Sai, chupa-cabra! Como a tecnologia do cartão de crédito te salva de golpes

Helton Simões Gomes
Do UOL, em São Paulo

  • Arte/UOL

Olhando de fora, cartões de crédito e débito são apenas pedaços de plástico. Mas é com eles que você tem de contar para seu rico dinheirinho não ir parar no bolso de golpistas. Se no passado, a tecnologia de proteção se resumia às fitas magnéticas, o surgimento de chupa-cabras os fizeram ganhar chips - calma, estamos falando das máquinas que "chupavam" dados para clonar cartões. Só que não parou por aí: há outras camadas de proteção desde que você responde a "é crédito ou débito?" até ouvir "quer sua via?".

Se você olhar um cartão de crédito ou débito, verá que ele possui uma fita preta nas costas e, muito provavelmente, um microchip na frente. O primeiro elemento está lá, mas praticamente caiu em desuso.

O mercado brasileiro praticamente não usa tarja magnética

Daniel Marchetti, coordenador do comitê de segurança e prevenção a fraudes da Abecs (Associação Brasileira das Empresas de Cartões de Crédito e Serviços)

Essa trilha contém uma série de informações, como número do cartão, nome do portador e data de validade. Mas ela era e é um prato cheio para criminosos. O motivo? Os dados são transmitidos por meio de indução magnética exatamente como estão armazenados nela.

VEJA TAMBÉM:

"Os fraudadores começaram a copiar as trilhas com os famosos chupa-cabras, que existem desde a década de 90. Captavam toda informação da trilha magnética para fazer um clone daquele cartão", diz Marchetti, que também é diretor de prevenção à fraude da Mastercard.

Ele conta que o nível de fraude era tão alto de fraude que, nos anos 2000, as empresas brasileiras passaram a adotar chips em cartões de forma massiva. O novo elemento trouxe, pelo menos, duas camadas adicionais de segurança: passou a enviar mais dados no momento da transação e a embaralhá-las.

Quando você compra pastel na esquina e paga com cartão, envia ao banco, além de dados cadastrais, diversas informações, como um contador único de transação, valor da compra, data e estabelecimento. Eles são comparados com um histórico de transação que o banco possui a seu respeito. Se não bater, tem problema aí.

Além disso, os dados recebem um banho de criptografia. Ou seja, são embaralhados para impedir que alguém os intercepte no meio do caminho. Não se preocupe que o banco possui a chave para decifrar o sigilo. Essas duas características combinadas fazem com que os dados enviados a cada transação sejam únicos.

"Mesmo que obtenha as informações daquela transação, se o fraudador tentar replicar isso para outra operação, não vai conseguir, porque não pode replicar os dados de tempo e valor utilizadas para cálculo desse criptograma", diz Marchetti.

Com essa tecnologia, introduzida há quase 20 anos, até hoje nenhum fraudador conseguiu clonar um cartão 'chipado'

E olha que seus dados passam na mão de diversas empresas. Funciona assim:

  1. Depois de espetar o cartão na máquina, você é convidado a colocar a senha para atestar que é realmente o dono.
  2. A partir daí, seus dados são convertidos em sinais e transmitidos via rede de celular aos donos das máquinas leitoras às credenciadoras.
  3. Essas empresas, que gerenciam o cadastro de lojas que aceitam cartões, acionam a bandeira do cartão, como Visa, Mastercard ou American Express. São elas que definem as diretrizes do cartão, como número de parcelas e onde o plástico é aceito, tanto no Brasil quanto no exterior;
  4. A bandeiras se comunicam com o emissor do cartão, geralmente um banco, mas que pode ser uma rede de varejo, companhia aérea ou até posto de gasolina.
  5. O emissor do cartão vai verificar se sua situação financeira está de acordo com a transação: vai verificar validade do cartão, se possui saldo ou se tem alguma restrição de crédito de qualquer natureza. Com isso em mãos, decide se aprova ou não a compra;
  6. A resposta vai para a bandeira e daí em diante até piscar na maquininha de cartão que você está segurando.

Tudo isso parece complicado, certo? Saiba que demora de três segundos e meio a 4 segundos, diz Marchetti. E que ainda é possível deixar tudo mais rápido. Como a indústria está adotando a tecnologia de pagamentos "sem contato", essa maratona dos dados pode chegar a 1 segundo.

Com ela, os cartões não precisam ser inseridos ou esfregados na maquininha. Basta aproximá-los, e seus dados são transmitidos via radiofrequência para o coletor. Para ficar ainda mais rápido, algumas transações nem exigem senha. Isso ocorre com compras abaixo de R$ 50, graças a um protocolo fixado pela indústria.

Arte UOL

Já parou para pensar como funciona? Entenda a tecnologia por trás das coisas do nosso dia a dia!

Leia mais

Okay, até agora todas as compras tratadas aqui foram feitas ao vivo. Mas e aquelas feitas online?

"No momento em que a transação é feita, o número do cartão é 'tokenizado', ou seja, há uma mudança do número. Quando chega à bandeira, ela faz a mudança reversa, envia pro banco e ele avaliza se aprova ou não", explica Marchetti.

Isso tira um pouco a relevância daquele dado. Se um fraudador tiver acesso a um desses números, ele não vai conseguir usar, pois o token é válido só para aquela transação

VEJA TAMBÉM:

Nas compras pela internet, como as que feitas por smartphones, é possível ainda fazer a autenticação ser feita com algo que só você tem. Sai a senha, e entra a biometria. Ou seja, os dados do seu cartão só são enviados se o seu rosto ou sua impressão digital forem captados pela câmera do celular. Isso dificulta a vida dos fraudadores, já que eles têm de replicar detalhes únicos que só você tem.

A ideia é deixar de ter informações que são fixas e ter informações que variam, por causa da criptografia, ou são impossíveis de serem replicadas, como as da biometria

O próximo passo da indústria é usar como "senha" algumas informações que possam identificar você sem que você note. Para isso, estão investindo em sistemas de inteligência artificial que identifiquem traços de comportamento que só você tem, como a inclinação com que você usa o celular, o tamanho do dedo com que você toca a tela e a forma como navega no aplicativo.

"Já estamos usando métodos de autenticação que conseguem fazer esse reconhecimento silencioso", diz Marchetti.

Mas as senhas ainda não foram totalmente aniquiladas. "Quando não tem segurança total [de que é a pessoa], o sistema pode solicitar uma autenticação adicional do portador." Ou seja, está longe o dia em que vai morrer o "Pode inserir sua senha por favor".

Últimas notícias Ver mais notícias