No último ano, pode-se afirmar que houve um aumento expressivo da utilização de tecnologia (via e-commerce e aplicativos) para realizar transações comerciais. Em paralelo, métodos e táticas criminosas surgiram na mesma velocidade para tirar proveito das vulnerabilidades desses sistemas.
“O crescimento deveria ser acompanhado, na mesma escala, por medidas de combate a possíveis fraudes, porque o seu impacto não se limita somente às perdas financeiras”, afirma Thiago Bordini, diretor de Inteligência Cibernética do Grupo New Space.
Segundo o executivo, o problema pode afetar a reputação e a credibilidade de toda uma organização. “Normalmente, a empresa trata o caso reativamente, ou seja, tenta resolver a situação apenas após a ocorrência, quando o melhor seria agir preventivamente”.
O levantamento “O mercado paralelo de venda de informações – Cibercrime financeiro no Brasil”, realizado pela unidade NS PREVENTION, constatou também uma tendência: nos próximos anos, aumentarão os ataques às tecnologias como o NFC (da sigla em inglês para Comunicação por Campo de Proximidade).
O relatório mostra ainda que as táticas mais usadas são aquelas em que há uma tentativa de simulação de ambientes. Prova disso é que 40% das notificações reportadas ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.BR) são relacionadas a páginas falsas.
Técnicas de fraude
A mais tradicional técnica de fraude é a Phishing Scam. Ela pode envolver o uso de telas falsas que se assemelham a uma página da instituição original com o intuito de coletar dados e credenciais de acesso para efetuar práticas ilícitas. Também inclui e-mails com nomes e características autênticas para enganar o usuário e direcioná-lo a sites falsos, além de programas espiões e aplicativos maliciosos que alteram arquivos de configuração cruciais para a navegação na Internet.
A palavra phishing (de “fishing”, em português, pescar) vem de uma analogia criada pelos fraudadores em que as “iscas” (e-mails) são usadas para “pescar” senhas e dados financeiros de usuários da Internet.
Além da Phishing Scam, o levantamento mostra outras táticas adotadas: o Spoofing é um ataque que mascara o número de IP da rede utilizando um endereço falso, que pode ser feito por smtp ou por servidor direto, para encaminhar a vítima para outro local aparentemente seguro.
Já no Man in the Middle, o fraudador se infiltra na comunicação entre as duas partes, intercepta os dados, manipula e retransmite sem que ninguém perceba. “O usuário literalmente pensa que está falando com seu interlocutor, mas, na verdade, está recebendo mensagens de um hacker”, explica Bordini.
Outro método muito utilizado é o de “Cartão Gerado“, em que o cibercriminoso, a partir de uma combinação aleatória de números e dados, consegue gerar um cartão válido, sendo que as informações mais usadas são a data de vencimento e o Número de Identificação Bancária (BIN, da sigla em inglês), que possibilitam que a compra fraudulenta seja realizada.
Detalhes operacionais
Para dificultar a rastreabilidade de suas ações ilícitas, os fraudadores utilizam acessos gratuitos à Internet em locais públicos ou linhas pré-pagas registradas em nome de terceiros.
Com as informações da vítima, o criminoso segue para a próxima etapa: conseguir a sua monetização. As ofertas variam bastante e são encontradas em sites de compartilhamento de informações, fóruns, blogs, redes sociais ou no submundo da Internet, conhecido como Deep Web. No período investigado pela NS PREVENTION, 81% das ofertas foram originadas via IRC (Internet Relay Chat), 13% pelo Facebook, 3% em fóruns, 2% via Paste e 1% por Telegram.
Nesses ambientes, é possível encontrar desde vendas diretas de lotes de cartões e dados até a oferta de pagamento de contas e troca de informações sobre vulnerabilidades. Há também os chamados “laranjas”, que são pessoas escolhidas para executar uma fase da fraude ou emprestar uma conta bancária para lavar o dinheiro e tornar a transação imperceptível.
Os cartões de crédito fraudados são comercializados por lotes em vendas moduladas. Há diferenciação em relação aos tipos, bandeiras e limites de cada um. O estudo mostra também que há vendas casadas, ou seja, a pessoa pode adquirir o cartão com os dados da vítima ou com o fornecimento de contas de “laranjas”.
As ofertas seguem um padrão preestabelecido pelos fraudadores. O termo “CC” significa cartões que podem ter diversas bandeiras ou categorias e “Full” é um pacote de cartões com todos os dados do proprietário, podendo variar entre cartão com credenciais (login e senha em sites de compras) ou com CVV (código de verificação do cartão) e validade, com categoria e bandeira predeterminadas. Existe ainda o pacote “Full Mix”, que vem com todas as informações do proprietário do cartão, entre elas o CPF.
As investigações da equipe da NS PREVENTION mostram que um fornecedor de cartões fraudados pode vender, em média, três lotes por semana. Com isso, consegue obter em torno de R$ 5.700,00 por semana e R$ 250.500,00 por ano. Vale destacar que um fraudador pode ganhar até R$ 2,8 milhões em um ano apenas com essas ações fraudulentas.
Feita a escolha pelo lote ou pelo cartão unitário, chega a hora de o cibercriminoso receber. Segundo o estudo, as transações de pagamento são realizadas por meio de depósito bancário em dinheiro em contas de “laranjas” para que os vestígios sejam reduzidos, dificultando a rastreabilidade da fraude e também por meio de bitcoins.
Demonstrada a monetização do fraudador, a análise passa para o comprador, que pode faturar de várias formas: compras diversas com os dados dos cartões furtados, pagamento de boletos ou até revenda de serviços provenientes do mesmo cartão. Com a fraude concluída, resta às empresas arcar com prejuízos.
“É complicado evitar todos esses danos, mas, com o investimento em cibersegurança, é possível se proteger desses riscos antes que eles se materializem e reduzir os prejuízos”, destaca Bordini. O executivo complementa dizendo que os fraudadores conhecem e sabem manipular os sistemas de seus alvos o suficiente para encontrar falhas de projetos ou em implementações que podem ocasionar facilmente uma fraude.
Segundo ele, o ideal é “aliar as medidas de segurança cibernética em toda a cadeia dos processos de compra às campanhas de conscientização para educar a população a ter ainda mais atenção para evitar qualquer tipo de risco”. Atualmente, as organizações que mais investem em segurança digital são do setor financeiro e varejista, além de montadoras e hospitais.
O levantamento foi criado com base no monitoramento feito de julho de 2015 a abril de 2016 e mostra as principais técnicas, procedimentos e tendências envolvendo fraudes relacionadas ao uso de cartão de crédito no meio eletrônico.
