Compras indevidas em nome da Sky e de outras empresas vêm sendo realizadas nos cartões de crédito do Nubank: há diversos relatos de transações em nome da operadora, ou de uma marca de cosméticos, ou de uma loja de roupas, segundo apurou o Tecnoblog. Isso se soma aos pagamentos feitos para uma pessoa chamada “Katia”, que também afetam clientes do Itaucard e Credicard.
Itaú e Nubank negam ter sofrido vazamento; a clonagem pode ter ocorrido devido a uma falha de segurança em lojas físicas ou online.
O Tecnoblog revelou com exclusividade que clientes do Nubank vêm sendo alvos de transações indevidas para uma tal de “Katia”. Nossos leitores afirmam que isso não está limitado à fintech: cartões de crédito Itaucard e Credicard também são visados.
“Há mais de um mês estão dando esse mesmo golpe no Itaucard da minha esposa, mesmo com o cartão cancelado”, afirma Sidnei Campos na TB Comunidade. “Meu cartão Itaú Mastercard foi alvo disso num valor de R$ 5 e R$ 81 reais dessa Katia”, alerta um leitor. “Isso aconteceu comigo no Credicard… minha compra foi uma e pouco da manhã”, afirma outro no Twitter. Encontramos cerca de dez relatos semelhantes.
Em comunicado ao Tecnoblog, o Itaú explica que “as transações envolvendo o estabelecimento mencionado foram realizadas em ambiente digital mediante a utilização de dados do cartão do cliente”.
No posicionamento, o Itaú lamenta o ocorrido e garante que não passou por nenhuma vulnerabilidade de segurança nem sofreu vazamento de dados. “O banco possui sistemas de monitoramento para detecção de situações de tentativas de fraude e, no caso em questão, adotou todas as medidas cabíveis para proteger e amparar os clientes”, afirma a nota.
Existem outras tentativas fraudulentas de compra no crédito, tanto no cartão físico quanto no virtual, e muitas delas envolvem clientes do Nubank. Por exemplo, temos os casos com o nome da operadora Sky: transações indevidas desse tipo vêm sendo mencionadas de forma contínua no Twitter e na própria NuCommunity desde pelo menos maio de 2019. São compras de valor alto, girando de R$ 200 a R$ 600, frequentemente parceladas.
Um usuário explicou esta semana no Twitter que foi cobrado R$ 500 da Sky, mais R$ 400 na fatura da mãe; o Nubank fez o bloqueio e mandou cartões novos. Na última quinta-feira (2), outro cliente sofreu uma transação indevida de R$ 622,82 em nome da operadora.
Há mais casos recentes de clonagem, e uma busca na rede social também revela fraudes envolvendo o nome da Sky ao longo dos últimos meses. “Acabei de ter uma cobrança indevida do SkyApp no meu cartão Nubank no valor de R$643,13; não tenho conta na Sky e muito menos autorizei essa cobrança”, reclamou uma usuária em maio deste ano. “Recebi uma notificação de compra na Sky, fiquei em choque porque não comprei nada”, disse um usuário em abril.
Em comunicado, o Nubank reforça que “os casos reportados de compras não reconhecidas nos estabelecimentos em questão não têm origem na empresa”. A fintech garante que sua estrutura de segurança “permanece protegida e nenhum dado foi obtido diretamente de nossa base ou por vazamento”.
Questionada pelo Tecnoblog, a Sky diz que não comenta sobre o assunto.
As transações indevidas também mencionam outras empresas. Por exemplo, uma usuária explica no Twitter que o Nubank autorizou uma compra no valor de R$ 7,67 em nome de uma marca de cosméticos: “não uso o cartão há dias aguardando o fechamento da minha fatura… foi aprovado o processo de não reconhecimento de compras, e agora estou sem cartão físico até reemissão e envio”.
O Tecnoblog encontrou cerca de dez casos semelhantes e recentes, todos envolvendo o mesmo nome da marca de cosméticos, e quase todos relacionados a cartões de crédito do Nubank — a exceção fica para uma tentativa em um Itaucard.
“Trata-se de uma fraude”, garante a empresa de cosméticos ao Tecnoblog. “A fraude foi facilmente identificada pois o produto de menor valor do nosso site é R$ 29,90 mais o frete; e porque nossas cobranças são feitas pela Cielo/Rede, e o fraudador está utilizando outra solução de cobrança.” Ela não soube informar qual serviço de pagamentos foi usado pelos golpistas.
Há também uma loja de roupas cujo nome foi envolvido em transações indevidas; as fraudes parecem ter começado em 25 de junho. Em uma delas, “apareceu uma cobrança no valor de R$ 1,06 numa loja que eu nem sequer sabia da existência em meu cartão Nubank”, explica um cliente no Twitter.
Isso gerou diversas queixas para a empresa no Reclame Aqui. “Hoje recebi um e-mail da Nubank dizendo que identificaram transação suspeita no meu cartão pela loja de vocês… porém eu nunca ouvi falar dessa loja até hoje”, diz um dos relatos. “Foi feita uma compra com meu cartão de crédito nesta loja sem meu conhecimento”, afirma outro.
A irritação foi tão grande que a loja publicou um comunicado no Facebook: “não temos nenhuma relação com as cobranças… Nosso CNPJ não está presente em nenhuma das cobranças e nenhuma das pessoas que chegaram até nós eram clientes! Nossa conta não possui nenhum registro dos valores. Nenhum dos afetados eram clientes ou conheciam nossa loja”.
O Nubank explica ao Tecnoblog que possui sistemas de detecção de risco para negar compras em estabelecimentos suspeitos e bloquear o cartão de forma automática. Em alguns casos, as transações foram confirmadas, mas a fintech afirma que “já está adotando as medidas cabíveis”.
Se o cliente tiver alguma compra não-reconhecida, a recomendação é iniciar o processo de contestação através do aplicativo, ou pela central de atendimento (chat e telefone, 24 horas por dia). “Após a conclusão da análise, comunicaremos o cliente a respeito, inclusive concedendo o devido reembolso, se aplicável”, diz o Nubank.
Fabio Assolini, analista sênior de segurança da Kaspersky, explica ao Tecnoblog que a clonagem de cartões pode afetar uma quantidade considerável de cliente de um mesmo emissor, bandeira ou banco; no entanto, muitas vezes a instituição financeira não é a culpada.
Por exemplo, os clientes afetados podem ter comprado em uma loja online infectada por um web skimmer, código malicioso que coleta o número do cartão ao ser digitado no final da compra. “Isso acontece quando o criminoso compromete o site de e-commerce e adiciona scripts maliciosos, muitas vezes abusando de serviços legítimos como o Google Analytics”, diz Assolini.
Outra possibilidade é que os clientes fizeram compras na mesma loja física, cujos sistemas podem estar infectados por um malware de PoS (ponto de venda) que captura os dados do cartão. “O Prilex é um malware brasileiro que pode infectar pontos de vendas e fazer essas coletas, afetando inclusive cartões com chip e PIN”, nota o pesquisador.
A falha de segurança também pode estar no PC ou celular do próprio cliente. “Hoje os apps maliciosos como o BRata e o Basbanke podem não só coletar números de cartões, como também credenciais de acesso ao internet banking”, afirma Assolini.
Ele observa que, nessas três formas de clonagem, o emissor do cartão não é responsável pela falha de segurança. “Muitas vezes as equipes antifraude, pela correlação de dados, podem identificar a origem do número de cartões”, diz o pesquisador, “mas esse dado raramente é informado por eles, por questões de confidencialidade”.
Nenhum comentário:
Postar um comentário