Geral 3min de Leitura - 19 de janeiro de 2022

Os dados de seu cartão de crédito estão protegidos?

cartões de crédito

This post is also available in: Português

Segundo uma investigação realizada pela fornecedora de serviços de VPN, a NordVPN, os dados de cartões de crédito e débito de 227 mil brasileiros estão à venda na dark web. O valor de venda dos dados de cada cartão gira em torno de US$ 10.

Ao todo, são 4 milhões de cartões de crédito disponíveis em mais de 140 países. Desse total, metade pertence a usuários dos EUA (1,5 milhão) e Austrália (400 mil).

A Mastercard aparece como a bandeira de cartões mais afetada, seguida pela Visa, com 80 mil, e Elo, com mais de 6 mil.

A publicação informa que, dos cartões de brasileiros, a divisão é de mais de 212 mil cartões de crédito e 11 mil cartões de débito.

De onde vieram os dados?

As informações da investigação demonstram que os dados dos cartões não foram roubados e sim obtidos, através de um processo que envolve “força bruta” e técnicas concebidas, para tentar decifrar combinações numéricas que são apresentadas nos cartões, utilizados atualmente.

Este é o grande diferencial deste ataque. Os dados foram descobertos e vendidos, sem que houvesse a necessidade de corromper a estrutura de dados de uma empresa, que manipula informações de cartões de créditos, incluindo as próprias operadoras.

Ataques de força bruta utilizam algoritmos e computadores para testarem sequências de combinações de caracteres, visando acessar bases de dados ou outras estruturas, protegida por login e senha. Na maior parte das vezes estes ataques são facilmente contidos, pois os sistemas e aplicações bloqueiam tentativas sucessivas de acesso, como medida de segurança, evitando o êxito destas ações.

O uso da “força bruta”, no processo de descoberta dos dados dos cartões, possui algumas características semelhantes, contudo, aplicadas em um cenário diferente. Os cibercriminosos reuniram informações sobre como são gerados os códigos presentes nos cartões, para otimizar o processo de descoberta de dados, incluindo o número de identificação do cartão (código composto por 16 caracteres numéricos), CVV, e outros dados necessários para viabilizar a venda destas informações na deepweb.

Aprofundando no processo de descoberta

O ataque consiste em simular dados dos cartões e validá-los, utilizando sites que retornam uma espécie de mensagem de sucesso, sempre que uma tentativa obtiver êxito.

Vale ressaltar que cada site de compra, pode utilizar dados distintos de validação dos cartões de crédito, utilizando combinações que utilizam como referência o número do cartão, validade e CVV do mesmo.

Em se tratando deste ataque, a primeira dúvida que deve surgir, principalmente entre profissionais de tecnologia, é a seguinte: “Os sistemas de compra on-line não conseguem identificar um ataque de força bruta?”.

E a resposta é dada por Mohammed, da New Castle University. Boa parte dos sistemas atuais não detecta múltiplas solicitações de pagamentos inválidas, vindas de sites diferentes. Este é o caso da rede VISA, por exemplo, que no estudo apresentou-se vulnerável a este tipo de ataque de validação.

De acordo com o pesquisador, existem também os casos onde os cibercriminosos possuem alguma informação associada ao cartão, como ponto de partida para o processo de descoberta. Possuir algum dado facilita ainda mais a ação, mas é importante lembrar que a fraude pode ser executada sem a posse de nenhum dado do mesmo.

Mantenha-se seguro

Neste caso de fraude, as estratégias de proteção são muito mais desafiadoras, uma vez que boa parte das ações capazes de barrar uma compra ilícita, que utiliza dados legítimos de um cartão, não estão nas mãos dos clientes e sim das operadoras que gerenciam estas transações.

O controle antifraude, que identifica e interrompe transações, consideradas fraudulentas, com base no perfil de compra de cada usuário, é um exemplo de recurso que poderia evitar o sucesso deste tipo de fraude.

Consultar com frequência as compras realizadas no cartão de crédito, também pode minimizar os impactos do uso indevido do cartão. Quanto mais rápido a fraude for identificada, menor o estrago gerado pelas compras fraudulentas.

Utilizar cartões virtuais também é uma boa opção. O ideal também seria ter o cartão de crédito desvinculado de contas correntes e contas de investimento. E sempre que possível ter limites de cartões reduzidos e fazer um controle fino destes gastos.

Essa é apenas mais uma das ações promovidas por cibercriminosos e certamente não será a última. As técnicas estão evoluindo diariamente e é importante aprimorar os cuidados, para minimizar as chances de ser a próxima vítima.

Fontes: NordVPN.

This post is also available in: Português