viajas muito tens os pagamentos fora da zona euro activos…
não diria que isso é um defeito do banco. ainda assim, sim, é possivel que haja falhas e maneiras de obter o dinheiro sem ser apanhado.
“Por defeito” não significa literalmente que é um defeito.
Quando soube dessa situação, fui ao banco e só os cartões de crédito e que tem seguro, os multibanco não mas, como agora temos que os pagar anualmente vale a pena trocar.
O meu não sei o que tem, mas tenho um e-mail escrito pelo funcionário do banco em que garante que cobrem o prejuízo.
quando for preciso, o banco diz que o funcionário agiu por conta própria (e até o pode despedir) e tu ficas a arder à mesma.
Quem garantiu o quê? 😀 😀 😀
Onde está escrito? Está nas condições? Não está, com certeza!
Com SORTE, o banco tem um bom acordo com a VISA ou MASTERCAD, e usará a PROTECÇÃO que estas empresas têm para pagamentos CONTACTLESS, mas por exemplo, o cartão que eu USO (COFIDIS) não tem esse acordo! A MASTERCARD oferece uma protecção TOTAL contra uso abusivo, mas essas condições não são dadas pela COFIDIS.
RESUMINDO: se não está escrito nas condições, o mais certo é o cliente ficar com prejuízo! Os seguros têm “todos” franquias na casa dos 100 euros! E agora com os limites nos 150 euros por dia, estou a ver as franquias a subir para 150 ou mais! Mas é triste, empresas como a MASTERCARD oferecerem protecção TOTAL e elas não serem negociadas pelos intermediários (talvez para conseguirem comissões mais baixas! vale tudo…)
isso do rapidamente… se usarmos como exemplo as burlas o mbway mesmo sabendo os dados dos “beneficiarios do alheio” ficamos a saber que nao e assim tao rapido e que provavelmente ficaram a arder com o dinheiro
Seguro com franquia de 100 EUROS! 😀
Boas, qual o banco já agora?
Rabobank
com um banco com esse nome, já sabes o q te espera. lol
He he he
A pergunta que me surge logo é:
Será possível cancelar uma operação de pagamento deste tipo que não tenha sido realizada com o nosso consentimento?
Se chamares a policia e declarares o furto, os seguros cobrem-te. Acontece o mesmo com roubos online. O principio é o mesmo.
se a pessoa estiver na posse do cartão, aposto que o banco diz que a responsabilidade é do portador do cartão e não paga nada.
Por não achar seguro, mal recebi o meu primeiro cartão contactless fui directo ao banco e pedi a desactivação. Fiz o teste e dá negado. Os bancos têm como fazê-lo. Fiz no millenniumbcp, activobank e CGD. Basicamente escrevem uma reclamação no balcão do banco a por em causa a segurança do sistema contactless e exigem a desactivação. Não precisei de cartões novos. Demora 48 horas. Dá “recusado” quando tento usar.
Assunto resolvido.
Até ser possível configurar o contactless pelo homem banking para pedir sempre código, independentemente do valor, não vou querer o contactless activado. Os seguros de fraude são uma terrível dor de cabeça para se activar.
Nada como a prevenção.
No millennium bcp disseram-me que não podiam desactivar. Por isso disse que entregava o cartão para ser anulado. No fim, deram-me um outro sem a funcionalidade Contactless.
Confirmo o relato de José Maria Oliveira Simões, no MillenniumBCP não é possível desactivar a funcionalidade contactless. Tentei através do BancoMail e disseram-me que não é possível, e ao balcão e com o gerente a mesma coisa.
Tive que pedir um novo cartão, o único que têm sem contactless é aquele que chamam de “cartão temporário”, que geralmente são entregues no acto de abertura de conta. Fiquei com esse, mas o nome cartão temporário é enganador, porque tem uma validade de 3 anos como outros que eles mandam para casa.
Seria interessante que eles tivessem a possibilidade de bloquear essa funcionalidade “contactless” no próprio web site, e até de desbloquear caso a pessoa quisesse usar.
E concordo que utilizar o contactless com um código isso sim, seria o ideal, mas para todas as operações… porque eles dizem que ao fim de 3 operações pede código, mas se colocar o código em qualquer outra operação do cartão sem ser no contactless então não pede! Em teoria podem furtar os dados e andar a usar de vez em quando sem que seja pedido qualquer código, em especial se for na zona territorial habitual onde a pessoa o usa.
Deve ser possível pois mesmo na movimentação está explícito “contactless” logo devem poder recusar operações pela própria origem do pagamento que eles sabem bem qual é.
O reclamar é logo uma complicação que considero uma estupidez, porque seria fácil de prevenir o problema… só quem quisesse é que deveria ter.
É preciso detectar a transacção fraudulenta, é preciso reclamar dentro do prazo que o banco dá, depois mesmo que aceitem a reclamação e devolvam o dinheiro, se eles não pagarem ao comerciante arrisco-me a ter de ir para tribunal provar que não fui mesmo eu que autorizei a transacção… arrisco-me a ficar mal visto no banco se for um alvo recorrente, enfim, só problemas que eu mesmo nem procurei em primeiro lugar.
4 x 20€ multiplicado por 20 pessoas em apenas um dia, já se consegue um bom salário mensal!
resta dizer que para ter um terminal tem de se estar registado ter conta bancária e toda uma burocracia, como estão a ver o tipo que fizer isto será apanhado.
Era mesmo isto que eu me estava a preparar para comentar. Penso esta notícia pecar por ser demasiado alarmista, visto não compensar que o dono do terminal se exponha desta forma. Mesmo com um terminal roubado, tinha de conseguir o cartão e o pin para ativar esse terminal para o colocar funcional.
“É para o lado que eu durmo melhor” já que há coisas muito mais importantes para me preocupar, tal com o ramsonware, etc.
Por cá usam muito os sem abrigo e os toxicodependentes para compra e venda ilícitas de vários bens, não será difícil pagar a quem não tem nada a perder para abrir uma conta e criar uma empresa fictícia e depois pedir um terminal ao banco e quando forem apanhados o sem abrigo e que se lixa.
Sim, é que um banco abria uma conta empresarial e entregava um TPA a um sem abrigo…
Devias ver mais vezes reportagem que se faz por cá e sim pegam num sem abrigo, fazem a barba e o cabelo vestem um fatinho e vão com ele ao banco, as finanças e onde for necessário. Os larápios só precisão do contribuinte é Bi do pobre coitado. E já agora um comprovativo de morada e fácil de fazer com um editor PDF já que ninguém vai confirmar.
Sim é o sem abrigo com o bi e o número de contribuinte sem dinheiro sem historial de contas, descontos e não sei mais lá bem o que, vai abrir assim uma conta lool
Flávio Ferreira, sim, qual a dificuldade? Se for para receber dinheiro, e não dar crédito, qualquer banco fica contente e não faz grandes perguntas. Qual a dificuldade de abrir uma empresa fictícia, pedir um TPA e efectivamente recebe-lo, se o banco irá receber dinheiro com isso sem ter de se preocupar?
Se fosse pedir crédito aí já se punham a ver melhor… assim não, só precisam que a papelada esteja em ordem e acabou. “ai é para nos dar dinheiro? Então venha já por aqui!”.
Alex M: grandes invençõs que te contam e tu acreditas.
Vai lá tu abrir uma conta com alguém sem registo bancários e dpeois conta como foi.
Mesmo com um terminal roubado, o dinheiro retirado iria sempre para a conta associada ao terminal, e não para quem o roubou…
Apanhado é. Falta é saber quanto tempo consegue fazer isso e quanto dinheiro consegue fazer desaparecer.
O terminal até pode ser registado. O “larápio” saca o dinheiro à vontade e a maioria dos donos dos cartões nem sabe onde foi descontado. Os que derem por isso podem reclamar, mas terão de fazer prova de que não o usaram. O larápio pode ter uma chafarrica comercial qq e justificar o desconto com algum serviço ou fornecimento. Mesmo que possa depois ter de apresentar uma nota fiscal, mas isso é outra coisa, só vai dar dor de cabeça.
Mas ha bolsas que isolam os cartoes… Pra que estar a corta.los…
Claro.
Agradeço o alerta. Mas basta usar uma capa com proteção. Até porque dá jeito usar a opção contactless, é bem mais rápida.
Podem também pedir cartao MB sem isso no vosso banco, pelo menos o BPI tem essa possibilidade.
exato. Foi o que fiz. em banco diferente.
Por acaso tive de desligar o nfc do meu telemóvel porque sempre que passada sobre a minha carteira o telelecas apitava
eu dei cabo do meu cartão por ter o nfc sempre ligado no telemovel junto ao cartao multibanco. agora so funciona a banda magnetica.
e entretanto ficas sem a banda magnética. o telemóvel dá cabo dela. aliás, até acho estranho não ter sido logo a primeira coisa a ir.
Um gajo não pode dizer que está bem em lado nenhum. A informação é mesmo a melhor arma mas estes tipos nem dormem a engendrar estes esquemas.
Vale a pena ler este artigo. Não é recente mas elucidativo do risco de ter um cartão destes.
http://www.forbes.com/sites/thomasbrewster/2015/02/18/android-app-clones-cards/#22aa4e3361d4
Boa dica. Como referi no artigo, essa prática já era conhecida, esse artigo que deixas mostra muito bem como é feito.
Obrigado.
Só para avisar que acabei de ver no meu cartão BPI e a antena não passa exactamente no mesmo sitio que referem, parece um bocado mais “sofisticada”. http://i.imgur.com/EvKAR3t.jpg
Obrigado pelo alerta e possível solução!
Carteiras que isolem o sinal.
Basta meter papel de alumínio a volta do cartão, problema resolvido! Tentem e vão ver se aquilo le alguma coisa.
Boa!
O objetivo desta tecnologia é aliviar o trabalho de escrever o PIN e vamos perder tempo a desembrulhar a “sandes” do aluminio. Depois o aluminio rasga e temos de arranjar outro…
A tecnologia é insegura, ponto.
Eu uso bastante desde que descobri que o meu cartão tem isso! Não acho nada inseguro. Com os cartões bancários, e de transporte que tenho na carteira com esse sistema, tenho a certeza que baralha o sinal todo.
Aqui ficam as bolsas que isolam o sinal
http://www.staples.pt/hidentity-bolsa-protectora-fraude-single-1-carto/cbs/304998.html?promoCode=200200555&Effort_Code=WW&Find_Number=304998
Obrigado pela dica. Estava mesmo a pensar nisto enquanto lia o artigo.
Para quem quiser usar as suas bolsas em vez de andar a comprar essas baratuchas podem sempre comprar um cartão “dummy” que quando na carteira isola o sinal de qualquer cartão, incluindo cartões de acesso, muito acesso em empresas grandes que levam a sério o acesso às instalações, já que este tema já é uma realidade há longos anos na área da clonagem dos cartões de acesso.
Este também deve servir para proteger
https://www.secrid.com/pt/protect-your-cards/
boas ideias.. vou para a garagem martelar metal e fazer uma divisória para a carteira diy toda nice…
Que tal trazer o cartão embrulhado em folha de alumínio! hehe
estão-se a esquecer que a primeira compra no comerciante tem de ser feita com PIN, apenas as seguintes podem ser feitas por contactless.
Para que o cartão funcionar no terminal ATM e necessário que já se tanha colocado o código PIN no ATM uma vez, depois podemos utilizar o cartão 4x ate um valor máximo de 60€ e depois e necessário colocar o PIN outra vez, por isso se uma pessoa passar com ATM perto do meu cartão só funciona se eu tiver posto la uma vez o código PIN
Já foi aqui dito nos comentários, basta comprarem uma carteira que isola o cartão do campo electrónico gerado pelo TPA (ou POS). Assim cortam o mal pela raiz e evitam ficar sem contacless, ao contrário da solução sugerida na noticia.
Relativamente a ficarem sem o dinheiro, com os cartões emitidos aqui em Portugal não é verdade. Basta reclamarem e o Banco é obrigado a assumir o extravio do dinheiro, mas isto não vos é dito ao balcão de muitos bancos. Naturalmente terá de existir uma análise, não é imediato. Reparem que na transacção tem de existir um comerciante associado (e registado) e por ai consegue-se perceber para onde foi o dinheiro.
Mais, no Reino Unido é e continuará a ser possível fazer transacções Contaless em modo OFFLINE. Este modo tem a bondade de permitir ao cliente fazer uma(s) compra(s) mesmo que não existam comunicações, evitando ficar pendurado. Em Portugal, se não está agora será num futuro próximo, as transacções só serão aceites em ONLINE (motivos de seguranças são uma parte da explicação).
Por último, e se tiverem a oportunidade de escolherem o Scheme, escolham Mastercard. É um pouco mais seguro que VISA…
Nada como ter um cartão sem essa funcionalidade. Todo o cuidado é pouco. No caso de roubo do cartão, está lá toda a informação necessária ao criminoso.
O Activobank não garante o reembolso em caso de desvio de dinheiro.
Eu recebi no final do ano o meu cartão do género, nem o ativei. Fui o entregar ao banco. E pedi um cartão sem esta funcionalidade.
Eu também não sou muito adepto desta prática, mas confesso que já a usei várias vezes devido à (grande) facilidade que é o pagamento. Quando dou por mim em vez de estar a colocar o pin já estou eu só a passar o cartão… eheh 🙂
Mas será que estou a ficar maluco ou o povo já não sabe o que fazer quando é roubado? Se aparecer uma quantia debitada no meu cartão que eu não paguei, fui roubado. Se fui roubado apresento queixa. Se apresento queixa o dono da conta associada ao TPA é o ladrão. Só um idiota é que usaria este sistema para roubar, deixando sempre a assinatura, ou estou errado? Esclareçam-me por favor.
Parece-me que não estas a perceber: A ideia é EVITAR ser roubado. Se bem que possa ser impossível, por mais cuidados que se tenha, pode-se reduzir essa probabilidade, em particular, não tendo cartões contactless que em boa verdade não servem para nada! Se quem te rouba corre o risco de ser apanhado ou não, já não te diz respeito. Cada ladrão sabe de si.
Por essa lógica, vais começar a deixar a porta de casa aberta. Se alguém te assaltar a casa, foste roubado. Se foste roubado, apresentas queixa. Se apresentares queixa, a polícia investiga e pode apanhar o ladrão. Só um idiota rouba casas…
Há uma falácia nesse raciocínio. Para assaltar uma casa o ladrão deixa automaticamente alguma prova que o ligue a uma conta? É que com o TPA isso inevitavelmente acontece…
A questão aqui é que se tiveres câmaras em casa que vão identificar o ladrão, fechas a porta a chave na mesma, não?
Pois, a ideia é mesmo não ser roubado. Não é depois de casa roubada que se põe trancas à porta. Ou pelo menos, não deveria ser.
e se eu falsificar o nome
Vivo em Londres, todos os meus cartões são contactless, faço pagamentos a alguns anos, todos os dias. A validacao do pagamento exige que o cartao encoste ao terminal, por vezes com dificuldade. Nos transportes publicos por vezes causam transtornos, pois demoram a validar. Pior sao os pagamentos por nfc, cartoes programados no telemovel, tenho que raspar bem nos leitores para validar.
Não quero desiludir os mais convictos em teorias de conspiração, mas não há um único cartão contactless bancário em Portugal que possa ser usado sem ter inserido o PIN na primeira vez que se tenta fazer um pagamento com esse método.
Portanto, escusam de andar a pedir para desativar cartões e blablabla, simplesmente não usem nunca essa funcionalidade, e nunca vai ser possível alguém roubar o que quer que seja. Sem o PIN 🙂
Deixa-me só dizer que o que dizes não é verdade e para isso deixo este link que mostra que existem sim cartões no nosso mercado: http://ind.millenniumbcp.pt/pt/Particulares/Cards/Pages/Cartoes-de-Debito-Contactless.aspx
Não me leves a mal, mas podias ter lido o texto todo
“A tecnologia Contactless é ativada após a realização de uma transação com PIN, permitindo efetuar pagamentos até 20 €, bastando aproximar o cartão a um leitor TPA Contactless.”
E isto serve para todos, sem excepção. É obrigatório, na primeira transação contactless, inserir PIN. Em todos.
Apenas uma vez. Depois não precisas mais de o colocar.
Não me leve a mal. Mas há gente brilhante a magicar como meter a mão no bolso do parceiro. Por cada uma que nós descobrimos, eles andam sempre um passo à nossa frente. Pena é que não usem a cabeça para ganhar dinheiro sem prejudicar as outras pessoas.
Vítor, parece-me que o Rui não disse que não há cartões contactless em Portugal. O que ele disse é que não há cartões contactless em Portugal que possam ser usados sem se inserir o PIN na primeira vez que se tenta fazer um pagamento com esse método. Isso deixa-me mais seguro uma vez que não pretendo usar essa funcionalidade.
Bom, percebi que não havia cartões sem contactless com a funcionalidade de não ser necessário o PIN. O que é necessário é a activação do serviço, colocando uma única vez o PIN, depois até aos limite de 20 euros, é um cartão contactless convencional. Foi por isso que coloquei essa informação, e também para as pessoas conhecerem as informações disponíveis nas instituições bancárias.
Mal recebi o novo cartão com isso tentei trocar mas o banco diz que não tem nenhum novo que não tenha isso, então fui ao eBay comprar uma protecção para o cartão multibanco e funciona! Pelo menos quando está dentro da capa.
Quem tiver interessado procure por “koruma RFID Blocking 100% sleeve credit debit contactless card holder” no eBay… comprei dois e ficou em £6.67 (+/- €8.56) com portes, veio do Reino Unido. Só precisava de um, o outro é se o material estraga-se rapidamente ter outro, mas até parece ter qualidade e já lá vão quase 10 meses desde que comprei.
Também existem produtos chinocas, mas não estava convencido que tivessem boa qualidade…
Expliquem-me uma coisa, se esta tecnologia funciona com contacto como é que vão roubar o dinheiro sem haver o contacto do cartão com o terminal?
4 cm
Já é antigo, mas se não corrigiram durante estes anos o problema…
you tube:
/watch?v=4qjMm_texSo
/watch?v=lLAFhTjsQHw
“deverá aproximar o cartão da máquina de pagamento (cerca de 4 cms) e o sistema reconhecerá e aprovará o pagamento.”
Bom dia, É SIMPLES se isto começar acontecer..basta receber um sms no tlm por cada utilização. Assim a pessoa saberá no próprio momento o que lhe estão a retirar do cartão.
E eu a pensar que aquele dinheiro que sai da conta todos os meses fosse comissões do banco!! Se calhar é o contactless a ser burlado…
De qualquer das formas é roubo…
Por acaso o banco no qual trabalho foi dos primeiros a introduzir essa tecnologia na sua oferta de cartões, pouco tempo depois (alguns meses) descontinuou essa funcionalidade, sempre achei estranha essa atitude e fiquei sempre com a ideia que teria algo a ver com alguma falta de segurança do sistema.
Por acaso, o cartão contactless pede pin sem avisar…ou seja, não importa o número de vezes…basta que o sistema encontre algum problema. Mas já há carteiras feitas com material das embalagens da FedEx ou da Amazon que são anti-magnéticos…ou seja, protegem os cartões. Procurem na web…Slimfold!
Tomara que esta tecnologia nunca chegue no Brasil, pois aqui dá para se ter uma maquininha sem ter conta em banco, qualquer um compra e os valores apurados na transação, podem ser direcionados para um cartão na função de crédito. Do jeito que temos hoje, há a necessidade de se colocar o cartão com chip dentro da máquina e digitar a senha cadastrada para efetuar a transação.
Tenho um cartao desses e ontem, para meu espanto, no continente ia a colocar o cartao no terminal e a caixa disse: deixe estar q ja pagou (menos 20€), e nunca tinha activado esta funcionalidade.
Não acredito que esta funcionalidade não tenha uma protecção simples como SO AUTORIZAR OS PAGAMENTOS EM VENDEDORES EM QUE JÁ TENHA INTRODUZIDO O PIN ANTERIORMENTE (e que essa “autorização” caduque ao fim de x meses e tenha de voltar a “autorizar” o comerciante) ou Algo que produza o mesmo efeito.
Vamos acreditar que quem implementou o sistema não é parvo 🙂
Se colocarem esses cartões numa carteira com revestimento de chumbo deve resolver o problema, não ?
Parece-me extremista cortar o cartão quando já carteiras e ‘porta cartões’ que permitem proteger o cartão (e o seu dono) de interacções não intencionais (por parte do dono do cartão).
furto do cartão… epá nestas modernices q n são fundamentais, nunca fiando…
Enquanto técnico de TPA sei muito bem que está situação pode acontecer a qualquer momento. A funcionalidade contactless assim que ativa nos cartões permite que sejam feitas duas compras de baixo valor (igual ou inferior a 20€) sem que seja usado o PIN do cliente, simplificando, apenas por “encosto” do TPA ao cartão.
Os clientes não tinham essa noção e muitos continuam a não saber, é um risco para a segurança das pessoas porque, muitas vezes nos estabelecimentos basta estar alguém ao pé… E faz essas compras sem autorização do pagador de forma automática.
As novas tecnologias têm sempre uma possível má utilização. As pessoas devem ser informadas atempadamente, porque tal como este… Muitos outros podem adquirir um TPA e se pôr à espreita de incautos…
Esta empresa produz carteiras com proteção para os cartões contactless:
https://www.secrid.com/pt/
Uso o sistema de contacto ja la vao uns anos e so tenho a dizer bem. Mas….. todo o cuidado e pouco para um pobre.
Vantagem?
Nao tens de “expor” o cartao a outra pessoa do outro lado. (webcams e clonagem deixam de fazer negocio) roubo do cartao sem o codigo nao tem muito valor (ate tem mas passemos a frente).
Penso que o maior problema nao esta nas 30 libras que podem ser levantadas. O indice de frau e muito mais baixo do que qualquer outro sistema. (para terem uma ideia circulam neste pais aproximadamente 60 milhos desses cartoes).
Onde esta o perigo entao?
O perigo vem dos dados do cartao poderem ser lidos e decifrados facilmente e com equipamentos baratos.
Ou seja. a informacao que passa “no ar magnetico” , alguns cartoes( nao todos), pode ser lidos a metros de distancia e nao centimetros.
Numero do cartao e data de validade passam no ar(codifo de seguranca nao e transmitgido) , e sao suficientes para fazer compras online, em lojas que nao exigem codigo de seguranca. (ha muitas)
Obviamente que nao e qualquer tosco que consegue fazer isso. E mais tarde ou mais cedo e apanhado pq e tracado electronicamente.
Mudar para cartao sem contacto nao resolve problema nenhum apenas perpetua os existente.
Nao conheco o sistema portugues, como tal nao o vou comentar (embora duvide que seja diferente do resto do mundo. Afinal o sistema nao e portugues ,sendo regulado por norma europeia e insternacionais).
Aqui no UK, por lei, cabe ao banco repor o dinheiro imediatamente havendo suspeita de fraude. (eu sei em portugal podem esperar sentados (cada um recebe aquilo que vota hehehe))
Em minha opiniao acho melhor porque ha menos olhos no meu cartao.
Desculpem o alongamento.
http://www.theguardian.com/money/2015/jul/23/contactless-card-is-too-easy-says-which
O engraçado e aparecer um cartao da CGD na imagem e a mesma nao comercializar esses cartoes
..
o meu foi oferecido 😉
Isso do contactLess é um perigo. Sempre tive o medo de alguma vez perder a carteira, porque o meu cartão tem essa funcionalidade. E o que permite é fazer gastos acho que até 20€ 3 vezes por dia, sem pin.
Agora essa de alguma pessoa comprar um terminal e aproximar das pessoas para sacar dinheiro é nova. Meter folha de aluminio ou comprar uma carteira de metal.
E coisa que não sei, é que como o contactless responde ao NFC, que dados é que ele transmite. É que se transmite número de cartão, data de validade e ccv(os 3 numeros na parte de tras), isso é suficiente para criar um clone ou fazer compras online..
Solução, pegar num x-ato e cortar isso da antena que tem pouca utilidade em portugal. ou até nenhuma.
Como é óbvio não transmite nada do que dizes. Se tiveres um telemóvel com NFC podes instalar uma app para ler o teu cartão e veres o que contem.
@marco, tenho aqui o meu CGD com contactless…
Esse cartão ilustrado na notícia é mesmo real?
Do Pedro? Se for é melhor tirarem os números e código de segurança .. não va alguém fazer compras na internet com ele…
A próxima inovação vão ser os cartões contactless com interruptor! 🙂
https://youtu.be/hqKafI7Amd8?t=550
É por isso que eu guardo o meu cartão numa bolsa especial anti-NFC.
Não acredito muito nesta noticia. Trabalho com este sistema e muitas vezes nem a 1cm de distância funciona, tem que ficar mesmo encostado ao trabalho.
Já trabalhei com cartões contactless e sei que funciona… Depende muito do”poder” da antena que está a ler o cartão. Mesmo tendo vários cartões como já refereriram, pode dar erro mas pode também conseguir comunicar com um dos cartões.
*Encostado ao tpa
Um TPA não é algo que se compre no chinês da esquina, é preciso ter uma empresa ou ser empresário em nome individual, fazer um contrato e associá-lo à uma conta bancária. Se começarem a reclamar de pagamentos indevidos e o banco iniciar uma investigação, facilmente apanha o chico-esperto armado em inspector gadget do mau.
É uma história gira mas cá em baixo, no mundo real, não durava muito tempo.
Um TPA é registado para actividades comerciais e associado a uma conta. Para o trabalho e controle que há, não ganhava num mês para pagar os problemas que iria ter. À primeira denúncia, o Banco bloqueava-lhe logo as contas e TPA. Talvez nem uma semana “operasse”
Já percebi que há aqui alguma confusão. Sei que o artigo é já antigo mas talvez valha a pena acrescentar alguns pormenores.
Primeiro de tudo, parece-me pouco provável que um burlão adquira um TPA a um banco para se ligar à SIBS, ande com ele no bolso (pouco prático), e depois ande a ler cartões nas carteiras das pessoas. Como já foi referido, isto é pouco prático, e muito fácil de apanhar (a tal história de arranjar um sem-abrigo para registar uma empresa fictícia etc. parece-me muito pouco plausível dado o elevado risco de falha — o sem-abrigo pode dar à língua — e a complexidade do sistema para cometer fraudes. Ou seja, não é de todo impossível, mas é demasiado complicado e tem muitos pontos de falha.
Uma alternativa mais óbvia seria adquirir um terminal SumUp (https://sumup.pt/) e evitar assim falar com um banco, a SIBS, a Unicre, etc. Os terminais SumUp funcionam lindamente com os cartões portugueses (já experimentei). Não é preciso criar uma empresa fictícia etc. No entanto, a SumUp é uma empresa séria que vai confirmar os dados empresariais de quem adquire os terminais, por isso, logo que começassem a surgir queixas por fraude, eles imediatamente cancelariam o terminal usado para as fraudes e enviariam a informação que têm sobre o cliente à polícia. Claro que esta informação pode ser toda falsa, e pode-se voltar a registar com outros dados, mas mais cedo ou mais tarde também se apanha o «engraçadinho». De notar que o terminal SumUp é fácil de levar numa bolsa mas requer que se «encoste» o cartão ao terminal, pelo que a viabilidade deste método de fraude, tal como andar com um TPA no bolso, é relativamente baixa.
Em terceiro lugar, como também foi referido anteriormente nos comentários, um TPA que leia cartões contactless tem de estar praticamente em contacto com o cartão que se vai «roubar» (e isto é assim de propósito!). Isto não é impossível no Metro à hora de ponta, assumindo que alguém tenha a carteira com o cartão no bolso de trás e que o burlão se «encoste» à potencial vítima; mas não vejo outra hipótese de conseguir uma transacção válida de outra forma. De qualquer das formas, repare-se que o burlão em questão teria de sacar do TPA, introduzir o PIN para o desbloquear, depois meter o valor a roubar (igual ou inferior a €20), voltar a meter o TPA no bolso de trás, e literalmente «encostar o cu» à vítima; nesse momento o TPA iria depois imprimir o recibo, o que, digamos, faz barulho e é um bocadinho suspeito no Metro, mesmo à hora de ponta. Para a vítima seguinte teria de repetir parte do processo. Digamos que levantaria algumas suspeitas…
Muito mais inteligente seria um outro tipo de fraude: «clonar» um cartão existente e usá-lo para compras inferiores a €20. A ideia seria usar um telemóvel topo-de-gama para ler um cartão à distância (ou usar um equipamento apropriado para o fazer — vendem-se nos sites dos chineses por valores entre €10 e €150, dependendo do grau de sofisticação) e depois gravar um cartão em branco com esses dados (cartões em branco vendem-se igualmente nos sites dos chineses por poucos cêntimos cada).
Mas este tipo de fraude é na realidade quase impossível. Os cartões contactless não são assim tão básicos e tão fáceis de «clonar»: existe alguma comunicação entre o TPA e o cartão, usando chaves seguras e informação encriptada: https://www.leak.pt/serao-seguros-os-cartoes-de-pagamento-contactless/
O erro aqui é pensar que o chip contactless é uma espécie de memória que pode ser lida à vontade. Não é bem assim: na realidade, devemos pensar no chip contactless como um pequeno computador, que pode realizar operações mais ou menos complexas, e que só deixa ler aquilo que o banco programou para ser legível; uma parte não legível é aquela que inclui a chave de encriptação usada entre o cartão e o terminal, chave essa só conhecida pelo banco. Um TPA ou um telemóvel (como já foi referido noutros comentários) pode ler toda a informação *pública* que se encontra no chip contactless, mas não tem acesso à informação *privada*. E como este chip é na realidade um pequeno computador, pode muito bem «revelar» apenas aquilo para que foi programado.
Teoricamente, seria mesmo assim possível ler essa informação privada, mas isso já iria requerer acesso a um microscópio de electrões, uma tecnologia que tem pelo menos o tamanho de uma fotocopiadora de grandes dimensões… não é miniaturizável ao ponto de se poder levar no bolso ou na mala! Além disso, o mais barato que encontrei (e que pode não ser apropriado para ler cartões contactless…) custa mais de €1.500 (em 2ª mão), sendo que em média custam dezenas de milhares de euros, ou mesmo milhões para aplicações mais específicas. E não basta ter o microscópio: é preciso ter treino e formação para o operar, e conhecer muito bem a tecnologia contactless para saber exactamente onde procurar a informação privada gravada no chip. Claro está que isto requer a posse física do cartão durante vários dias. Por outras palavras: esqueçam!
Há quem alegue que é teoricamente possível capturar as transmissões de rádio encriptadas que ocorram entre TPA e cartão, e que estas seriam sujeitas a ataques criptográficos de forma a poder lê-las sem conhecer a tal chave privada contida no cartão. Isto é apenas teórico, claro está, e duvido que seja possível de obter «em tempo real», ainda por cima à distância. Os bancos não são parvos e o esquema de encriptação usado por eles é tudo menos trivial e não são conhecidas falhas óbvias no esquema usado que permitam facilmente «quebrar» a encriptação, antes bem pelo contrário. De mais a mais, a comunicação entre TPA e cartão é feita a curta distância, e embora seja teoricamente possível detectar a emissão (que é curtíssima em tempo, estamos a falar de microsegundos) muito para além dos 3-5 cm, isto mais uma vez requer equipamento caríssimo de largas dimensões: por exemplo, um radiotelescópio teria a capacidade de detectar estes minúsculos campos electromagnéticos, mas, mais uma vez, não é algo que caiba no bolso…
Quero com isto dizer que os cartões contactless podem *teoricamente* ser «clonados», pois, como se sabe, em segurança informática não existem sistemas 100% seguros. Mas na prática os métodos que permitiriam *teoricamente* essa «clonagem» não estão ao alcance de um burlão vulgar, não são portáteis, e custam balúrdios.
Mais algumas informações (em inglês): https://security.stackexchange.com/questions/131638/how-can-rfid-nfc-tags-not-be-cloned-when-they-are-passive-technology
É muito mais fácil apontar uma navalha à garganta de alguém e exigir que levante €200 no Multibanco do que clonar cartões…
Em conclusão: seja pela fraude do TPA, seja pela clonagem do cartão, esta «vigarice» é muito menos plausível do que muitas outras; na realidade, o sistema contactless é bastante mais seguro do que os restantes (nomeadamente a banda magnética…). É por isso que os bancos o estão a divulgar: os bancos não são parvos e não gostam de ser roubados, usarão sempre as tecnologias mais robustas que evitem as fraudes e vigarices…
Claro que cada vez é mais difícil de clonar cartões, embora que de quando em vez ouvimos casos de crimes apanhados. Cada vez mais as técnicas tentam antecipar-se ao crime, mas não há impossíveis, mas sim, há quase impossíveis… mas são quase. Já vimos de tudo neste mundo, mas é verdade que hoje estes sistemas estão mais seguros porque a forma de os contornar não é fácil.
Muito obrigado pelo tempo dispendido a compilar esta indormação!
Li tudo e foi muito informativo. Acho que vou usar a função “contactless” do meu novo cartão depois disto.
Como protecção para cobranças indesejadas, tenho dois cartões de transportes públicos com tecnologia “NfcA Mifare Ultralight” que espero que baralhem alguém que me tente cobrar “à distância”.
Só não dá é para evitar que me levem o cartão, mas isso, o dinheiro também não.
Os bancos não perdem nada com essas fraudes! EM portugal é raro o banco que cubra ou honre as garantias dadas pelos “emissores” dos cartões (VISA, MASTERCARD) e preferem “oferecer” SEGUROS, que depois quando vão a ser usados mostram a sua classe! (franquias de 100 euros!). Portanto, é irrelevante para os bancos os problemas que uma pequena parte dos clientes pode ter com o contactless (nomeadamente a perda do cartão e o seu uso por terceiros).
Será que no final de 2022 ainda continuam a achar que ter o seviço contactless ativo está equiparado a celebrar um pacto com o diabo?
Impressionante