Ferramentas da Fraude: geradores de cartão de crédito

Fraudes: o lado sombrio do E-Commerce

Se você já teve o cartão de crédito utilizado para compras indevidas, certamente já parou alguns minutos se perguntando onde o plástico foi clonado. Caixa eletrônico com chupa-cabra? Posto de gasolina? Boteco? Alguma loja à qual você nunca tinha ido?

Temos uma notícia que pode te confundir um pouco: às vezes, ele não foi clonado em lugar nenhum. Ele pode ter sido utilizado aleatoriamente por uma ferramenta cada vez mais utilizada por fraudadores para potencializar a atividade criminosa no e-commerce: os geradores de cartão de crédito.

Esta ferramenta segue uma lógica bastante semelhante à dos geradores de CPF, que já desvendamos aqui no blog da Konduto: são sistemas relativamente simples de computador, que geram aleatoriamente e em frações de segundo números que poderiam perfeitamente estar vinculados a um cartão de crédito. Vamos explicar:

Como é possível gerar um cartão?

A maioria dos cartões de crédito brasileiros possui 16 dígitos, divididos em três blocos: BIN, número do cliente e dígito verificador. Vamos explicar o que quer dizer cada um deles, com base no seguinte cartão:

cartao-exemplo

BIN
São os seis primeiros dígitos do cartão, sendo que o algarismo inicial sempre indica a bandeira. Plásticos Visa começam com 4; Mastercard têm prefixo 5. Os outros cinco dígitos correspondem a informações como banco emissor, tipo do cartão (crédito ou débito) e classe (gold, platinum etc).

O BIN pertence ao banco emissor do cartão e tende a aparecer em vários plásticos. Por exemplo: todos os cartões de crédito Mastercard platinum emitidos pelo Banco da Praça têm como prefixo 5123 45. Uma vez descoberto um BIN válido, as chances de um golpista gerar cartões válidos aumentam consideravelmente.

Código de autenticação
São os 9 dígitos seguintes, atribuídos aleatoriamente para a identificação do cliente portador do cartão. No nosso caso, os números 67 8901 234.

Verificador
Nada mais é que um dígito que está diretamente relacionado aos outros 15 do cartão, obtido a partir do Algoritmo de Luhn – criado pelo cientista da computação Hans Peter Luhn nos anos 1950 e hoje de domínio público. No caso do cartão utilizado neste exemplo, o código verificador obtido pelo Algoritmo de Luhn é 6.

Ou seja: considerando que vários cartões semelhantes possuem o mesmo BIN e o 16º dígito é apenas um dígito verificador, um sistema precisa gerar “apenas” 9 números para compor um cartão com chances de ser válido. Mas não é só isso.

Nome do portador

Esqueça esta informação: ela nunca é validada no processo de autorização do cartão.

Tudo bem se você não sabia, muita gente também não sabe

Smarthint
Performa.AI

Data de validade e CVV

Estes são dois “complicadores” para a geração de cartão, uma vez que adicionam alguns milhares de combinações diferentes para um mesmo cartão. Entretanto, há algumas peculiaridades que podem favorecer os criminosos.

Normalmente, cartões são emitidos com prazo entre 3 e 5 anos de validade. Ou seja: 36 ou 60 meses (e diferentes combinações). Já o CVV (código de verificação do cartão), aqueles três dígitos no verso do cartão, até poderiam acrescentar mais 1000 combinações, mas há bancos que emitem CVVs em lote ou até mesmo negócios de pagamento recorrente que, por convenção, não precisam desta informação para ter uma operação validada.

Não é só gerar, é preciso validar

Sistemas automatizados podem criar planilhas com milhões de combinações de cartão de crédito em pouquíssimos de minutos, mas todo este amontoado de números por si só não significa muita coisa. Afinal, quais destas linhas correspondem a cartões válidos?

É neste momento que entra em ação a fraude dos testadores de cartão – se você já acompanha o blog da Konduto há algum tempo, já deve ter lido o material que desvendamos este golpe. Caso contrário, você pode baixar gratuitamente o nosso whitepaper.

Resumidamente: os testadores de cartão se aproveitam de sistemas de checkout vulneráveis de alguns e-commerces e realizam esta validação, com a ajuda de alguns scripts que automatizam esta atividade. Eles realizam inúmeros pagamentos (centenas, milhares!) de quantias baixas – para não levantar suspeitas e nem comprometer o limite do cartão –, e ali separam os plásticos inúteis daqueles que estejam “quentes” e possam ser usados para compras fraudulentas de produtos de mais valor.

Alguns e-commerces acabam, sem querer, facilitando o trabalho dos criminosos. Algumas telas de pagamento informam instantaneamente quando um cartão não é válido, “entregando o ouro” aos fraudadores durante o processo de testes e mostrando na mesma tela que o pagamento foi recusado.

Não é raro vermos em nossos sistemas na Konduto alguns casos de fraudadores que realizam dezenas de tentativas seguidas de pagamento utilizando o mesmo cartão, alterando somente a data de validade do plástico, no afã de conseguirem uma autorização de pagamento.

Ah, alerta de spoiler: nós barramos todas essas tentativas e sempre conseguimos salvar nossos clientes dos perigosos ataques de testadores!

Moral da história

A matemática nos mostra que é dificílimo que um criminoso consiga acertar “exatamente” o número do SEU cartão de crédito durante este processo de geração de números. No entanto, com um BIN válido em mãos, as possibilidades do fraudador aumentam consideravelmente.

Afinal, quantos cartões “reais” existem com aquele BIN? Milhares, provavelmente. O estelionatário não precisa acertar precisamente apenas um cartão: ele consegue criar diversas combinações que podem ser utilizadas para fins criminosos.

Tanto o gerador de CPF como o gerador de cartão fazem com que os fraudadores não dependam de vazamento de dados e nem de clonagens de cartões para obterem insumo para realizarem compras fraudulentas on-line. Por isso, lojas virtuais devem sempre contar com as melhores tecnologias para combater este problema, com uma ferramenta capaz de analisar o risco de maneira eficiente, sem prejudicar os pedidos feitos por clientes legítimos.

Tom Canabarro
Tom Canabarro é cofundador da Konduto, startup brasileira especializada em análise de fraude e comportamento de compra na internet.
  • Todos Fornecedores
  • Armazenamento
  • Consultoria
  • Entrega
  • Marketplace
  • Performance
  • Plataformas
    • Gestão de Anúncios
    • Atendimento ao Cliente
    • E-Mail Marketing
    • Sistema de ERP
    • Pagamento Online
    • Mídias Sociais
    • Plataforma de E-Commerce
    • Precificação Dinâmica
    • Vitrine Personalizada
  • Serviços
    • Escola Especializada
    • Logística
    • Agência Especializada
    • Redirecionamento de Encomendas
  • Soluções
 
Moovin
EZ Commerce
Rakuten
Bling
Accesstage
Mailbiz
LojaMestre
Neoassist
DLojavirtual
Dotstore
Seri.e Design
GhFly
E-Millennium
Bis2Bis
Bluefoot
F1soluções
Xtech Commerce
ComSchool
Brasil na Web
Nação Digital
E-Commerce Logística
Socialrocket
Precode
Smarthint
JET e-business
 

2 COMENTÁRIOS

  1. Ola, eu uso alguns cartoes de credito q se usam em testes de software para conseguir cupoms em ifood ou outros, ja q para usar o cupom tem q pagar no cartao. Porem com o cupom os produtos saem de graça ( ja q se fosse cobrado algo o cartao n iria passar) isso pode ser considerado crime?

    • Também queria saber isso moço, pq fiz o mesmo pra usar cupom, sendo que saiu de graça e nada foi cobrado do cartão. Em resumo é só pra constar na nota mesmo, protocolar. Mas fiquei preocupada aqui

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.