Voltar ao blog

Segurança em Pagamentos Online para Proteger Dados do Cartão de Crédito | Uso Prático de VPN e Shadowsocks

Visão geral

Ao fazer compras online, transferências internacionais ou registar subscrições, introduzimos constantemente dados do cartão de crédito na Internet. No entanto, poucas pessoas têm consciência dos percursos pelos quais essa informação é transmitida e onde está exposta ao risco de fuga. De facto, o número de sites de phishing detetados tem aumentado significativamente em relação ao ano anterior, e têm sido reportados ataques man-in-the-middle especialmente em pagamentos realizados através de Wi-Fi público.

Neste artigo, analisamos as técnicas mais recentes de ciberataques dirigidos a dados de cartões de crédito e explicamos medidas de defesa práticas utilizando VPN (em particular soluções baseadas em Shadowsocks). Apresentamos como tornar os pagamentos diários mais seguros com exemplos concretos de configuração.

Por que Segurança é importante hoje

A fuga de dados de cartões de crédito não é apenas um dano financeiro, mas um problema grave que pode causar danos secundários à informação de crédito e dados pessoais. A importância de proteger os dados do cartão com VPN torna-se evidente em situações como as seguintes.

• Redução do risco de intercetação de comunicações ao pagar a partir de Wi-Fi público em cafés ou aeroportos
• Proteção geográfica contra phishing ao aceder a sites de comércio eletrónico japoneses através de redes locais em viagens ao estrangeiro
• Proteção do percurso de comunicação ao gerir débitos automáticos em serviços de subscrição
• Reforço da segurança em serviços com pagamentos de grande valor, como exchanges de criptomoedas
• Encriptação unificada ao utilizar o cartão de crédito familiar a partir de vários dispositivos na rede doméstica

O Shadowsocks (AES-256-GCM) adotado pelo SecureSS tem a característica de ser difícil de detetar como túnel TCP, protegendo as comunicações de pagamento de forma invisível para terceiros. Embora o próprio gateway VPN não atue como servidor de pagamento, ao estabelecer um túnel encriptado dedicado entre o browser ou a aplicação e o servidor de pagamento, neutraliza a intercetação na rede local e a análise de tráfego ao nível do ISP.

Como abordá-lo

Passo 1: Configurar a ligação automática de VPN no momento do pagamento

Em primeiro lugar, configure o sistema para que a VPN se ative automaticamente ao aceder a sites onde são realizados pagamentos (lojas online, bancos, corretoras de bolsa, plataformas de pagamento). A aplicação SecureSS oferece uma "função de acionamento" que inicia a VPN ao aceder a domínios específicos, ou a configuração "Always-On VPN" ao nível do sistema operativo. No Windows, aceda a "Definições → Rede e Internet → VPN → Opções de ligação → Guardar credenciais de rede" e ative-o, habilitando a ligação automática no arranque. No Mac, configure nas Preferências do Sistema para poder ver sempre o estado da ligação a partir da barra de menus.

Passo 2: Verificar sempre fugas de DNS e endereço IP antes de pagar

Mesmo com uma VPN ligada, se ocorrer uma fuga de DNS, a informação do domínio visitado poderá filtrar-se para o ISP. Imediatamente antes de realizar um pagamento, abra no browser "dnsleaktest.com" ou "ipleak.net" e verifique que o endereço IP apresentado seja o do servidor VPN e que o servidor DNS seja o do fornecedor de VPN. O SecureSS dispõe de uma opção na aplicação para alterar a configuração DNS para "DNS exclusivo de VPN", que ao ativar minimiza o risco de fuga. Além disso, instalar uma extensão que desative WebRTC no browser (como uBlock Origin) proporciona maior segurança.

Passo 3: Terminar a sessão e verificar registos após o pagamento

Depois de concluir o pagamento, termine sempre a sessão do browser e, se possível, utilize o modo de navegação privada para não deixar histórico nem Cookie. O SecureSS aplica uma política estrita de não registos e não armazena o conteúdo das sessões de ligação. Uma vez por mês, verifique o extrato do seu cartão e confirme se existem pequenos débitos desconhecidos (pagamentos de teste de algumas centenas de ienes). Os atacantes costumam tentar primeiro um débito pequeno para verificar a validade dos dados do cartão. Se detetar um pagamento suspeito, contacte imediatamente o emissor do cartão para o cancelar e notifique também o serviço de consultas sobre cibercrime da Agência Nacional de Polícia.

Resumo

P: Se tiver VPN, os pagamentos em Wi-Fi público são completamente seguros?

R: A VPN encripta o percurso de comunicação, mas não consegue prevenir a identificação de sites de phishing nem a infeção por malware. É importante combinar a VPN com medidas básicas como verificar se o URL é legítimo, confirmar que o site utiliza HTTPS e ativar a autenticação em dois passos.

P: O Shadowsocks do SecureSS reduz a velocidade durante os pagamentos?

R: O Shadowsocks funciona como um túnel TCP leve, pelo que tem menos sobrecarga do que VPNs tradicionais como OpenVPN. Em testes reais, em muitos casos mantém-se uma velocidade de 80~90% em relação a sem VPN, e normalmente não se percebe atraso no carregamento do ecrã de pagamento.

P: Posso desligar a VPN logo após introduzir os dados do meu cartão?

R: Não há problema se desligar após receber a confirmação do pagamento e fechar completamente a sessão do browser. No entanto, recomenda-se continuar a verificar periodicamente os extratos e manter ativa a autenticação em dois passos, independentemente da utilização de VPN.

Nos pagamentos online que envolvem dados de cartões de crédito, a encriptação das comunicações através de VPN constitui uma camada de defesa poderosa. Aproveitando a encriptação baseada em Shadowsocks do SecureSS e tornando hábito a ligação automática ao pagar, a verificação de fugas de DNS e a gestão de sessões, poderá realizar os seus pagamentos quotidianos de forma segura. O SecureSS, disponível a partir de ¥500 por mês, permite confirmar a sua eficácia em situações de pagamento reais durante o período de avaliação gratuita de 5 dias.