PplWare Mobile

Tem um cartão de débito Contactless? Veja esta vigarice


Vítor M.

Responsável pelo Pplware, fundou o projeto em 2005 depois de ter criado em 1993 um rascunho em papel de jornal, o que mais tarde se tornou num portal de tecnologia mundial. Da área de gestão, foi na informática que sempre fez carreira.

Destaques PPLWARE

  1. censo says:

    Nos cartões que conheço, o possível estrago estará limitado, pois a cada 4 utilizações é pedido novamente o pin do cartão para validar a operação.

    • Pedro says:

      Só se for no próprio dia, porque o meu até à data, nunca me pediu código nenhum…

      • Filipe says:

        O meu também não. Nunca pediu nenhum PIN. Essas 4 utilizações só se forem no mesmo dia.

      • censo says:

        Eu disse bem: nos cartões que conheço. Não conheço todos.

      • Pedro says:

        Uma falha grave do seu Banco, porque a própria SIBS afirma no seu site que ao atingir o limite de 60€ seja ela diária ou não, nesta modalidade a próxima compra só poderá ser efetuada com PIN.

        • Raul says:

          mesmo assim se por acaso formos “roubados” por este método, ao fim de um ano fica em 720€ pelo limite de 60€ como diz o Pedro. Claro que temos de ser aldrabados todos os meses mas não deve ser difícil para quem anda constantemente de metro/centros comerciais/locais com muitas pessoas aglomeradas… já dá para pagar umas férias/pc novo/seguro do carro/…

    • Luis M. says:

      Foi precisamente por esta razão que nunca ativei o pagamento contactless.

      • Miguel says:

        uma pergunta, uma pessoa normal sabe que desapareceu 20€ da sua conta, faz queixa, acho que é obvio de apanhar o ladrao??
        TPA registado em nome de alguem, e conta de destino tambem tem de ser de alguem… ou esta a escapar-me algo??

      • André says:

        Eu tambem nunca ativei e no outro dia um senhor na caixa do supermercado incentivou-me a pagar com o contactless e funcionou..

      • Daniel says:

        Nem activas, vem logo activado. Desde que o cartão em si tenha sido activado então está pronto a ser usado (e por norma só o primeiro cartão de uma conta é que não vem activado, a partir daí as substituições vêm automáticamente activadas).

        Em suma: para não ter contactless só mesmo um cartão que não tenha a tecnologia contactless, não há outra forma (excepto a de cortar a antena como referido neste artigo).

    • Artur says:

      Off-topic Existe uma empresa chamada Eve com um projeto chamado “pyramid flipper” no qual é proposto às pessoas ideias e sugestões para o novo dispositivo da marca (um tablet neste caso). Com isso em mente, tive uma idea semelhante – criar um smartphone que nos orgulhassemos verdadeiramente de ter – seria feito “à medida” e por isso estaria menos suscetível a críticas que muitas vezes nos parecem óbvias em smartphones hoje em dia (por exemplo os materiais utilizados na construção dos Lumias 950 e 950 XL). Criei, por isso, um post no site da Eve onde proponho que todos demos a nossa opinião, sugestões e ajudem na criação de um telemóvel espetacular. Para isto acontecer basta comentarem e demonstrarem interesse na minha ideia no post que fiz. Aguardo o que tenham para me dizer!
      Aqui está o link para o post:
      http://eve.community/t/an-amazing-eve-phone/512?u=artur
      Obrigado!

    • Limonada says:

      em cada 4 utilizações, vão 80 euros ou mais.

    • Pedro Neves says:

      boas noites se fizeres 4 pagamentos seguidos sem tirar extracto nem nada.. vai pedir pin.. 😀 abraço

    • Manuel Flores says:

      O limite é esse, no entanto faz “reset” quando usamos o cartão e introduzirmos o pin. Ou seja, nunca usaste o contactless (paywave etc) mais do que 4 vezes de seguida sem pelo meio pagares da form tradicional com pin ou levantares dinheiro também introduzindo o pin. A lógica disso é que se meteste o pin, o cartão encontra-se supostamente na tua posse e tens mais 4 vezes para usar o contactless. No entanto, não apoio nem acho que esta tecnologia seja algo que deva vir activo nos cartões, estou apenas a expor algo que li.

  2. João MS says:

    Alguém sabe se tendo mais cartões com esta tecnologia na carteira é possível isto acontecer? Eu tenho 3 cartões destes na carteira, 2 multibanco e o passe dos transportes públicos. Se aproximarem o TPA da minha carteira que vai acontecer?

    • Gustavo Santos says:

      Eu tenho 3 cartões com esta tecnologia (ou outra que reage no terminal) e sempre que tentei, porque me aborrecia tirar o cartão da carteira e porque sei que o cartão com o qual quero pagar é o que está mais perto do terminal, não funcionou, diz que não conseguiu ler.

    • Filipe Pereira says:

      Roubam te o passe mensal lol

    • mad says:

      os telemoveis já com NFC podem ler os cartões conctless, é activar o nfc e instalar algum nfc reader no telemovel android neste caso. e já ve qual o cartão que lê.

      • Carlos Gomes says:

        Lê e faz o quê? Nada.

        • Pedro Costa says:

          Directamente não faz nada, é um facto.
          Agora gravando a informação recolhida do cartão original num cartão em branco, tão fácil de arranjar, será que pode usar-se para pagamentos? Não duvido muito que funcione…

        • Pedro NFC says:

          Completamente enganado.

          Sei e “descobri” esta quebra de segurança à cerca de 1 ano quando recebi o meu primeiro cartão com contactless. Sabias que o teu cartão grava através de NFC os últimos pagamentos que fazes por contactless? Nem no banco sabiam isso. Ou negam em comunicar.
          De forma ingénua perguntei no meu banco se através de NFC ficam alguns dados pessoais gravados no cartão, movimentos, etc. No balcão disseram-me que podia ficar descansado que no cartão não fica nada gravado a não ser o número do cartão e códigos de segurança que é comunicado via NFC para o terminal ATM ao qual processa o pagamento. Tretas. Com uma simples aplicação gratuita na Play Store consegui extrair por NFC o extracto dos meus pagamentos feitos por contactless, o nome do banco, Pins Try Left, etc etc e o pior é que consegui clonar toda essa informação para o telemóvel e usar o mesmo num pagamento que testei no LIDL e no Jumbo.

          http://postimg.org/image/ed15b1sh1

          Este extrato foi retirado do meu cartão através de uma de várias aplicações na loja da Google.

          Foram pagamentos que fiz somente com o meu smartphone com o cartão físico no bolso tanto no jumbo como no lido e sem dar um único erro mas vezes que usei. Era como se tivesse a usar o meu próprio cartão.

          Comuniquei o ano passado esta informação a vários bancos nomeadamente à unicre e até à data sem qualquer resposta.

          Eles sabem e sempre souberam que pagamentos por contactless não são seguros seguros.

          A maneira como o tipo do vídeo fez este esquema é totalmente irrisório.

          Não é nada preocupante o que este gajo fez pq é 99% garantido que vai ser apanhado mesmo se não tivesse sido filmado visto que todos os terminais estão associados a uma empresa. Agora se em vez do terminal usares o teu próprio smartphone tens poucas hipóteses em ser apanhado pq ele clona o cartão para o próprio tlm e ao usá-lo numa compra sai da conta do lesado diretamente para o comerciante enqt no caso do terminal atm ainda passa pela empresa associada ao terminal.

          Brevemente coloco aqui um vídeo a fazer uma compra com o meu cartão mas através do tlm.

          Por isso se tiverem um cartão contactless ativo, aconselho a colocá-lo no meio da carteira, dificultando assim a leitura do mesmo por parte de outros equipamentos. A outra solução que uso é colocá-lo no meio de 2 cartões nfc brancos que podem comprar online por menos de um euro.

          • Nuno says:

            Uma dúvida:

            Ao testares isso, nao comprometeste o teu cartao ao utilizares a aplicacao? Quem te garante que nao copiaram os dados e poderao fazer o mesmo que tu fizeste? Por acaso queria testar o mesmo mas nao me apetece muito que os dados do cartao sejam lidos e guardados em algum sitio que desconheço.

            PS: Presumo que utilizaste a app Credit Card Reader NFC (EMV)?

  3. Gustavo Santos says:

    Ainda esta semana contactei com o meu banco por causa disto. Queria baixar de 25 euros para 10, para minimizar estragos caso perca o cartão, mas disseram-me que não é possível alterar este valor, mas que posso simplesmente desactivar o serviço (não é necessário cortar o cartão). E aparentemente também me devolvem o dinheiro perca o cartão e alguém o use… Por isso parece-me bem! 🙂

    • Paulo Martins says:

      Pois tenho ideia que todos os cartões têm um seguro em caso de roubo e haja uso indevido usando o contactless, agora uma burla como esta não seria fácil de realizar em Portugal, para teres um terminal de pagamentos tens que estar registado ou seja até podes roubar mas sabem quem foi, e até por ventura podes apanhar alguém distraído e com a carteira abonada que não dê pela transacção mas não ias ficar rico a roubar desta forma, rapidamente serias apanhado.

      • Gustavo Santos says:

        Não é fácil mas também não é extremamente difícil, basta que o terminal “pirata” não esteja “ligado” a um banco na zona euro mas sim um banco mais manhoso e por defeito o teu banco deixe fazer pagamentos para fora dessa zona sem autorização prévia. Não é comum, mas imagina que porque viajas muito tens os pagamentos fora da zona euro activos…

      • Maria says:

        Quando soube dessa situação, fui ao banco e só os cartões de crédito e que tem seguro, os multibanco não mas, como agora temos que os pagar anualmente vale a pena trocar.

    • Eu says:

      Boas, qual o banco já agora?

  4. Ricardo says:

    A pergunta que me surge logo é:
    Será possível cancelar uma operação de pagamento deste tipo que não tenha sido realizada com o nosso consentimento?

  5. ShadowMan says:

    Por não achar seguro, mal recebi o meu primeiro cartão contactless fui directo ao banco e pedi a desactivação. Fiz o teste e dá negado. Os bancos têm como fazê-lo. Fiz no millenniumbcp, activobank e CGD. Basicamente escrevem uma reclamação no balcão do banco a por em causa a segurança do sistema contactless e exigem a desactivação. Não precisei de cartões novos. Demora 48 horas. Dá “recusado” quando tento usar.
    Assunto resolvido.
    Até ser possível configurar o contactless pelo homem banking para pedir sempre código, independentemente do valor, não vou querer o contactless activado. Os seguros de fraude são uma terrível dor de cabeça para se activar.
    Nada como a prevenção.

    • José Maria Oliveira Simões says:

      No millennium bcp disseram-me que não podiam desactivar. Por isso disse que entregava o cartão para ser anulado. No fim, deram-me um outro sem a funcionalidade Contactless.

    • Joao 2348 says:

      Confirmo o relato de José Maria Oliveira Simões, no MillenniumBCP não é possível desactivar a funcionalidade contactless. Tentei através do BancoMail e disseram-me que não é possível, e ao balcão e com o gerente a mesma coisa.
      Tive que pedir um novo cartão, o único que têm sem contactless é aquele que chamam de “cartão temporário”, que geralmente são entregues no acto de abertura de conta. Fiquei com esse, mas o nome cartão temporário é enganador, porque tem uma validade de 3 anos como outros que eles mandam para casa.
      Seria interessante que eles tivessem a possibilidade de bloquear essa funcionalidade “contactless” no próprio web site, e até de desbloquear caso a pessoa quisesse usar.
      E concordo que utilizar o contactless com um código isso sim, seria o ideal, mas para todas as operações… porque eles dizem que ao fim de 3 operações pede código, mas se colocar o código em qualquer outra operação do cartão sem ser no contactless então não pede! Em teoria podem furtar os dados e andar a usar de vez em quando sem que seja pedido qualquer código, em especial se for na zona territorial habitual onde a pessoa o usa.
      Deve ser possível pois mesmo na movimentação está explícito “contactless” logo devem poder recusar operações pela própria origem do pagamento que eles sabem bem qual é.

      O reclamar é logo uma complicação que considero uma estupidez, porque seria fácil de prevenir o problema… só quem quisesse é que deveria ter.
      É preciso detectar a transacção fraudulenta, é preciso reclamar dentro do prazo que o banco dá, depois mesmo que aceitem a reclamação e devolvam o dinheiro, se eles não pagarem ao comerciante arrisco-me a ter de ir para tribunal provar que não fui mesmo eu que autorizei a transacção… arrisco-me a ficar mal visto no banco se for um alvo recorrente, enfim, só problemas que eu mesmo nem procurei em primeiro lugar.

  6. comum says:

    4 x 20€ multiplicado por 20 pessoas em apenas um dia, já se consegue um bom salário mensal!

  7. Marco says:

    resta dizer que para ter um terminal tem de se estar registado ter conta bancária e toda uma burocracia, como estão a ver o tipo que fizer isto será apanhado.

    • Redin says:

      Era mesmo isto que eu me estava a preparar para comentar. Penso esta notícia pecar por ser demasiado alarmista, visto não compensar que o dono do terminal se exponha desta forma. Mesmo com um terminal roubado, tinha de conseguir o cartão e o pin para ativar esse terminal para o colocar funcional.
      “É para o lado que eu durmo melhor” já que há coisas muito mais importantes para me preocupar, tal com o ramsonware, etc.

      • Alex M. says:

        Por cá usam muito os sem abrigo e os toxicodependentes para compra e venda ilícitas de vários bens, não será difícil pagar a quem não tem nada a perder para abrir uma conta e criar uma empresa fictícia e depois pedir um terminal ao banco e quando forem apanhados o sem abrigo e que se lixa.

        • Carlos Gomes says:

          Sim, é que um banco abria uma conta empresarial e entregava um TPA a um sem abrigo…

          • Alex M. says:

            Devias ver mais vezes reportagem que se faz por cá e sim pegam num sem abrigo, fazem a barba e o cabelo vestem um fatinho e vão com ele ao banco, as finanças e onde for necessário. Os larápios só precisão do contribuinte é Bi do pobre coitado. E já agora um comprovativo de morada e fácil de fazer com um editor PDF já que ninguém vai confirmar.

          • Flávio Ferreira says:

            Sim é o sem abrigo com o bi e o número de contribuinte sem dinheiro sem historial de contas, descontos e não sei mais lá bem o que, vai abrir assim uma conta lool

          • Daniel says:

            Flávio Ferreira, sim, qual a dificuldade? Se for para receber dinheiro, e não dar crédito, qualquer banco fica contente e não faz grandes perguntas. Qual a dificuldade de abrir uma empresa fictícia, pedir um TPA e efectivamente recebe-lo, se o banco irá receber dinheiro com isso sem ter de se preocupar?

            Se fosse pedir crédito aí já se punham a ver melhor… assim não, só precisam que a papelada esteja em ordem e acabou. “ai é para nos dar dinheiro? Então venha já por aqui!”.

          • Mikes says:

            Alex M: grandes invençõs que te contam e tu acreditas.
            Vai lá tu abrir uma conta com alguém sem registo bancários e dpeois conta como foi.

      • Carlos Gomes says:

        Mesmo com um terminal roubado, o dinheiro retirado iria sempre para a conta associada ao terminal, e não para quem o roubou…

    • André says:

      Apanhado é. Falta é saber quanto tempo consegue fazer isso e quanto dinheiro consegue fazer desaparecer.

    • Mário Russo says:

      O terminal até pode ser registado. O “larápio” saca o dinheiro à vontade e a maioria dos donos dos cartões nem sabe onde foi descontado. Os que derem por isso podem reclamar, mas terão de fazer prova de que não o usaram. O larápio pode ter uma chafarrica comercial qq e justificar o desconto com algum serviço ou fornecimento. Mesmo que possa depois ter de apresentar uma nota fiscal, mas isso é outra coisa, só vai dar dor de cabeça.

  8. paulo says:

    Mas ha bolsas que isolam os cartoes… Pra que estar a corta.los…

  9. Blackbit says:

    Podem também pedir cartao MB sem isso no vosso banco, pelo menos o BPI tem essa possibilidade.

  10. David Ferreira says:

    Por acaso tive de desligar o nfc do meu telemóvel porque sempre que passada sobre a minha carteira o telelecas apitava

  11. Francisco Almeida says:

    Um gajo não pode dizer que está bem em lado nenhum. A informação é mesmo a melhor arma mas estes tipos nem dormem a engendrar estes esquemas.

  12. Zecas200 says:

    Vale a pena ler este artigo. Não é recente mas elucidativo do risco de ter um cartão destes.

    http://www.forbes.com/sites/thomasbrewster/2015/02/18/android-app-clones-cards/#22aa4e3361d4

  13. vector says:

    Obrigado pelo alerta e possível solução!

  14. Boss says:

    Carteiras que isolem o sinal.

  15. Manuel says:

    Basta meter papel de alumínio a volta do cartão, problema resolvido! Tentem e vão ver se aquilo le alguma coisa.

    • says:

      Boa!
      O objetivo desta tecnologia é aliviar o trabalho de escrever o PIN e vamos perder tempo a desembrulhar a “sandes” do aluminio. Depois o aluminio rasga e temos de arranjar outro…
      A tecnologia é insegura, ponto.

  16. Humberto says:

    Eu uso bastante desde que descobri que o meu cartão tem isso! Não acho nada inseguro. Com os cartões bancários, e de transporte que tenho na carteira com esse sistema, tenho a certeza que baralha o sinal todo.

  17. Pedro says:

    Que tal trazer o cartão embrulhado em folha de alumínio! hehe

  18. David says:

    estão-se a esquecer que a primeira compra no comerciante tem de ser feita com PIN, apenas as seguintes podem ser feitas por contactless.

  19. Casy says:

    Para que o cartão funcionar no terminal ATM e necessário que já se tanha colocado o código PIN no ATM uma vez, depois podemos utilizar o cartão 4x ate um valor máximo de 60€ e depois e necessário colocar o PIN outra vez, por isso se uma pessoa passar com ATM perto do meu cartão só funciona se eu tiver posto la uma vez o código PIN

  20. JA says:

    Já foi aqui dito nos comentários, basta comprarem uma carteira que isola o cartão do campo electrónico gerado pelo TPA (ou POS). Assim cortam o mal pela raiz e evitam ficar sem contacless, ao contrário da solução sugerida na noticia.
    Relativamente a ficarem sem o dinheiro, com os cartões emitidos aqui em Portugal não é verdade. Basta reclamarem e o Banco é obrigado a assumir o extravio do dinheiro, mas isto não vos é dito ao balcão de muitos bancos. Naturalmente terá de existir uma análise, não é imediato. Reparem que na transacção tem de existir um comerciante associado (e registado) e por ai consegue-se perceber para onde foi o dinheiro.

    Mais, no Reino Unido é e continuará a ser possível fazer transacções Contaless em modo OFFLINE. Este modo tem a bondade de permitir ao cliente fazer uma(s) compra(s) mesmo que não existam comunicações, evitando ficar pendurado. Em Portugal, se não está agora será num futuro próximo, as transacções só serão aceites em ONLINE (motivos de seguranças são uma parte da explicação).

    Por último, e se tiverem a oportunidade de escolherem o Scheme, escolham Mastercard. É um pouco mais seguro que VISA…

  21. Limonada says:

    Eu recebi no final do ano o meu cartão do género, nem o ativei. Fui o entregar ao banco. E pedi um cartão sem esta funcionalidade.

  22. André Kanas says:

    Eu também não sou muito adepto desta prática, mas confesso que já a usei várias vezes devido à (grande) facilidade que é o pagamento. Quando dou por mim em vez de estar a colocar o pin já estou eu só a passar o cartão… eheh 🙂

  23. José Martins says:

    Mas será que estou a ficar maluco ou o povo já não sabe o que fazer quando é roubado? Se aparecer uma quantia debitada no meu cartão que eu não paguei, fui roubado. Se fui roubado apresento queixa. Se apresento queixa o dono da conta associada ao TPA é o ladrão. Só um idiota é que usaria este sistema para roubar, deixando sempre a assinatura, ou estou errado? Esclareçam-me por favor.

    • Rufolfo says:

      Parece-me que não estas a perceber: A ideia é EVITAR ser roubado. Se bem que possa ser impossível, por mais cuidados que se tenha, pode-se reduzir essa probabilidade, em particular, não tendo cartões contactless que em boa verdade não servem para nada! Se quem te rouba corre o risco de ser apanhado ou não, já não te diz respeito. Cada ladrão sabe de si.

    • Sérgio E. says:

      Por essa lógica, vais começar a deixar a porta de casa aberta. Se alguém te assaltar a casa, foste roubado. Se foste roubado, apresentas queixa. Se apresentares queixa, a polícia investiga e pode apanhar o ladrão. Só um idiota rouba casas…

      • iDroid says:

        Há uma falácia nesse raciocínio. Para assaltar uma casa o ladrão deixa automaticamente alguma prova que o ligue a uma conta? É que com o TPA isso inevitavelmente acontece…

    • José Maria Oliveira Simões says:

      Pois, a ideia é mesmo não ser roubado. Não é depois de casa roubada que se põe trancas à porta. Ou pelo menos, não deveria ser.

    • eu says:

      e se eu falsificar o nome

  24. LondonMan says:

    Vivo em Londres, todos os meus cartões são contactless, faço pagamentos a alguns anos, todos os dias. A validacao do pagamento exige que o cartao encoste ao terminal, por vezes com dificuldade. Nos transportes publicos por vezes causam transtornos, pois demoram a validar. Pior sao os pagamentos por nfc, cartoes programados no telemovel, tenho que raspar bem nos leitores para validar.

  25. Rui says:

    Não quero desiludir os mais convictos em teorias de conspiração, mas não há um único cartão contactless bancário em Portugal que possa ser usado sem ter inserido o PIN na primeira vez que se tenta fazer um pagamento com esse método.
    Portanto, escusam de andar a pedir para desativar cartões e blablabla, simplesmente não usem nunca essa funcionalidade, e nunca vai ser possível alguém roubar o que quer que seja. Sem o PIN 🙂

    • Vítor M. says:

      Deixa-me só dizer que o que dizes não é verdade e para isso deixo este link que mostra que existem sim cartões no nosso mercado: http://ind.millenniumbcp.pt/pt/Particulares/Cards/Pages/Cartoes-de-Debito-Contactless.aspx

      • Rui says:

        Não me leves a mal, mas podias ter lido o texto todo

        “A tecnologia Contactless é ativada após a realização de uma transação com PIN, permitindo efetuar pagamentos até 20 €, bastando aproximar o cartão a um leitor TPA Contactless.”

        E isto serve para todos, sem excepção. É obrigatório, na primeira transação contactless, inserir PIN. Em todos.

      • Rui C. says:

        Vítor, parece-me que o Rui não disse que não há cartões contactless em Portugal. O que ele disse é que não há cartões contactless em Portugal que possam ser usados sem se inserir o PIN na primeira vez que se tenta fazer um pagamento com esse método. Isso deixa-me mais seguro uma vez que não pretendo usar essa funcionalidade.

        • Vítor M. says:

          Bom, percebi que não havia cartões sem contactless com a funcionalidade de não ser necessário o PIN. O que é necessário é a activação do serviço, colocando uma única vez o PIN, depois até aos limite de 20 euros, é um cartão contactless convencional. Foi por isso que coloquei essa informação, e também para as pessoas conhecerem as informações disponíveis nas instituições bancárias.

  26. Joao 2348 says:

    Mal recebi o novo cartão com isso tentei trocar mas o banco diz que não tem nenhum novo que não tenha isso, então fui ao eBay comprar uma protecção para o cartão multibanco e funciona! Pelo menos quando está dentro da capa.
    Quem tiver interessado procure por “koruma RFID Blocking 100% sleeve credit debit contactless card holder” no eBay… comprei dois e ficou em £6.67 (+/- €8.56) com portes, veio do Reino Unido. Só precisava de um, o outro é se o material estraga-se rapidamente ter outro, mas até parece ter qualidade e já lá vão quase 10 meses desde que comprei.
    Também existem produtos chinocas, mas não estava convencido que tivessem boa qualidade…

  27. R!cardo says:

    Expliquem-me uma coisa, se esta tecnologia funciona com contacto como é que vão roubar o dinheiro sem haver o contacto do cartão com o terminal?

  28. João Silva says:

    Já é antigo, mas se não corrigiram durante estes anos o problema…

    you tube:

    /watch?v=4qjMm_texSo

    /watch?v=lLAFhTjsQHw

  29. Boss says:

    “deverá aproximar o cartão da máquina de pagamento (cerca de 4 cms) e o sistema reconhecerá e aprovará o pagamento.”

  30. Antonio says:

    Bom dia, É SIMPLES se isto começar acontecer..basta receber um sms no tlm por cada utilização. Assim a pessoa saberá no próprio momento o que lhe estão a retirar do cartão.

  31. Pedro says:

    E eu a pensar que aquele dinheiro que sai da conta todos os meses fosse comissões do banco!! Se calhar é o contactless a ser burlado…
    De qualquer das formas é roubo…

  32. PG says:

    Por acaso o banco no qual trabalho foi dos primeiros a introduzir essa tecnologia na sua oferta de cartões, pouco tempo depois (alguns meses) descontinuou essa funcionalidade, sempre achei estranha essa atitude e fiquei sempre com a ideia que teria algo a ver com alguma falta de segurança do sistema.

  33. PC says:

    Por acaso, o cartão contactless pede pin sem avisar…ou seja, não importa o número de vezes…basta que o sistema encontre algum problema. Mas já há carteiras feitas com material das embalagens da FedEx ou da Amazon que são anti-magnéticos…ou seja, protegem os cartões. Procurem na web…Slimfold!

  34. Rodrigo Costa says:

    Tomara que esta tecnologia nunca chegue no Brasil, pois aqui dá para se ter uma maquininha sem ter conta em banco, qualquer um compra e os valores apurados na transação, podem ser direcionados para um cartão na função de crédito. Do jeito que temos hoje, há a necessidade de se colocar o cartão com chip dentro da máquina e digitar a senha cadastrada para efetuar a transação.

  35. Bejense says:

    Tenho um cartao desses e ontem, para meu espanto, no continente ia a colocar o cartao no terminal e a caixa disse: deixe estar q ja pagou (menos 20€), e nunca tinha activado esta funcionalidade.

    Não acredito que esta funcionalidade não tenha uma protecção simples como SO AUTORIZAR OS PAGAMENTOS EM VENDEDORES EM QUE JÁ TENHA INTRODUZIDO O PIN ANTERIORMENTE (e que essa “autorização” caduque ao fim de x meses e tenha de voltar a “autorizar” o comerciante) ou Algo que produza o mesmo efeito.

    Vamos acreditar que quem implementou o sistema não é parvo 🙂

  36. RM says:

    Se colocarem esses cartões numa carteira com revestimento de chumbo deve resolver o problema, não ?

  37. JóJó says:

    Parece-me extremista cortar o cartão quando já carteiras e ‘porta cartões’ que permitem proteger o cartão (e o seu dono) de interacções não intencionais (por parte do dono do cartão).

  38. Bkz says:

    Enquanto técnico de TPA sei muito bem que está situação pode acontecer a qualquer momento. A funcionalidade contactless assim que ativa nos cartões permite que sejam feitas duas compras de baixo valor (igual ou inferior a 20€) sem que seja usado o PIN do cliente, simplificando, apenas por “encosto” do TPA ao cartão.

    Os clientes não tinham essa noção e muitos continuam a não saber, é um risco para a segurança das pessoas porque, muitas vezes nos estabelecimentos basta estar alguém ao pé… E faz essas compras sem autorização do pagador de forma automática.

    As novas tecnologias têm sempre uma possível má utilização. As pessoas devem ser informadas atempadamente, porque tal como este… Muitos outros podem adquirir um TPA e se pôr à espreita de incautos…

  39. Lino Oliveira says:

    Esta empresa produz carteiras com proteção para os cartões contactless:
    https://www.secrid.com/pt/

  40. luislelis says:

    Uso o sistema de contacto ja la vao uns anos e so tenho a dizer bem. Mas….. todo o cuidado e pouco para um pobre.
    Vantagem?
    Nao tens de “expor” o cartao a outra pessoa do outro lado. (webcams e clonagem deixam de fazer negocio) roubo do cartao sem o codigo nao tem muito valor (ate tem mas passemos a frente).

    Penso que o maior problema nao esta nas 30 libras que podem ser levantadas. O indice de frau e muito mais baixo do que qualquer outro sistema. (para terem uma ideia circulam neste pais aproximadamente 60 milhos desses cartoes).

    Onde esta o perigo entao?
    O perigo vem dos dados do cartao poderem ser lidos e decifrados facilmente e com equipamentos baratos.
    Ou seja. a informacao que passa “no ar magnetico” , alguns cartoes( nao todos), pode ser lidos a metros de distancia e nao centimetros.

    Numero do cartao e data de validade passam no ar(codifo de seguranca nao e transmitgido) , e sao suficientes para fazer compras online, em lojas que nao exigem codigo de seguranca. (ha muitas)
    Obviamente que nao e qualquer tosco que consegue fazer isso. E mais tarde ou mais cedo e apanhado pq e tracado electronicamente.
    Mudar para cartao sem contacto nao resolve problema nenhum apenas perpetua os existente.

    Nao conheco o sistema portugues, como tal nao o vou comentar (embora duvide que seja diferente do resto do mundo. Afinal o sistema nao e portugues ,sendo regulado por norma europeia e insternacionais).

    Aqui no UK, por lei, cabe ao banco repor o dinheiro imediatamente havendo suspeita de fraude. (eu sei em portugal podem esperar sentados (cada um recebe aquilo que vota hehehe))

    Em minha opiniao acho melhor porque ha menos olhos no meu cartao.

    Desculpem o alongamento.

    http://www.theguardian.com/money/2015/jul/23/contactless-card-is-too-easy-says-which

  41. marco says:

    O engraçado e aparecer um cartao da CGD na imagem e a mesma nao comercializar esses cartoes
    ..

  42. Joaquim says:

    Isso do contactLess é um perigo. Sempre tive o medo de alguma vez perder a carteira, porque o meu cartão tem essa funcionalidade. E o que permite é fazer gastos acho que até 20€ 3 vezes por dia, sem pin.
    Agora essa de alguma pessoa comprar um terminal e aproximar das pessoas para sacar dinheiro é nova. Meter folha de aluminio ou comprar uma carteira de metal.

    E coisa que não sei, é que como o contactless responde ao NFC, que dados é que ele transmite. É que se transmite número de cartão, data de validade e ccv(os 3 numeros na parte de tras), isso é suficiente para criar um clone ou fazer compras online..

    Solução, pegar num x-ato e cortar isso da antena que tem pouca utilidade em portugal. ou até nenhuma.

    • Gustavo Santos says:

      Como é óbvio não transmite nada do que dizes. Se tiveres um telemóvel com NFC podes instalar uma app para ler o teu cartão e veres o que contem.

  43. PGR says:

    @marco, tenho aqui o meu CGD com contactless…

  44. Acoiematoia says:

    Esse cartão ilustrado na notícia é mesmo real?
    Do Pedro? Se for é melhor tirarem os números e código de segurança .. não va alguém fazer compras na internet com ele…

  45. marco says:

    A próxima inovação vão ser os cartões contactless com interruptor! 🙂

  46. Alex says:

    É por isso que eu guardo o meu cartão numa bolsa especial anti-NFC.

  47. Francisco says:

    Não acredito muito nesta noticia. Trabalho com este sistema e muitas vezes nem a 1cm de distância funciona, tem que ficar mesmo encostado ao trabalho.

    • José says:

      Já trabalhei com cartões contactless e sei que funciona… Depende muito do”poder” da antena que está a ler o cartão. Mesmo tendo vários cartões como já refereriram, pode dar erro mas pode também conseguir comunicar com um dos cartões.

  48. Francisco says:

    *Encostado ao tpa

  49. MMM says:

    Um TPA não é algo que se compre no chinês da esquina, é preciso ter uma empresa ou ser empresário em nome individual, fazer um contrato e associá-lo à uma conta bancária. Se começarem a reclamar de pagamentos indevidos e o banco iniciar uma investigação, facilmente apanha o chico-esperto armado em inspector gadget do mau.
    É uma história gira mas cá em baixo, no mundo real, não durava muito tempo.

  50. José Cruz says:

    Um TPA é registado para actividades comerciais e associado a uma conta. Para o trabalho e controle que há, não ganhava num mês para pagar os problemas que iria ter. À primeira denúncia, o Banco bloqueava-lhe logo as contas e TPA. Talvez nem uma semana “operasse”

  51. Luís Miguel Sequeira says:

    Já percebi que há aqui alguma confusão. Sei que o artigo é já antigo mas talvez valha a pena acrescentar alguns pormenores.

    Primeiro de tudo, parece-me pouco provável que um burlão adquira um TPA a um banco para se ligar à SIBS, ande com ele no bolso (pouco prático), e depois ande a ler cartões nas carteiras das pessoas. Como já foi referido, isto é pouco prático, e muito fácil de apanhar (a tal história de arranjar um sem-abrigo para registar uma empresa fictícia etc. parece-me muito pouco plausível dado o elevado risco de falha — o sem-abrigo pode dar à língua — e a complexidade do sistema para cometer fraudes. Ou seja, não é de todo impossível, mas é demasiado complicado e tem muitos pontos de falha.

    Uma alternativa mais óbvia seria adquirir um terminal SumUp (https://sumup.pt/) e evitar assim falar com um banco, a SIBS, a Unicre, etc. Os terminais SumUp funcionam lindamente com os cartões portugueses (já experimentei). Não é preciso criar uma empresa fictícia etc. No entanto, a SumUp é uma empresa séria que vai confirmar os dados empresariais de quem adquire os terminais, por isso, logo que começassem a surgir queixas por fraude, eles imediatamente cancelariam o terminal usado para as fraudes e enviariam a informação que têm sobre o cliente à polícia. Claro que esta informação pode ser toda falsa, e pode-se voltar a registar com outros dados, mas mais cedo ou mais tarde também se apanha o «engraçadinho». De notar que o terminal SumUp é fácil de levar numa bolsa mas requer que se «encoste» o cartão ao terminal, pelo que a viabilidade deste método de fraude, tal como andar com um TPA no bolso, é relativamente baixa.

    Em terceiro lugar, como também foi referido anteriormente nos comentários, um TPA que leia cartões contactless tem de estar praticamente em contacto com o cartão que se vai «roubar» (e isto é assim de propósito!). Isto não é impossível no Metro à hora de ponta, assumindo que alguém tenha a carteira com o cartão no bolso de trás e que o burlão se «encoste» à potencial vítima; mas não vejo outra hipótese de conseguir uma transacção válida de outra forma. De qualquer das formas, repare-se que o burlão em questão teria de sacar do TPA, introduzir o PIN para o desbloquear, depois meter o valor a roubar (igual ou inferior a €20), voltar a meter o TPA no bolso de trás, e literalmente «encostar o cu» à vítima; nesse momento o TPA iria depois imprimir o recibo, o que, digamos, faz barulho e é um bocadinho suspeito no Metro, mesmo à hora de ponta. Para a vítima seguinte teria de repetir parte do processo. Digamos que levantaria algumas suspeitas…

    Muito mais inteligente seria um outro tipo de fraude: «clonar» um cartão existente e usá-lo para compras inferiores a €20. A ideia seria usar um telemóvel topo-de-gama para ler um cartão à distância (ou usar um equipamento apropriado para o fazer — vendem-se nos sites dos chineses por valores entre €10 e €150, dependendo do grau de sofisticação) e depois gravar um cartão em branco com esses dados (cartões em branco vendem-se igualmente nos sites dos chineses por poucos cêntimos cada).

    Mas este tipo de fraude é na realidade quase impossível. Os cartões contactless não são assim tão básicos e tão fáceis de «clonar»: existe alguma comunicação entre o TPA e o cartão, usando chaves seguras e informação encriptada: https://www.leak.pt/serao-seguros-os-cartoes-de-pagamento-contactless/

    O erro aqui é pensar que o chip contactless é uma espécie de memória que pode ser lida à vontade. Não é bem assim: na realidade, devemos pensar no chip contactless como um pequeno computador, que pode realizar operações mais ou menos complexas, e que só deixa ler aquilo que o banco programou para ser legível; uma parte não legível é aquela que inclui a chave de encriptação usada entre o cartão e o terminal, chave essa só conhecida pelo banco. Um TPA ou um telemóvel (como já foi referido noutros comentários) pode ler toda a informação *pública* que se encontra no chip contactless, mas não tem acesso à informação *privada*. E como este chip é na realidade um pequeno computador, pode muito bem «revelar» apenas aquilo para que foi programado.

    Teoricamente, seria mesmo assim possível ler essa informação privada, mas isso já iria requerer acesso a um microscópio de electrões, uma tecnologia que tem pelo menos o tamanho de uma fotocopiadora de grandes dimensões… não é miniaturizável ao ponto de se poder levar no bolso ou na mala! Além disso, o mais barato que encontrei (e que pode não ser apropriado para ler cartões contactless…) custa mais de €1.500 (em 2ª mão), sendo que em média custam dezenas de milhares de euros, ou mesmo milhões para aplicações mais específicas. E não basta ter o microscópio: é preciso ter treino e formação para o operar, e conhecer muito bem a tecnologia contactless para saber exactamente onde procurar a informação privada gravada no chip. Claro está que isto requer a posse física do cartão durante vários dias. Por outras palavras: esqueçam!

    Há quem alegue que é teoricamente possível capturar as transmissões de rádio encriptadas que ocorram entre TPA e cartão, e que estas seriam sujeitas a ataques criptográficos de forma a poder lê-las sem conhecer a tal chave privada contida no cartão. Isto é apenas teórico, claro está, e duvido que seja possível de obter «em tempo real», ainda por cima à distância. Os bancos não são parvos e o esquema de encriptação usado por eles é tudo menos trivial e não são conhecidas falhas óbvias no esquema usado que permitam facilmente «quebrar» a encriptação, antes bem pelo contrário. De mais a mais, a comunicação entre TPA e cartão é feita a curta distância, e embora seja teoricamente possível detectar a emissão (que é curtíssima em tempo, estamos a falar de microsegundos) muito para além dos 3-5 cm, isto mais uma vez requer equipamento caríssimo de largas dimensões: por exemplo, um radiotelescópio teria a capacidade de detectar estes minúsculos campos electromagnéticos, mas, mais uma vez, não é algo que caiba no bolso…

    Quero com isto dizer que os cartões contactless podem *teoricamente* ser «clonados», pois, como se sabe, em segurança informática não existem sistemas 100% seguros. Mas na prática os métodos que permitiriam *teoricamente* essa «clonagem» não estão ao alcance de um burlão vulgar, não são portáteis, e custam balúrdios.

    Mais algumas informações (em inglês): https://security.stackexchange.com/questions/131638/how-can-rfid-nfc-tags-not-be-cloned-when-they-are-passive-technology

    É muito mais fácil apontar uma navalha à garganta de alguém e exigir que levante €200 no Multibanco do que clonar cartões…

    Em conclusão: seja pela fraude do TPA, seja pela clonagem do cartão, esta «vigarice» é muito menos plausível do que muitas outras; na realidade, o sistema contactless é bastante mais seguro do que os restantes (nomeadamente a banda magnética…). É por isso que os bancos o estão a divulgar: os bancos não são parvos e não gostam de ser roubados, usarão sempre as tecnologias mais robustas que evitem as fraudes e vigarices…

    • Vítor M. says:

      Claro que cada vez é mais difícil de clonar cartões, embora que de quando em vez ouvimos casos de crimes apanhados. Cada vez mais as técnicas tentam antecipar-se ao crime, mas não há impossíveis, mas sim, há quase impossíveis… mas são quase. Já vimos de tudo neste mundo, mas é verdade que hoje estes sistemas estão mais seguros porque a forma de os contornar não é fácil.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.