Se você já teve o cartão de crédito utilizado para compras indevidas, certamente já parou alguns minutos se perguntando onde o plástico foi clonado. Caixa eletrônico com chupa-cabra? Posto de gasolina? Boteco? Alguma loja à qual você nunca tinha ido?
Temos uma notícia que pode te confundir um pouco: às vezes, ele não foi clonado em lugar nenhum. Ele pode ter sido utilizado aleatoriamente por uma ferramenta cada vez mais utilizada por fraudadores para potencializar a atividade criminosa no e-commerce: os geradores de cartão de crédito.
Esta ferramenta segue uma lógica bastante semelhante à dos geradores de CPF, que já desvendamos aqui no blog da Konduto: são sistemas relativamente simples de computador, que geram aleatoriamente e em frações de segundo números que poderiam perfeitamente estar vinculados a um cartão de crédito. Vamos explicar:
Como é possível gerar um cartão?
A maioria dos cartões de crédito brasileiros possui 16 dígitos, divididos em três blocos: BIN, número do cliente e dígito verificador. Vamos explicar o que quer dizer cada um deles, com base no seguinte cartão:
BIN
São os seis primeiros dígitos do cartão, sendo que o algarismo inicial sempre indica a bandeira. Plásticos Visa começam com 4; Mastercard têm prefixo 5. Os outros cinco dígitos correspondem a informações como banco emissor, tipo do cartão (crédito ou débito) e classe (gold, platinum etc).
O BIN pertence ao banco emissor do cartão e tende a aparecer em vários plásticos. Por exemplo: todos os cartões de crédito Mastercard platinum emitidos pelo Banco da Praça têm como prefixo 5123 45. Uma vez descoberto um BIN válido, as chances de um golpista gerar cartões válidos aumentam consideravelmente.
Código de autenticação
São os 9 dígitos seguintes, atribuídos aleatoriamente para a identificação do cliente portador do cartão. No nosso caso, os números 67 8901 234.
Verificador
Nada mais é que um dígito que está diretamente relacionado aos outros 15 do cartão, obtido a partir do Algoritmo de Luhn – criado pelo cientista da computação Hans Peter Luhn nos anos 1950 e hoje de domínio público. No caso do cartão utilizado neste exemplo, o código verificador obtido pelo Algoritmo de Luhn é 6.
Ou seja: considerando que vários cartões semelhantes possuem o mesmo BIN e o 16º dígito é apenas um dígito verificador, um sistema precisa gerar “apenas” 9 números para compor um cartão com chances de ser válido. Mas não é só isso.
Nome do portador
Esqueça esta informação: ela nunca é validada no processo de autorização do cartão.
Tudo bem se você não sabia, muita gente também não sabe
Data de validade e CVV
Estes são dois “complicadores” para a geração de cartão, uma vez que adicionam alguns milhares de combinações diferentes para um mesmo cartão. Entretanto, há algumas peculiaridades que podem favorecer os criminosos.
Normalmente, cartões são emitidos com prazo entre 3 e 5 anos de validade. Ou seja: 36 ou 60 meses (e diferentes combinações). Já o CVV (código de verificação do cartão), aqueles três dígitos no verso do cartão, até poderiam acrescentar mais 1000 combinações, mas há bancos que emitem CVVs em lote ou até mesmo negócios de pagamento recorrente que, por convenção, não precisam desta informação para ter uma operação validada.
Não é só gerar, é preciso validar
Sistemas automatizados podem criar planilhas com milhões de combinações de cartão de crédito em pouquíssimos de minutos, mas todo este amontoado de números por si só não significa muita coisa. Afinal, quais destas linhas correspondem a cartões válidos?
É neste momento que entra em ação a fraude dos testadores de cartão – se você já acompanha o blog da Konduto há algum tempo, já deve ter lido o material que desvendamos este golpe. Caso contrário, você pode baixar gratuitamente o nosso whitepaper.
Resumidamente: os testadores de cartão se aproveitam de sistemas de checkout vulneráveis de alguns e-commerces e realizam esta validação, com a ajuda de alguns scripts que automatizam esta atividade. Eles realizam inúmeros pagamentos (centenas, milhares!) de quantias baixas – para não levantar suspeitas e nem comprometer o limite do cartão –, e ali separam os plásticos inúteis daqueles que estejam “quentes” e possam ser usados para compras fraudulentas de produtos de mais valor.
Alguns e-commerces acabam, sem querer, facilitando o trabalho dos criminosos. Algumas telas de pagamento informam instantaneamente quando um cartão não é válido, “entregando o ouro” aos fraudadores durante o processo de testes e mostrando na mesma tela que o pagamento foi recusado.
Não é raro vermos em nossos sistemas na Konduto alguns casos de fraudadores que realizam dezenas de tentativas seguidas de pagamento utilizando o mesmo cartão, alterando somente a data de validade do plástico, no afã de conseguirem uma autorização de pagamento.
Ah, alerta de spoiler: nós barramos todas essas tentativas e sempre conseguimos salvar nossos clientes dos perigosos ataques de testadores!
Moral da história
A matemática nos mostra que é dificílimo que um criminoso consiga acertar “exatamente” o número do SEU cartão de crédito durante este processo de geração de números. No entanto, com um BIN válido em mãos, as possibilidades do fraudador aumentam consideravelmente.
Afinal, quantos cartões “reais” existem com aquele BIN? Milhares, provavelmente. O estelionatário não precisa acertar precisamente apenas um cartão: ele consegue criar diversas combinações que podem ser utilizadas para fins criminosos.
Tanto o gerador de CPF como o gerador de cartão fazem com que os fraudadores não dependam de vazamento de dados e nem de clonagens de cartões para obterem insumo para realizarem compras fraudulentas on-line. Por isso, lojas virtuais devem sempre contar com as melhores tecnologias para combater este problema, com uma ferramenta capaz de analisar o risco de maneira eficiente, sem prejudicar os pedidos feitos por clientes legítimos.
