Pousada Praia da Baleia

Apps bancários: aprovação com um toque virou o método favorito dos criminosos.

Pessoa segurando smartphone com aplicativo aberto, cartão de crédito e laptop com imagem de hacker ao fundo.

Notificações se acumulam. Entre o hábito e a pressa, um toque minúsculo passou a ter um peso muito maior do que deveria.

Sem perceber, muita gente já “resolve” tudo pelo celular: chega um alerta, você olha rápido, encosta o polegar na tela e sente que está concluído. Esse fluxo fácil - criado para conveniência - virou o novo alvo. Golpistas aprenderam a transformar em arma o instante em que você diz “sim”.

Criminosos não precisam quebrar a criptografia. Basta vencer um momento de pressa e distração.

O que está acontecendo na prática com a notificação push e a autenticação forte do cliente

A maioria dos aplicativos bancários hoje usa uma notificação push como parte da autenticação forte do cliente. Você tenta entrar, cadastrar um favorecido ou aprovar um pagamento; o telefone exibe uma solicitação; você abre o app e toca em “Aprovar”. Esse segundo fator deveria elevar a segurança - só que os atacantes passaram a martelar exatamente esse ponto.

Fraudadores disparam ondas de solicitações 24 horas por dia. A vítima nega algumas, até que, em algum momento, cede. Em vários grupos, o ataque vem com “apoio” ao vivo: eles montam sessões de phishing em tempo real, imitam o login do banco, roubam o primeiro fator (usuário e senha) e provocam uma solicitação verdadeira no celular da vítima. Aí entra um falso “atendente” orientando: “Aprove para validar sua identidade”.

No Android, malwares bancários podem até sobrepor uma tela falsa por cima do aplicativo legítimo para capturar o gesto de aprovação. O atrito sumiu - e a cautela também.

A dinâmica da fadiga de MFA (autenticação multifator)

O roteiro é cruelmente simples. Criminosos coletam credenciais em vazamentos e kits de phishing. Em seguida, tentam entrar na conta, o que dispara uma notificação push para o dono real. Se a pessoa recusa, eles insistem - de poucos em poucos minutos ou de poucos em poucos segundos.

Muitos aumentam a pressão com ligação ou SMS: “Aprove agora para bloquear uma transferência suspeita”. Esse texto social transforma um controle de segurança em um “ok” automático.

De onde vem o problema (PSD2, pagamentos instantâneos e open banking)

Na Europa, a PSD2 incentivou a autenticação forte do cliente, levando bancos a migrarem de códigos SMS de uso único para aprovações dentro do aplicativo. No papel, isso é mais robusto: vínculo ao dispositivo, biometria, checagens do lado do servidor. Na prática, o risco foi deslocado, não eliminado. Pagamentos instantâneos, feeds lotados de alertas e particularidades de deep links nos apps criaram novas brechas.

  • Pouco contexto nas solicitações aumenta a chance de erro. Muitas notificações não exibem favorecido, valor nem motivo; a pessoa responde no piloto automático.
  • Reutilização de credenciais segue alimentando invasões. E-mails e senhas vazados dão o primeiro apoio ao criminoso.
  • Transferências instantâneas elevam o retorno do golpe: o dinheiro cai em conta de laranja e pode sair do país em minutos.
  • O celular virou o centro de tudo: banco, e-mail, autenticadores. Abusos de recursos de acessibilidade e falhas de deep link ampliam o terreno para trojans móveis.
  • Open banking adiciona repasses e etapas de consentimento. Cada redirecionamento pode confundir - e é aí que a engenharia social entra.

Ao remover atrito de forma descuidada, você remove a pausa que ajuda as pessoas a perceberem uma armadilha.

No Brasil, esse cenário conversa diretamente com o dia a dia do Pix e do Open Finance. A mesma conveniência que acelera o pagamento também encurta o tempo de reação quando algo dá errado - e golpes que se apoiam em urgência (como “compra suspeita”, “bloqueio preventivo” ou “atualização cadastral”) se aproveitam do ritmo de notificações constantes. Medidas como alertas bem detalhados e travas por risco ganham ainda mais peso quando a liquidação é rápida.

O que isso significa para clientes, bancos e reguladores

Para o cliente, a fronteira entre fraude “autorizada” e “não autorizada” fica nebulosa. Se você tocou em “Aprovar”, isso foi consentimento? Em muitas instituições, esse toque vira sinal verde - mesmo quando houve manipulação.

No Reino Unido, reguladores endureceram o modelo para golpes de pagamento push autorizado (APP), transferindo mais custo para as empresas e ampliando o reembolso para muitas vítimas. A pressão tende a crescer à medida que o Faster Payments se expande e checagens de Confirmação do Beneficiário (Confirmation of Payee) viram padrão.

Para os bancos, a conta mudou: perdas por fraude aumentam, mas aumentar fricção demais derruba conversão e satisfação. Por isso, várias instituições vêm investindo em camadas “invisíveis”: biometria comportamental, pontuação de risco do dispositivo, detecção de anomalias e bloqueio em tempo real de celulares comprometidos.

Padrões de grandes empresas de tecnologia, como chaves de acesso (FIDO2), fortalecem a autenticação vinculada ao dispositivo e reduzem a eficácia de phishing por retransmissão. Mesmo assim, o fator humano continua enorme: um par de chaves bem implementado não impede um toque apressado induzido por uma voz convincente.

A sociedade funciona à base de alertas - mensagens de trabalho, entregas, promoções, atualizações. Uma solicitação do banco deixou de parecer rara e “solene”. Por isso, o design da tela e a redação do texto viraram parte central da segurança: a forma como o app enquadra aquele segundo influencia diretamente a decisão.

O que especialistas defendem e quais correções realmente funcionam

Profissionais de segurança apontam repetidamente a falha raiz: um botão de “Aprovar” sem contexto. As contramedidas mais eficazes, hoje, surgem tanto em finanças quanto em tecnologia. Todas têm o mesmo objetivo: desacelerar o reflexo, devolver contexto e amarrar a aprovação à ação exata.

Medida O que muda Limitações
Correspondência de número (number matching) A pessoa digita (ou seleciona) um código exibido na tela de login; tocar sem pensar deixa de funcionar Sites de phishing ainda podem retransmitir o código em tempo real
Vinculação dinâmica (dynamic linking) A aprovação mostra favorecido e valor; o vínculo criptográfico impede alterações silenciosas Depende de interface clara; telas pequenas podem esconder detalhes críticos
Chaves de acesso e chaves com suporte de hardware Vincula o login ao dispositivo e ao domínio; resiste à retransmissão de phishing Perda do aparelho e recuperação de conta exigem jornada bem desenhada
Limitação de taxa de solicitações (rate-limiting prompts) Bloqueia ou atrasa rajadas após recusas; adiciona avisos Atacantes migram para ligações sociais e novas contas
Endurecimento do app móvel (mobile app hardening) Bloqueia sobreposições de tela, detecta root e protege o ambiente de execução Malwares avançados continuam evoluindo

Além disso, práticas de produto e operação ajudam a “colar” a proteção no mundo real:

  • Usar linguagem direta nas solicitações: quem está tentando acessar, de qual dispositivo, aproximadamente de onde e em que horário.
  • Inserir um período de espera para o primeiro pagamento a um novo favorecido ou para valores fora do padrão.
  • Trocar de canal após várias recusas - parar de enviar pushes; exigir reautenticação biométrica ou verificação com atendente.
  • Compartilhar indicadores de kits de phishing e contas de laranja no setor para encurtar a vida útil das campanhas.

Uma notificação push deveria soar como decisão sobre uma ação específica - e não como um teste vago de identidade.

Um ponto extra, muitas vezes ignorado, é acessibilidade. Interfaces que dependem de pressa e de padrões visuais repetitivos podem prejudicar pessoas com baixa visão, dislexia ou dificuldades cognitivas - e isso aumenta a chance de toque automático. Projetar com clareza (hierarquia visual, texto objetivo e confirmação com dados) não é só “UX”: é controle de risco.

A questão mais profunda: segurança é uma escolha de design

Autenticação não é ritual; é ponto de decisão. Se a tela informa pouco e o layout treina um reflexo, as pessoas ficam previsíveis. E usuários previsíveis são fáceis de conduzir.

Bancos que redesenham fluxos para compreensão - e não apenas para cumprir exigências - vêm observando menos perdas ligadas a push e também menos contatos no suporte, porque o cliente entende melhor o que está aprovando.

O que você pode fazer agora

  • Desconfie quando surgir uma solicitação “do nada”.
  • Se alguém ligar dizendo para aprovar “para impedir uma fraude”, desligue e ligue você mesmo para o banco em um número conhecido.
  • Ative confirmação de favorecido e alertas de pagamento, quando disponíveis.
  • Não reutilize senhas.
  • Use chaves de acesso quando o serviço oferecer.
  • Mantenha o aparelho atualizado e remova apps que você não reconhece.

Se você trabalha em um time de produto financeiro, teste a redação. Troque “Confirmar autenticação” por algo humano e específico: “Alguém está tentando entrar em um Samsung Galaxy em Leeds às 14:03. Se não for você, toque em ‘Negar’.” Em cada aprovação, exiba o nome do favorecido, agência/conta (parcial) e o valor exato. Coloque atrito apenas quando o risco subir - e mantenha o resto rápido.

Um passo a passo rápido: correspondência de número na prática (fadiga de MFA sob controle)

Você entra no site e a tela mostra um número de dois dígitos, por exemplo 47. No celular, chega uma notificação com três opções: 12, 47, 83. Você abre o app e escolhe 47. O aplicativo assina o desafio com uma chave do dispositivo e envia ao banco.

Assim, um criminoso que esteja apenas disparando solicitações não consegue acertar o número sem ver sua tela. E, se um site de phishing tentar retransmitir o processo, a pressão do tempo tende a derrubar menos vítimas - além de a pontuação de risco conseguir sinalizar inconsistências de dispositivo e localização.

Trocas de risco que você precisa considerar

Pagamentos instantâneos reduzem a janela de recuperação. Períodos de espera e verificação de nome podem diminuir velocidade, mas barram muitos golpes. Aprovações por push parecem sem esforço - só que essa facilidade esconde o custo de um erro.

Chaves de acesso aumentam a resistência a phishing, porém exigem recuperação de conta e migração de dispositivo muito bem feitas. Cada controle move o ponteiro; nenhum resolve sozinho. Os melhores resultados aparecem quando vínculo ao dispositivo, contexto rico e “freios” inteligentes se combinam com boa educação do usuário.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário