Cartão Universo está sob ataque de cibercriminosos

O Universo, cartão de crédito associado ao grupo Sonae, está sob ataque. Apesar de as fraudes online estarem em crescimento e serem transversais a todos os ramos de atividade, certo é que o serviço jurídico da DECO PROTESTE não tem tido mãos a medir para dar seguimento às centenas de reclamações relacionadas com o cartão Universo que lhe têm chegado – e o problema parece estar a agravar-se. Até ao final de maio, as cerca de duas centenas de reclamações já tinham superado as 176 recebidas durante todo o ano 2022.

A análise das reclamações sugere um esquema de phishing. O primeiro passo, como é usual, passa por uma mensagem enviada pelos cibercriminosos, tipicamente por e-mail ou SMS, onde simulam pertencer ao Universo e tentam convencer os utilizadores a clicarem num link. Ao fazê-lo, são conduzidos a uma página de aparência idêntica à do Universo, em que lhes são pedidos os dados de login.

Pensando estar no site do Universo, as vítimas preenchem as credenciais de acesso ao site fidedigno, que são capturados e guardados pelos cibercriminosos. Nesta fase, o mais certo é não desconfiarem de nada.

Cartão virtual criado com dados capturados

Muitos relatos que chegaram à DECO PROTESTE referem que os pagamentos abusivos foram feitos por meio de um cartão virtual, criado pelos cibercriminosos na área de cliente das vítimas. Para este processo ser concluído, é preciso introduzir um código de validação, que é enviado para o telemóvel do cliente. Portanto, na página falsa criada pelos atacantes, é ainda solicitada a introdução do código recebido pela vítima.

As mensagens com este código descrevem sempre a operação a que se referem: no caso, a criação de um cartão virtual, que os clientes não pediram. Mesmo assim, é inevitável que alguns, estando a interagir com o que pensam ser o site do Universo, introduzam de imediato o código, sem lerem atentamente o conteúdo.

Com toda esta informação, os atacantes podem terminar a criação do cartão virtual e começar a fazer compras online. No geral, as transações sucedem-se rapidamente, antes que a vítima se aperceba.

Os lesados são depois confrontados com centenas ou mesmo milhares de euros em compras, de que nunca ouviram falar, mas que podem ter de pagar. A entidade emissora do cartão Universo não está, em muitos casos, a assumir a responsabilidade pelos movimentos fraudulentos, embora, por vezes, até contacte os utilizadores, por suspeitar das transações.

A DECO PROTESTE recebeu igualmente relatos de lesados a quem o Universo não aceitou o cancelamento de movimentos que se encontravam cativos, ou seja, quando o sistema já detetou uma compra, mas ainda não transferiu o dinheiro.

DECO PROTESTE questionou a entidade emissora do cartão Universo

Este poderia ser mais um esquema online, como tantos outros, não fossem muitas as questões por esclarecer. Por isso, a DECO PROTESTE contactou a entidade emissora do cartão Universo, que recentemente começou a alertar os utilizadores para a fraude, tanto no seu site, quanto por mensagem, e formulou algumas questões.

De que forma estão os dados de login dos consumidores a ser capturados? Por phishing ou com recurso a outra técnica? Como está o Universo a fazer prova de que os consumidores validaram as transações através de autenticação forte, desresponsabilizando-se, assim, pelas transações efetuadas com o cartão? Está prevista a autenticação forte para a criação de cartões virtuais?

A entidade emissora confirmou que o phishing é dos esquemas mais comuns relacionados com o cartão Universo. Indicou ainda a engenharia social, ou seja, a manipulação dos utilizadores, que pode ocorrer por meio de chamadas telefónicas, SMS ou nas redes sociais, para obter dados confidenciais. E sublinhou a proliferação de sites falsos, desde agosto de 2022, em tudo idênticos ao do Universo, cuja notoriedade é potenciada pelo Google, ao fazê-los constar dos resultados das buscas para palavras-chave como "Universo", sem se aperceber da sua falta de legitimidade.

A DECO PROTESTE tinha já conhecimento desta situação, pois muitos consumidores queixaram-se de, ao fazerem uma pesquisa no browser, terem obtido como primeiro resultado um site falso do cartão Universo. 

A entidade emissora do cartão Universo também admitiu que os cibercriminosos criam cartões virtuais na área de cliente das vítimas, mas argumentou que, só com códigos de autenticação forte, enviados individualmente para o telemóvel, a operação pode ser concluída. E afirmou: "Em muitos casos, os clientes introduzem um OTP (código) no site fraudulento, sem terem lido a totalidade da mensagem que enviamos junto com esse código e que explicita a operação que estão a autorizar. Por exemplo, a criação de um cartão virtual requer sempre um código enviado via SMS pelo Universo. Sem esse código, não se pode criar um cartão virtual. No texto do SMS, está evidenciado, logo no início da mensagem, que aquele código é para criar um cartão virtual. [...] Se o cliente não pretende criar um cartão virtual, não deve utilizar esse código que recebeu numa mensagem que diz que servirá para criar esse tipo de cartão."

Os responsáveis pelo cartão Universo alegam ainda ter registo de todos os SMS com códigos enviados e guardar evidências, para mostrar que todas as operações foram aprovadas pelo cliente.

Muitos consumidores afirmam, porém, que, embora tenham revelado os dados de login, nunca receberam ou introduziram códigos para validar transações. Admite-se que alguns o tenham feito, sem disso se terem apercebido ou sem agora o quererem assumir. Mas o padrão das centenas de histórias que chegaram à DECO PROTESTE é demasiado consistente, o que dificulta a tese de que todos os lesados introduziram códigos para, com isso, descartar imediatamente a responsabilidade da entidade emissora.

O que fazer se tiver sido burlado?

Perante pagamentos abusivos, contacte a entidade emissora imediatamente, peça o cancelamento do cartão e indique os movimentos que não reconhece, lembrando que existe um máximo até ao qual pode ser responsabilizado, que é de 50 euros, a menos que conseguisse detetar a fraude antes da realização do pagamento. Segundo a lei, o consumidor só pode ser responsabilizado por um montante superior, se a instituição provar que foi ele quem fez as transações, ou que atuou de forma fraudulenta, negligente ou com dolo.

Além de contactar a entidade emissora, denuncie o caso às autoridades policiais e considere, logo nesta fase, a possibilidade de uma queixa eletrónica. 

Face à ausência de resposta satisfatória da entidade emissora, recorra ao portal Reclamar. Nada o impede, porém, de expor o caso, bem como a eventual resposta insuficiente da entidade emissora, no livro de reclamações. A versão eletrónica é mais prática: o prazo de resposta é de 15 dias úteis e a reclamação segue automaticamente para o Banco de Portugal.

Se, mesmo assim, o problema não ficar resolvido, antes de avançar para tribunal, pondere um meio de resolução alternativa de litígios. Veja aqui a lista de entidades disponíveis. Outra hipótese prévia ao tribunal é recorrer a um julgado de paz.

Entretanto, não clique em links de mensagens em que lhe peçam para confirmar transações. Se quiser aceder ao site do cartão Universo, certifique-se de que entra na plataforma correta: de acordo com a instituição, apenas o site https://universo.pt é válido.

Para testar se um link é seguro, deve usar a ferramenta Este Site é Seguro, criada pela DECO PROTESTE precisamente para que os utilizadores possam testar a legitimidade de um link ou de um URL, antes de o abrir.

Deve ainda ler as mensagens até ao fim, nomeadamente, as que contiverem códigos de validação. Se não tiver pedido um cartão virtual, não há razão para prosseguir a operação.