A internet é um lugar perigoso — e isso é algo que você já deve estar cansado de saber. Com o mundo digital cada vez mais presente em nossas vidas, o número de ameaças virtuais também cresce exponencialmente. Os criminosos cibernéticos estão sempre atrás de seus dados bancários e criam novas técnicas o tempo todo para conseguir acessá-los.

De acordo com uma pesquisa publicada pela Fcontrol, empresa especialista em soluções para o comércio eletrônico, houve um aumento de 1,32% nas tentativas de fraudes no primeiro trimestre de 2016 em relação ao mesmo período no ano anterior. Detalhe: por conta da crise econômica, as transações diminuíram em cerca de 11%. Isso significa que, mesmo comprando menos, o brasileiro continua exposto aos trambiques digitais.

O TecMundo foi atrás de informações para descobrir como exatamente funciona uma fraude no ambiente digital e quais medidas estão sendo tomadas por algumas empresas brasileiras para frear esse tipo de atividade criminosa. Essa é uma guerra intensa, visto que ambos os lados estão sempre renovando suas técnicas para se adequar às novidades tecnológicas — e, acredite, você vai querer que os mocinhos saiam como vencedores.

O número de fraudes continua subindo

Cuidado com os carders

Carder é o nome dado ao indivíduo que, usufruindo de meios ilegais e ferramentas eletrônicas, consegue obter informações sobre um cartão de crédito para uso próprio ou terceirizado (compra de produtos por um preço menor do que o praticado oficialmente nas lojas, por exemplo). É importante ressaltar que os carders são diferentes dos bankers, que se especializam em fraudar as contas bancárias em si.

O criminoso é capaz de descobrir quais são os cartões mais valiosos ao simplesmente observar seus primeiros dígitos

Existem diversas maneiras de conseguir dados de cartões de crédito de forma ilegal. A mais difundida é explorar as vulnerabilidades de um site comercial (ou seja, lojas) para extrair o database que contém as informações de cartões de crédito de seus usuários. Também é comum ver cibercriminosos criando falsas páginas que se assemelham a e-commerces famosos com o único intuito de “pescar” alguns dados bancários.

De posse de tal lista, o criminoso é capaz de descobrir quais são os cartões mais valiosos ao simplesmente observar seus primeiros dígitos — um conjunto de números conhecido como Bin. O primeiro dígito revela a operadora do cartão (3 para American Express, 4 para Visa, 5 para MasterCard e 6 para Discover), enquanto os outros três correspondem ao banco emissor.

Carder é o indivíduo especializado em fraudar cartões de crédito

Engenharia do crime

Obviamente, o simples conjunto de número de cartão e nome do titular não costuma ser o suficiente para efetivamente praticar uma fraude. E é por isso que os carders costumam dialogar com crackers que, por métodos semelhantes, conseguem invadir bancos de dados para obter informações completas a respeito de um cidadão brasileiro. Nós explicamos bem esse ponto na reportagem #BrasilExposed: a crise de segurança na internet brasileira.

Os criminosos mais experientes costumam ir além, utilizando VPN para mascarar o seu IP (evitando que os sites detectem uma quantidade anormal de compras oriundas de um mesmo endereço) e até mesmo editando modelos de documentos de identificação para enviá-los às lojas como uma forma de falsa autenticação (RG, CPF etc.). Também é consenso entre os carders que os melhores e-commerces para realizar uma fraude são os mais simples, visto que grandes redes de varejo possuem soluções de proteção.

Muitos carders dão dicas de como fraudar cartões de crédito em tópicos abertos na web

Peixe Urbano: investindo pesado para combater as fraudes

Famosa pelo pioneirismo no setor de sites de compras coletivas, a Peixe Urbano é um exemplo de empresa que já teve muita dor de cabeça com fraudes digitais. Hoje, porém, a marca investe cerca de R$ 500 mil mensalmente em soluções de segurança cibernética, a fim de proteger seus usuários e impedir a ação de meliantes virtuais. Quem nos deu essa informação foi o Adalberto da Pieve, gerente de marketing da companhia.

Nossa média é de um chargeback (estorno) para cada mil pedidos

“Todos os pedidos efetuados em nossa plataforma passam por uma análise, Primeiramente, consultamos o agente emissor do cartão de crédito via comunicação criptografada, e o banco retorna avisando se a transação pode ser uma fraude ou não”, explica o executivo. “Se for necessária uma segunda verificação, utilizamos a ClearSale, uma empresa terceirizada, que pode até realizar uma checagem manual e ligar para o cliente”.

Adalberto conta que, se mesmo assim houver uma fraude, o internauta pode sempre acionar a operadora do cartão para tentar realizar o cancelamento da compra. “Nossa média é de um chargeback (estorno) para cada mil pedidos, sendo que, geralmente, trata-se de uma fraude amigável”, comenta. Fraude amigável é quando, por exemplo, uma criança utiliza o cartão de crédito dos seus pais sem pedir a autorização.

O Peixe Urbano chega a investir R$ 500 mil por mês em segurança da informação

Supostos problemas na plataforma

Porém, após uma breve pesquisa, é possível constatar que as coisas nem sempre foram assim. Em fóruns como o Perfect Hackers — onde internautas discutem abertamente táticas de fraudes no comércio eletrônico —, encontramos discussões em que criminosos cibernéticos afirmam ser possível realizar compras no Peixe Urbano mesmo sem saber o Código de Verificação do Cartão (mais conhecido como CVV).

Na teoria, uma vez cadastrado um cartão de crédito na plataforma, seu gateway de pagamento tokeniza o CVV e o mantém armazenado para futuras transições. É por isso que, se um indivíduo mal-intencionado obtiver acesso à sua conta, ele poderá inserir qualquer combinação de números (como 000 ou 999) e o serviço aceitará como se fosse o código verdadeiro. A compra é aprovada e quem paga a conta é o consumidor.

Adalberto, contudo, nega que esse defeito exista ou já tenha existido. Além disso, o executivo é categórico ao dizer que o número de fraudes não está aumentando ou diminuindo, mas sim que há picos momentâneos, como no lançamento de um novo smartphone que esteja fazendo sucesso no mercado.

Em fóruns, carders explicam que é possível aprovar uma compra no site usando CVVs aleatórios como "000"

Roubando o que você não pode tocar

Se barrar as fraudes cometidas para a aquisição de bens materiais já é difícil, imagine só o quão complicado é evitar golpes quando o produto que você vende só existe no mundo virtual. Por mais que os cibercriminosos ainda foquem os seus esforços em usar cartões clonados, gerados ou sequestrados para adquirir produtos físicos (como smartphones e relógios de luxo, que são revendidos por um preço bem menor), outro setor vem sofrendo bastante com a ação desses fora da lei: o segmento de jogos digitais.

Criminosos logo enxergaram uma oportunidade de fazer dinheiro com tal sistema

Em junho deste ano, a desenvolvedora tinyBuild (responsável por títulos como Punch Club e Party Hard) acusou o site G2A de colaborar com um mercado negro fraudulento capaz de levar estúdios independentes à falência. Para quem não sabe, o G2A é como um Mercado Livre para chaves de jogos digitais — a ideia original era a de que, ao adquirir um título repetido que foi comprado em um bundle, o internauta pudesse comercializá-lo e faturar uma graninha.

Porém, criminosos logo enxergaram uma oportunidade de fazer dinheiro com tal sistema. “Eu perguntei a um mercador do G2A sobre como ele está fazendo de US$ 3 mil a US$ 4 mil por mês e ele me contou o seu modelo de negócios. Pegue um banco de dados com cartões de crédito clonados, vá a um distribuidor de bundles, compre milhares de chaves e as coloque no site vendendo pela metade do preço”, afirmou Alex Nichiporhick, CEO da tinyBuild.

Estaria a G2A facilitando um mercado negro de cartões fraudulentos?

A Nuuvem e o mercado negro de game keys

Desnecessário dizer que as compras de chaves feitas via cartões fraudulentos são estornadas dias ou até mesmo horas mais tarde — porém, já é tarde demais e o cibercriminoso já está de posse dos jogos, podendo fazer dinheiro ao revendê-los no G2A e outro tipo de serviço. As desenvolvedoras e publicadoras, por outro lado, perdem a oportunidade de uma venda legítima e ficam no prejuízo.

Já chegamos a perder 20 mil por mês com estornos

“É muito difícil identificar uma fraude quando você comercializa produtos virtuais, até porque o fraudador não precisa cadastrar um endereço de entrega”, afirma Fernando Campos, CEO da Nuuvem, plataforma brasileira que rivaliza com a Steam. Entrevistado pelo TecMundo, o executivo não pôde revelar o quanto a companhia investe em segurança da informação, mas garantiu que há um esforço para evitar esse tipo de golpe.

“A Nuuvem é uma plataforma legítima e que se opõe ao modelo da G2A. Diferente do que acontece no mundo físico, para o consumidor, é difícil confirmar a autenticidade dos jogos digitais. Por ser um produto digital, o cliente não costuma se preocupar com isso”, afirma Fernando. “No nosso site, ele pode ter a certeza de que todas as chaves compradas são oficiais e não apresentarão problemas”.

A Nuuvem é outra companhia que já tomou muito prejuízo com fraudes

Os problemas aos quais o empreendedor se refere incluem o sistema de trava de região, que impede que determinada chave seja ativada em um país diferente daquele onde ela foi comprada. “Nós bloqueamos, por exemplo, o uso de VPNs e proxies”, comenta Fernando. Tal como na Peixe Urbano, a Nuuvem realiza duas verificações a cada transação efetuada na plataforma — a primeira é feita pela própria marca, e a segunda é terceirizada.

“Já chegamos a perder 20 mil por mês com estornos, mas hoje esse prejuízo já diminuiu bastante. A quantidade de tentativas de fraudes não caiu, mas a aprovação deles, sim. Estamos sempre criando novas iniciativas e empregando tecnologias para impedir esse tipo de golpe em nosso serviço”, conclui.

É mais complicado evitar fraudes em chaves de jogos digitais

Como eu me protejo?

Infelizmente, no que diz respeito aos métodos mais utilizados pelos cibercriminosos para fisgar seus cartões de crédito na internet, não há muita coisa que o cidadão comum possa fazer. A maior parte da responsabilidade é, de fato, das próprias lojas, que precisam adotar o que há de mais avançado em técnicas e soluções antifraude dentro de suas respectivas plataformas de ecommerce.

As dicas para se manter a salvo enquanto navega na web continuam as mesmas de sempre. A principal recomendação é evitar realizar suas compras em sites muito “caseiros”, que claramente não possuem uma infraestrutura robusta de segurança da informação. Por mais que tais estabelecimentos costumem oferecer produtos a um custo menor, no fim das contas, o barato pode sair bem mais caro caso alguém consiga clonar seu cartão.

Também é essencial prestar atenção para não cair nas armadilhas do tipo phishing — ou seja, ao receber um email contendo uma suposta promoção imperdível naquela loja de renome, pense duas vezes antes de inserir suas informações pessoais para fazer o pedido. Aquela página pode ser, na verdade, um site falso criado por um cibercriminoso justamente para coletar seus dados bancários.

Cupons de desconto TecMundo: