Fraude bizarra: compras caras são enviadas para a casa das vítimas

Uma nova modalidade de fraude online chamou bastante a atenção nos Estados Unidos recentemente, envolvendo uma das maiores lojas de departamento daquele país: a Kohl’s. Hackers invadiam contas de clientes legítimos, faziam compras de altíssimo valor e enviavam os produtos para a casa das próprias vítimas.

Ahn? Oi? Como assim?

Sim, nós sabemos. Parece muito estranho mesmo. Mas há uma incrível lógica por trás desta atitude bastante esquisita de fraudadores que fazem compras para as próprias vítimas.

A Kohl’s possui uma campanha que oferece ao cliente um crédito de US$ 10 em futuras compras a cada US$ 50 gastos na loja, inclusive no e-commerce. Foi a deixa para que fraudadores aplicassem o seguinte golpe: eles invadem uma conta de um cliente da rede, fazem várias compras de alto valor e roubam o bônus gerado com essas transações. E, com este crédito sim, são adquiridas mercadorias com alto poder de revenda ou até mesmo vale-compras comercializáveis.

Engenhoso, não é?

O caso foi revelado e explicado pelo jornalista norte-americano Brian Krebs, uma das principais referências no noticiário de segurança e tecnologia da informação, após uma cliente da Kohl’s suspeitar que teve a conta “sequestrada”. Ela recebeu uma notificação de alteração de e-mail principal da conta e resolveu fazer um teste, realizando o login com o novo endereço eletrônico e com a senha antiga. Deu certo, pois o fraudador foi extremamente preguiçoso e nem se deu ao trabalho de alterar o código de acesso da cliente.

No intervalo de 20 minutos entre alteração de e-mail e acesso da cliente verdadeira, duas transações já tinham sido realizadas na conta sequestrada, ambas com valor superior a US$ 700 – e que haviam gerado um crédito de US$ 220 para futuras compras. E vale destacar outro fator curiosíssimo deste golpe: as mercadorias que haviam sido compradas pelo fraudador eram, dentre outras, um conjunto de carrinho de bebê e assento de carro, uma banheira de bebê e TRÊS berços. TRÊS!

Conseguem imaginar por que todas essas compras?

(E não, não é porque o fraudador é bonzinho e quer que o nenê da cliente fique super confortável e tenha um berço em cada cômodo da casa. Ele não sabe e nem quer saber se a cliente tem ou não um bebê em casa.)

Acontece que a banheirinha, o carrinho e os TRÊS berços são itens muito volumosos. Nem se quisesse a cliente ficaria com todos esses trambolhos, e acabaria ligando de volta para a loja para devolver as mercadorias. E, enquanto os produtos não retornavam à Kohl’s, os créditos continuariam disponíveis para serem usados pelos fraudadores.

Por sorte, a cliente que relatou o acontecimento a Krebs conseguiu detectar a tempo a atividade suspeita em sua conta. A Kohl’s, por sua vez, conseguiu bloquear as compras feitas indevidamente e cancelou os créditos que haviam sido gerados ao criminoso.

E o que eu tenho a ver com isso?

Nós sabemos que a promoção da Kohl’s deu brecha para os ataques, e talvez o seu e-commerce nem tenha interesse em realizar alguma campanha do gênero. No entanto, escrevemos este texto e contamos essa história para mostrar um fator ainda mais relevante:

Às vezes, um fraudador não está interessado no seu produto.

Mas você vai sofrer com o prejuízo, de uma forma ou de outra: seja como no caso relatado neste artigo, do sequestro de contas e dos benefícios gerados aos clientes da Kohl’s, seja da clássica fraude de testadores de cartão – que fazem compras de pequeno valor apenas para saber se aquele cartão obtido recentemente continua válido.

E isso mostra que, às vezes, a lógica da fraude online é muito mais complexa do que imaginamos. E, cada vez mais, se faz necessário proteger o seu e-commerce de qualquer tipo destes golpes.