Uma das prendas mais populares, sobretudo durante o Natal, é o cartão-presente (gift card) que as lojas disponibilizam aos seus clientes. Trata-se de um cartão pré-pago, com uma quantia definida, que pode ser usado para fazer compras numa loja ou em serviços. Segundo a ESET, a popularidade destes cartões não passou ao lado dos cibercriminosos, que já têm uma indústria fraudulenta dedicada a apanhar os mais desprevenidos neste tipo de produto.

A especialista em cibersegurança diz que os hackers têm diversas táticas para monetizar dados roubados em cartões-presente. Umas utilizam técnicas de engenharia social, outras baseiam-se em esquemas com bots, baseadas em roubo de informações (infostealers), que em Portugal aumentou 29,6% entre o primeiro e segundo quadrimestre do ano. Algumas iniciativas utilizam os cartões como isco para enganar os consumidores a fornecerem as suas informações pessoais e financeiras sensíveis, outras envolvem vascular digitalmente o emissor dos cartões por informações.

A ESET salienta que, apesar de serem cómodos nas compras online ou em lojas físicas, os cartões-prenda também apresentam riscos, por não terem as mesmas proteções que um cartão bancário tradicional. Deverá estar assim atento às estratégias utilizadas nos ataques, que a empresa lista como principais:

1 – Deve estar atento a contactos que cibercriminosos que se fazem passar por autoridades legítimas do Governo, fornecedores de serviços ou outra organização, que enviam mails de phishing, texto ou chamadas telefónicas para fazer o pagamento de algo através do cartão-presente. O cibercriminoso poderá mesmo especificar o tipo de cartão-presente que quer que seja utilizado. A ESET diz que nenhuma empresa ou Governo obriga a fazer pagamentos com cartões-presente.

2 – A ESET diz que por vezes os cribercriminosos vão diretamente à fonte, vasculham digitalmente por informações no seu cartão-presente junto do emissor, através de bots automatizados para sondar sistemas informáticos de lojas e outras organizações. O objetivo é obter detalhes sobre saldos de cartões e números de cartões. Assim, se obtiverem estas informações, podem utilizar o cartão como se fossem o titular oficial do mesmo.

3 – É referido que os cibercriminosos não fazem as suas operações apenas online. Estes podem visitar lojas que têm cartões-presente à venda e roubar os seus números ou PINs secretos. A especialista afirma que os cibercriminosos podem mascarar as suas ações, obtendo PINs com um autocolante. Esses agentes maliciosos podem depois esperar que as vítimas estejam online para se registar e carregar fundos para o cartão antes de o utilizar online ou fazer um duplicado para utilizar na loja.

4 – Deve ter atenção às armadilhas criadas através de prémios prometidos, que enganam o utilizador, levando-os ao pagamento de uma taxa através de um cartão-presente. As vítimas recebem o contacto de que ganhou um prémio, mas precisam de pagar uma pequena quantia para o reclamar, seja um carro ou férias, que não existem.

5 – Os cartões-presente também podem ser usados em esquemas de roubo de dados pessoais. Trata-se de um ataque semelhante ao clássico de phishing, em que o destinatário é abordado através de email, texto ou redes sociais com ofertas de salto para cartão-presente. Para os reclamar, são pedidos dados pessoais e eventualmente financeiros, que depois são vendidos na dark web ou usados em fraudes de identidade.

A ESET deixa algumas dicas para se salvaguardar de esquemas fraudulentos em torno dos cartões presentes. Em primeiro lugar, apenas deve comprar estes cartões em lojas em que estas os armazenem em caixas-fechadas. Se for online, compre diretamente à loja, e não em lojas de descontos. Deve apenas comprar cartões com PINs. Deve manter-se cético, desconfiando sempre se obtiver alguma proposta de oferta demasiado boa, que poderá não sere genuína.

Como referido, deve ter em conta que nenhuma entidade do Governo ou autoridade solicita pagamentos através de cartões-presente. Deverá utilizar os cartões o mais rápido possível após aquisição ou ter recebido como prenda. Deve ainda verificar duas vezes o saldo do cartão logo após a sua aquisição.