0
0
Resolver um CAPTCHA na internet parece uma ação banal. Mas e se essa imagem distorcida fosse uma armadilha? Segundo uma pesquisa da Imperva, essa tática vem sendo usada para enganar usuários e extrair informações sensíveis exibidas pelo botão do Google Pay, explorando vulnerabilidades em interfaces e falhas humanas.
A investigação mostra como a combinação entre dados vazados, verificações fracas em operadoras e uma vulnerabilidade visual no Google Pay cria o cenário perfeito para ataques de troca de chip, também conhecidos como SIM swap.
O botão do Google Pay que revelava quatro dígitos críticos
O botão “Pagar” do Google Pay é exibido dentro de um iframe hospedado em um domínio do Google. Quando o usuário tem um cartão salvo, o botão mostra os quatro últimos dígitos do número do cartão em texto visível.
Mesmo que o navegador impeça a leitura direta desse conteúdo por scripts externos, é possível recortar e estilizar o iframe para exibir apenas os números. Ao apresentar isso como se fosse um CAPTCHA, o atacante leva a vítima a digitar os dígitos verdadeiros do cartão sem perceber.
Esses quatro números, que parecem inofensivos, podem ser suficientes para confirmar identidades em processos de recuperação de conta ou substituição de SIM em operadoras de telefonia.
Como quatro dígitos viram a chave da sua identidade
Em muitos países, operadoras e bancos ainda usam a combinação de nome, número de documento e os quatro últimos dígitos do cartão para validar chamadas de suporte. Essa prática parece segura, mas é extremamente arriscada quando essas informações já estão expostas em bases de dados vazadas.
O caso descrito pela Imperva mostra como um atacante conseguiu solicitar a substituição de um chip de celular apenas informando o número de identidade e os quatro dígitos do cartão, sem que a operadora bloqueasse o chip original. Isso demonstra a fragilidade dos processos de autenticação baseados em dados estáticos.
Vazamentos antigos continuam alimentando golpes
Antigos vazamentos de dados continuam ativos em comunidades online e aplicativos como o Telegram. Em Tel Aviv, por exemplo, traficantes usam bots nesses canais para validar identidades e evitar fraudes. Esses mesmos mecanismos se apoiam em informações vazadas, como números de identidade e cartões, criando uma rotina onde o uso de dados roubados se torna algo normalizado.
Com o tempo, esse tipo de prática transforma informações pessoais em ferramentas de verificação amplamente usadas em mercados paralelos, o que acaba reforçando o ciclo de exposição e risco.
A resposta do Google e o que ainda precisa mudar
Após ser notificado pela Imperva, o Google corrigiu o problema e removeu a exibição dos quatro últimos dígitos do cartão no botão do Google Pay. Essa ação eliminou o vetor específico da vulnerabilidade, mas não resolve o problema estrutural.
Muitos serviços ainda tratam esses dígitos como uma forma confiável de autenticação, ignorando o fato de que eles aparecem em quase todas as transações online e podem ser facilmente obtidos por terceiros.
Como reduzir os riscos
Para empresas: Reveja processos de autenticação que dependem de dados estáticos. Implante autenticação multifatorial, use tokens dinâmicos e reforce políticas de verificação para solicitações de troca de SIM ou redefinição de senha.
Para usuários: Evite compartilhar documentos pessoais em chats ou redes sociais. Habilite autenticação de dois fatores em todas as contas e monitore avisos de alteração de SIM ou acessos suspeitos.
Conclusão
O caso do Google Pay mostra como pequenas falhas visuais e dados aparentemente inofensivos podem abrir brechas sérias de segurança. A combinação entre vulnerabilidades antigas e práticas frágeis de verificação cria um terreno fértil para golpes de SIM swap e roubo de identidade.
Reforçar autenticação, proteger dados e desconfiar de solicitações suspeitas são passos essenciais para conter essa cadeia de ataques.
Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.