A deep web — parte “obscura” da internet, que não é indexada e nem acessível através de navegadores comuns — é famosa por servir como palco para negociações de itens ilegais, incluindo armas de fogo e substâncias entorpecentes. Porém, o tipo de comércio mais popular é, certamente, o de cartões de crédito. Basta realizar uma rápida pesquisa nesse tipo de ambiente digital para encontrar anúncios que prometem todas as informações necessárias para você fazer uma compra usando o documento de outra pessoa.
Estima-se que, atualmente, cerca de 10 mil cartões têm seus dados vazados na internet todos os dias. Esse número assustador pode ser justificado por dois fatores: a popularização desse método de pagamento e o crescimento desenfreado do e-commerce, que nem sempre foi acompanhado das devidas evoluções no quesito segurança cibernética.
De acordo com dados obtidos através de nossa solução Cardcast, infelizmente, o Brasil segue liderando a lista de países com mais vazamentos, tendo respondido por ao menos 1 milhão de registros ao longo dos últimos seis meses (sendo que, em 84% dos casos, o emissor do cartão era um dos cinco maiores bancos nacionais). Em seguida, temos os EUA com 263 mil, Canadá com 78 mil, Turquia com 35 mil e México com 34 mil vazamentos.
Como ocorre uma fraude
Um cartão de crédito pode ir para a deep web através de várias formas. Algumas delas são:
- Por vazamentos de dados, que ocorrem quando o cibercriminoso ou quadrilha invade os servidores de um app, site ou loja virtual, sendo capaz de baixar as informações financeiras ali armazenadas;
- Por ataques do tipo man-in-the-middle, nos quais o estelionatário intercepta o tráfego de dados da vítima para capturar as informações inseridas em um formulário ou página da web;
- Por phishing, que nada mais é do que o uso de emails e sites falsos para ludibriar os alvos, convencendo-os, através da engenharia social, a fornecer espontaneamente seus dados sensíveis;
- Por métodos tradicionais de clonagem, como equipamentos instalados em terminais de auto-atendimento (chupa-cabra).
Independente da técnica utilizada, uma vez que os cartões caem nas mãos do cibercriminoso, este costuma vendê-lo na internet — de forma unitária ou em lotes — a preços módicos. Cabe ao comprador utilizar outros serviços ilegais para encontrar informações adicionais necessárias para utilizar o cartão extraviado na internet (CPF, endereço, parentesco etc.).
Também é comum que o próprio hacker faça compras diversas com o cartão e revenda os produtos adquiridos por valores sedutores, obtendo um lucro ainda maior. Entre os itens mais populares nesse tipo de esquema, podemos citar smartphones, aparelhos de TVs e relógios de grife, tal como logins de acesso a serviços via assinatura (streaming de vídeo e de áudio, por exemplo).
Qual vale mais?
Os cibercriminosos têm um método único para identificar os cartões de crédito que, possivelmente, possuem um limite mais alto, consequentemente vendendo-os a um preço elevado (ou acumulando-os em um pacote “premium”). Geralmente, os golpistas analisam o Número de Identificação do Emissor (Issuer Identification Number ou IIN), anteriormente conhecido como Número de Identificação Bancária (Bank Identification Number ou BIN).
O IIN/BIN de um cartão nada mais é do que o conjunto de seus primeiros seis à oito dígitos, sendo responsável por identificar, a nível global, quem foi a entidade financeira responsável por sua emissão. Essa informação costuma ser o suficiente para uma “filtragem” de valores, visto que cartões cujos IIN/BIN estejam relacionados a uma instituição luxuosa e de prestígio certamente terão um saldo maior do que aqueles emitidos por um banco popular, por exemplo.
O impacto para a sua marca
Nesse mercado negro, toda a cadeia envolvida acaba perdendo. Enquanto o consumidor sofre uma perda financeira imediata, as lojas se preocupam com os chargebacks (quando uma venda é concretizada e posteriormente estornada pelo dono legítimo do cartão) e as emissoras registram o prejuízos monetários e morais. De acordo com dados da Febraban, as fraudes digitais foram responsáveis por um prejuízo de 1,8 bilhões no Brasil em 2015.
Provando que incidentes desse gênero podem abalar a confiança pública nas marcas, vale citar que, em 2016, 18% dos brasileiros trocaram de instituição financeira após serem vítimas de um vazamento ou clonagem; além disso, 14% dos consumidores não confiam plenamente nos bancos quando o assunto é segurança cibernética.
É interessante comentar também que os criminosos costumam utilizar ou testar cartões vazados em apenas oito minutos após obtê-los; por isso é tão importante identificar eventuais vazamentos de cartões de crédito assim que eles surgem na deep web, o que lhe permite tomar as devidas providências com maior agilidade.
O Cardcast é a nossa solução projetada especialmente para tal finalidade, sendo capaz de rastrear, de forma contínua e persistente, os cantos mais obscuros da internet em busca de qualquer indício de vazamentos. Atualmente, o sistema está ativo em 193 países distintos, monitorando diariamente 19.604 emissoras (sendo que 126 delas são do Brasil), além de um total de 350 mil códigos de identificação ao redor do mundo.
Tudo o que você precisa fazer é informar os IINs/BINs que deseja rastrear e ser alertado caso algum dos identificadores em questão apareça nos resultados dessa varredura. Afinal, além de impedir eventuais prejuízos financeiros, manter seus clientes seguros é algo que deve ser encarado como um grande diferencial competitivo em época de transformação digital.
Compartilhe o Infográfico no seu Blog
Somos jornalistas, mas também somos hackers — procuramos resolver problemas ao analisá-los de forma criativa e inventando maneiras inusitadas de usar as ferramentas que temos à nossa disposição.