Alerta: É possível descobrir dados de um cartão Visa em segundos


Destaques PPLWARE

70 Respostas

  1. joaofra says:

    “é possível calcular os restantes dígitos” fiquei preocupado com isto. Mas no texto original está descrito que a técnica na é de calculo mas sim de tentativa/erro, adivinhação.

  2. Luis Araujo says:

    um dos problemas é não pedirem o Nome, se antes de fazer o teste jogasse o nome com o cartão e negasse ao não corresponder seria mais complicado.
    Seja como for foi colocada a data de validade, já seria necessário saber alguns dados, quem obtém esses dados também obtinha o CCV sem aplicação.

    Cumprimentos

    • Miguel Sousa says:

      O nome tem um problema: não funciona a nível global. Devido aos carácteres especiais de cada língua, não é possível de aplicar em sites internacionais. (Exemplo simples: No Inglês não existe acentuação enquanto que no Francês existem milhões de variações de nomes com acentos.)
      Foi testado nos anos 90, só funcionava na América e Inglaterra.

    • Guiomar says:

      É apenas um vídeo, não mostra tudo o que é possível. O estudo que eles fizeram dizem que conseguem os dados sabendo apenas o número do cartão.

    • GPinto says:

      Isso seria uma barreira de segurança bem imposta, tal como cruzar isso com o numero de tentativas, IP do dispositivo, possivelmente localização também. Há muita que se pode fazer já para dificultar a vida a quem quiser abusar destas falhas.

  3. StormRider says:

    E que tal se usar-mos autenticacao 3D para o nosso cartao VISA ?
    Mesmo que se tenha os dados TODOS do cartao, e independentemente de aonde se esta’ a tentar fazer uma compra online, e’ enviado um SMS para o NOSSO telemovel a pedir a confirmacao e indicando um codigo para tal que tem depois de ser introduzido no sitio onde estamos a fazer a compra.

    • Paulo Jorge says:

      Nem mais, tenho um cartão Visa que já usa autenticação 3-D Secure Visa , antes de finalizar pagamento tenho de mencionar uma password para que o pagamento seja validado.

      • Tiago says:

        Nem todos os sites fazem autenticação 3-D Secure Visa. Não sei o motivo, mas possuo Visa com o 3-D Secure activo e cada vez que faço compras online é tipo roleta russa, umas vezes tenho que inserir a password, outras vezes não.
        O mesmo acontece com os Mastercard que enviam um código de autorização para o telemóvel.

        MBNet é uma óptima solução – novamente, os portugueses na vanguarda – mas não esquecer que é nacional e que os universitários de Newcastle não a podem usar nas suas contas 🙂

        • Guiomar says:

          Não me parece que o MBNet possa ser usado sem que a pessoa seja no mínimo possuidora dum cartão de débito real, ou seja, continua a poder sofrer este tipo de ataque, pois o MBNet não impede que se use os dados do cartão real.

          • Pedro says:

            Não precisa de ter cartão real.

          • Anónimo says:

            Há uma diferença grande entre um cartão de débito (o nosso vulgo MB) com o MBnet e usar directamente um cartão de crédito!

            Adivinhar os dados do cartão de débito não lhe serve de muito para o MBnet, pois precisa é do username e password que lhe permitam gerar cartões de crédito virtuais. Daria sim para ataques directos em terminais físicos (como clonagem de cartões, mas isso é muito mais arriscado para o criminoso do que roubar pela internet).

            Já no segundo, enquanto tiver o cartão está permanentemente exposto para ser abusado online.

          • João says:

            Os cartões de débito não sofrem deste problema porque não os consegues utilizar da mesma forma do crédito. Com 3-D Secure consegues fazer pagamentos mas acho que o exploit não abrange esta tecnologia.

          • Vitor Jesus says:

            Cada cartão MB Net só pode ser usado por um único comerciante, caso seja um cartão de utilização múltipla. Se for um cartão de utilização única ainda mais seguro fica.

          • António Fagundes says:

            O MBNet cria um cartão virtual com plafond bem definido (ex. 30€) e também podemos indicar se o cartão virtual é de utilização única. Se acederem ao cartão virtual já não funcionará.

          • JC says:

            Impede, pois os dados do cartão real nunca circulam na net, além de que cada cartão virtual Mbnet só pode ser utilizado numa compra.

          • Guiomar says:

            JC, estás a extrapolar a vantagem de usar o MBNet nas transações online que realizas, como protecção total para o número do cartão físico em qualquer tipo uso, o que é falso, pois há inúmeras maneiras para se arranjar números de cartões – os cartões continuam a ser usados noutros sítios.
            O que eles mostram é que com poucos dados do cartão conseguem obter os restantes necessários para validar uma compra online.

            o que se passa

            não é preciso o cartão circular na net para

          • Guiomar says:

            bem… são muitos comentários! Parece que não entenderam que o que os investigadores fizeram não necessita de obter cartões usados em pagamentos online, podem ir buscar cartões a outros lados (hacks em bases de dados de lojas físicas, hacks em pontos de pagamento, etc). Em nenhuma parte do que disse fica implícito que se obtém o número real pelo MBNet.
            A pessoa usar o MBNet em compras online não impede que seja na mesma vítima deste tipo de ataque, pois a pessoa tem um cartão real e o MBNet não cria nenhuma protecção para que o cartão real da pessoa não possa ser usado noutras compras online. Dito doutro modo, pensar que se está protegido deste tipo de ataque por usar o MBNet é falso.

          • Guiomar says:

            João, os cartões de débito também podem ser usados em certas lojas para pagamentos online e também podem sofrer este ataque. Eles mencionam explicitamente cartões de débito no estudo em conjunto com cartões de crédito

          • IT Consultant says:

            Tenho conta bancária e há uns meses fiquei sem o cartão de débitopor 15 dias. Automaticameente removeram o acesso ao mbnet.

          • GPinto says:

            Errado. O MBNet é um< cartão virtual, e pode-se criar um sem sequer ter um cartão de crédito ou débito, e não está de forma alguma ligado a um cartão fisico, mas pode-se usar um cartão fisico num Multibanco para gerar um MBNet, no entanto, conforme ja afirmei, não está ligado a um cartão fisico. É um produto já com alguns anos, é muito seguro e fácil de usar.

          • Guiomar says:

            GPinto, estás enganado!
            Deixo-te parte do texto da Caixa Geral de Depósitos sobre como aderir ao MBNet.
            “Na adesão terá de associar um cartão de débito ou de crédito e escolher um código secreto. Na confirmação da adesão receberá a sua identificação.”

          • taz0r26 says:

            Como já mencionaram, o MBNet com finalidade múltipla tem de ser usado no mesmo comerciante o que quer dizer, por exemplo, se usasses o cartão criado para comprar na Fnac já não podias usar na Worten. O millenniumbcp e outros têm um cartão físico para compras online e só colocas o valor que queres usar logo, se precisares de gastar €10 e colocares €11 para dar margem, mesmo que utilizem o teu cartão a quantidade será mínima e dá logo para detectares no sentido que, se for necessário podes cancelar e a perda será baixíssima. Este cartão também só pode ser carregado via homebanking o que ajuda a descartar este tipo de situações. Até hoje tive 0 problemas

          • Guiomar says:

            taz0r26, será que não percebeste que o problema é com os cartões reais e que não é preciso que a pessoa faça compras online para que o seu cartão se possa tornar um alvo deste tipo de ataque?

          • taz0r26 says:

            @Guiomar aparentemente todos nós já percebemos isso. O que pelos vistos não percebes é que o cartão físico que menciono limita os valores que podem usar, levando a que a perda seja bem menor. Entre perderes 500-1000 euros e perderes 10, qual é o pior? Pois.
            Isto hoje em dia quanto menos perda houver, melhor. Até porque neste momento, não nos conseguimos livrar a 100% destes males.

            PS: O que eu e outros dizemos, é que existe formas de se evitar prejuízos altos.

          • Guiomar says:

            taz0r26, tu falas dum cartão físico para compras online (pré-pago) e eu digo:
            “não é preciso que a pessoa faça compras online para que o seu cartão se possa tornar um alvo”
            Ou será que tens apenas, única e exclusivamente, o cartão pré-pago, usando para tudo incluindo compras nas lojas físicas? Não me parece!

    • Miguel Sousa says:

      Isso é demasiado caro, demasiado complicado e não pode funcionar em todo o mundo. Sabia que ao usar o seu cartão numa loja Americana quando cá são 8 da manhã, só mais de 12 horas depois o pagamento é activado? Apesar de o seu banco cativar o valor registado, o pagamento só transita na rede VISA quando o destinatário assim o confirmar. E é esse o ponto que lixa muitas dessas operações. Funcionam muito bem a nível local, são um desastre a nível internacional. Só se você não se importar de ir à América e pagar 3 euros por cada pagamento e pagar mais 2,5 euros por cada vez que precise de fazer um pagamento, para validar o cartão. Já viu a quantidade de dinheiro que iria gastar em comissões e pagamentos do telemóvel?

      • StormRider says:

        Nao pago nada por usar autenticacao 3D.
        O servico e’ prestado pela UNICRE ca’ em Portugal, nao estou a receber nenhum SMS de fora de Portugal.
        O comerciante e/ou a firma que trata dos pagamentos do comerciante nem teem a minima idea de qual e’ o meu numero de telemovel.
        SEMPRE que tenho usado o VISA para compras online no estrangeiro, o sistema pede autenticacao 3D.
        Nao tenho ativado 3D no meu MasterCard e ja’ foi recusado no estrangeiro por isso.

      • GPinto says:

        Esses pagamentos de validação são apenas testes de comunicação entre as entidades financeiras, o valor fica cativo normalmente por um prazo de 24h, mas volta a ser restituido automáticamente. Existe muita confusºão sobre este tipo de transação, mas não passa de um teste para ver se o dinheiro sai do nosso lado e chega ao outro lado, se chegar a compra real é efectivada, senão o nosso banco mantém cativo o montante desse “teste” durante um determinado periodo (normalmente 24h), se durante esse periodo não houver uma aceitação (resposta) da instituição financeira destinatária esse montante é reposto na nossa conta. Esse periodo varia de Entidade para Entidade, indo normalmente de 24 a 72 horas.

    • Sujeito says:

      Usar-mos só se for para mos usares.

    • GPinto says:

      Não se escreve “usar-mos”, mas sim “usarmos”.
      Mas sim, isso é um dos métodos mais seguros, assim como o MBNet que ainda é mais seguro.

  4. JC says:

    A melhor forma de evitar estas fraudes é a utilização do MBnet. É um cartão virtual e que só permite uma única utilização.

    • Slayer says:

      Nem todos os pagamentos online aceitam MB Net
      os mais rígidos e sofisticados rejeitam o cartão.

      • Diogo Alex says:

        Usas o MB Net + Paypal.

        • Slayer says:

          Registas o MB Net como cartão no Paypal é isso?

          Boa ideia 😉

          Tkx mate

          • Diogo Alex says:

            Sim vais criando um cartao basicamente para cada compra. Pelo menos é o que eu faço.

          • APereira says:

            Sim mas depois és bloqueado pelo Paypal por suspeitas de fraude.

          • Sérgio Araújo says:

            Uso este sistema de adicionar cartões virtuais gerados pelo mbnet.pt no paypal há anos e nunca fui bloqueado! De vez em quando convém remover os cartões já utilizados do histórico do paypal…

          • APereira says:

            Depende da quantidade de compras que fazes…

            Tentei usar esse sistema, para além de ter de andar sempre a gerar cartoes cada item comprado (o que é uma chatisse) era bloqueado ao fim de umas 20 compras.
            Tendo em conta que facilmente tenho mais de 20 transaccoes em 2 dias…
            Isto para além de que nunca consegues verificar a tua conta.
            Por isso esquece lá o assunto.

      • Miguel Sousa says:

        Esses não são os mais sofisticados. Os sites que não permitem o pagamento com o MBNET são TODOS os que usam os seus dados para outras funções.
        O cartão do MBNET é um cartão de crédito igual a qualquer um dos outros. A única coisa que não transmite é a sua informação detalhada, coisa que o cartão de crédito transmite (a sua morada, registo civil, identificação bancária e quantas contas tem anexas ao cartão).
        Por isso, se faz pagamentos com o Mbnet e são recusados, não faça compras nesses sites, pois os seus dados estão a ser usados para outras coisas. (A maioria são estatisticas de consultoras financeiras para validarem estudos de mercado… sem gastarem 1 cêntimos e abusam dos dados pessoais.)

      • N'uno says:

        Já uso o MBNet há muitos anos, e nunca tive problemas de rejeição. A única excepção são os sites que requerem o cartão físico. Aconteceu-me isso com uma Rent-a-car, por exemplo.
        Para além das vantagens do MBNet, que nunca revela os dados do teu cartão e está protegido de várias formas, impossibilitando estes acessos trial and guess. usando-o com um PayPal temos o melhor de dois mundos.

    • Guiomar says:

      Pelo o que pude perceber isto não tem nada a ver com o que o dono do cartão VISA (de crédito ou débito) fez ou faz, dando a entender que até pessoas que nem façam compras online podem se tornar vítimas.

      • Miguel Sousa says:

        Desde que tenha um cartão de crédito, pode ser alvo deste esquema.
        Quem usa os dados, não sabe o nome da pessoa… só sabe os dados do banco e balcão.
        Isto veio a lume por causa de uma coisa que aconteceu na Inglaterra, onde uma empresa que fornece cartões de crédito a clientes de uma superfície comercial, viu uma quantidade massiva de cartões a ser usados numa madrugada. Foram mais de 60 milhões de libras que foram usadas para compras e só na manhã de segunda-feira os clientes verificaram que tinham feito compras sem terem usado o cartão em lado nenhum.

  5. José Moreira says:

    Tenho um cartão “carregável”, isto é, está sempre em branco. Quando pretendo fazer uma conta na Net, como sei o calor do produto faço um carregamento. A seguir, faço o pagamento normal. O cartão volta a ficar a zero. Por isso, podem cloná-lo à vontade: não há dinheiro para ninguém.

  6. Filipe says:

    Como já foi referido acima o MBNet resolve este problema, permite definir um valor limite, pode ser limitado a uma única utilização e caduca ao fim de um mês caso não seja utilizado. Para além disso como é possivel emitir vários MBNet por dia, pode-se criar um com o valor exato da compra.

    • Miguel Sousa says:

      Essa é a boa opção. O problema é que isto aplica-se a qualquer cartão de crédito da rede Visa que esteja activo. No caso do MBNET a situação funciona para proteger quem tem cartão de débito… se for de crédito, está sujeito ao mesmo problema.

      • N'uno says:

        Débito e crédito. O MBNet protege os dois, porque é virtual e tem dados diferentes, que não permitem obter os do cartão físico associado. Agora, sendo um número válido na rede Visa, pode sempre ser alvo de um ataque destes, mas com muito poucas possibilidades de sucesso. Já o físico, está sempre sujeito, mesmo que nunca seja usado.

    • Guiomar says:

      Não é só com compras online que alguém obtém o número do teu cartão real.

    • Barbosa says:

      Será que esta gente não percebe que a vulnerabilidade não tem nada ver com compras online mas sim com o facto de ter um cartão visa? …

      • N'uno says:

        O ataque é feito em lojas online, por isso tem tudo a ver com compras online. O cartão “calculado” pelos atacantes pode ser na realidade qualquer visa, real ou virtual, mas o virtual tem outras protecções associadas.

  7. Pedro Coelho says:

    Eu fui alvo de uma burla com um cartão visa. Alguém comprou um jogo num site de uma conhecida marca americana de consolas usando os dados do meu cartão. Quando denunciei a situação fiquei a perceber várias coisas. 1) o interesse do comerciante americano é vender. É meter os dados do cartão e já está. Menos verificações ou burocracias, melhor. Não há sms ou 3d secure… Quando acusei que era uma compra fraudulenta nunca senti neles vontade de anular a venda nem a conta criada pelo (ou do) jogador burlão. 2). A emissora do cartão, perante a resposta do vendedor, considerou-me responsável pela operação. 3). O departamento de investigação e ação penal encerrou o caso apesar eu de ter facultado toda a informação que me foram pedindo (só faltou dar a identificação do criminoso, que, obviamente, não tenho…). 4) todos os intervenientes do processo foram pedindo mais e mais documentação e procedimentos, diligências que fui sempre fazendo… Para nada. Fico com a sensação que era para ver se eu desistia da queixa. E no fim fiquei a ver navios…. Estão a ver aquelas publicidades a compras seguras e seguros do cartão…. Tudo treta. Alguém fez uma compra online usando os dados do meu cartão e eu fiquei na situação de ter que provar que não tinha sido eu, não que alguém tenha provado que tenha sido eu. Nem tiveram que o fazer…. Hoje em dia uso muito menos o cartão e faço muito menos compras online. Quando corre mal o vendedor não quer perder a venda, o banco quer é receber a comissão e a vítima é que fica a arder…

    • N'uno says:

      Há uma prova irrefutável: a morada da entrega. Se for a que está associada ao cartão, e que deveria ser obrigatoriamente verificada, assim como o nome e outros dados do cartão, dificilmente podemos provar que foi outrém. Mas se tiver sido enviada para outro lado qualquer, não deveria ser difícil desmontar essas acusações contrárias! De qualquer forma, eu uso o PayPal sempre que possível, pois nesse estamos mais protegidos.

    • Pérolas says:

      @ Pedro Coelho: realmente é uma situação assustadora e no mínimo desmotivante, uma pessoa é roubada, perde o dinheiro e ainda por cima leva em cima com a atitude de “repartição” em cima… e ainda de queixam que a carneirada não colabora, porque será… Bem, adiante, se follow the money é uma possibilidade o follow the IP devería ser ainda melhor, pois, se foi alguém na “conchichina” a fazer a encomenda então deveria ser +- fácil, para o dono do cartão, provar que não foi ele e que se calhar no dia e na hora a que foi feita a encomenda estava a trabalha, numa reunião, no supermercado ou simplesmente numa repartição a tratar de mai uma chatice . Pois, é isto de ser tudo informatizado,facturação controlada tem destas coisas, fica tudo registado para o bem e para o mal…

  8. Miguel Reis says:

    Uso cartão de crédito porque tem que ser!

    Tenho conta paypal, mas nem todos os sites/comerciantes o aceitam.
    O mbnet, posso estar enganado, mas no meu caso só tem plafond de 500€.

    É uma VERGONHA, que na era da tecnologia, o meio de pagamento mais aceite mundialmente seja o cartão de crédito. A segurança é ridícula. Não há um pin, um código de segurança, um sms, nada…
    É frequente pedirem-nos no check-in nos hoteis por exemplo. Basta uma rápida foto com o telemóvel e já está, todos os dados necessários ficam nas mãos do vigarista. Nos restaurantes, nas portagens, etc, etc, etc.

    A quem é que isto interessa? De certeza que a muita gente, pois caso contrário a coisa já tinha evoluído.

    • censo says:

      Se associares o MBNET ao cartão de crédito, o plafond daquele é igual ao plafond deste se assim o definires. Quanto ao resto, só tens de impedir que o cartão saia da tua vista.

    • taz0r26 says:

      “É frequente pedirem-nos no check-in nos hoteis por exemplo” Podes explicar melhor o que queres dizer com isto? Referes-te à identificação?

      • N'uno says:

        É um procedimento normal nos hotéis, para poderem debitar serviços extraordinários como consumos do mini-bar, refeições no hotel/quarto, etc. É, de facto, um risco…

  9. Joao 2348 says:

    Como já comentei anteriormente no artigo “Portugal: Atenção aos Cartões clonados” https://pplware.sapo.pt/informacao/portugal-ateno-aos-cartes-clonados/
    este problema seria fácil de acabar de vez… este de adivinharem os números, o de clonarem os cartões físicos, de tirarem fotografia aos dados do cartão… a minha solução não previne contudo o furto/ roubo do cartão físico se também souberem o código… mas pela falta do cartão físico já quase toda a gente dá e pode actuar rapidamente! Também não previne a coação, embora fosse fácil colocar um código de coação que ao ser introduzido serviria como sinalização para as autoridades policiais actuarem… teria de ser legislado por causa dos abusos.

    O resumo: cartão que é basicamente um ecrã táctil do tamanho de um cartão de crédito, a pessoa insere o dito dispositivo no terminal (pode ser da loja, do smartphone, do tablet, do computador…) aparece a operação a ser autenticada (com os dados da loja e montante envolvido, na moeda local e convertido na moeda habitual da pessoa… obtido de alguma maneira segura online ou previamente), a pessoa eventualmente escolhe o banco e conta a utilizar para aquela operação, coloca um código e o dispositivo assina digitalmente aquela operação autorizando-a assim.

    A chave digital nunca sai do dispositivo, logo não há nada para “apanhar no ar” ou “extrair”. Assim não há fotografias, furto dos dados de autenticação, adivinhação dos números, clonagem.

    A única coisa a ter cuidado é confirmar a posse do cartão físico, tomar as medidas necessárias para que não vejam o código introduzido (na minha ideia até a posição do código iria sempre variar e o ecrã era feito de maneira a só ser possível ver num determinado ângulo para limitar a captura de imagem por parte de câmaras ocultas/ visíveis) e ABSOLUTAMENTE CONFIRMAR o montante da operação assim como que o nome da loja é mesmo aquele que é exibido no ecrã.

    O cartão seria alimentado pelo próprio dispositivo, para assim se evitar o problema das baterias que iriam tornar o tamanho do dispositivo provavelmente incomportável para utilizar numa carteira.

    Teria ainda uma vantagem adicional: higiene, se for somente a própria pessoa a mexer no cartão existirá menos possibilidades para viroses se espalharem pelos terminais, desde que os terminais estejam concebidos de forma correcta, claro.

    • N'uno says:

      Isso parece-me demasiado elaborado, mas pode funcionar. Outra alternativa seria a utilização de um segundo factor de autenticação, como os que se usam para autenticação online. Os terminais modernos já “falam” NFC, por isso seria bastante fácil impor a obrigatoriedade de utilização de tokens como os gerados por uma yubikey (pen USB e/ou NFC que gera tokens de segurança). Outra alternativa menos sofisticada, que não requer NFC, seria a simples utilização de códigos TOTP com uma app, como o Google Authenticator. Soluções como as que indiquei há muitas…

  1. 7 de Dezembro de 2016

    […] Fonte: Pplware […]

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.