No e-commerce, uma importante lacuna é a escassez no número de informações sobre as fraudes online. De acordo com um estudo realizado recentemente pela Konduto, empresa que oferece uma solução antifraude inovadora para lojas virtuais, a cada 28 pedidos que chegam nas lojas virtuais, ao menos um é feito por criminosos utilizando cartões de crédito clonados.
Para ajudar o mercado a combater as compras criminosas, a Konduto preparou um infográfico revelando quais são as principais ferramentas de fraude aplicadas por estelionatários no e-commerce.
1. Tor Browser: essa ferramenta se refere a um navegador de internet que proporciona o anonimato ao usuário, ocultando o IP original de quem está navegando. O browser adiciona diversas camadas de dados codificados à navegação, dificultando a interceptação do conteúdo de uma troca de mensagens entre computadores.
Mesmo sendo uma ferramenta muito comum entre os hackers, ela não está diretamente relacionada à realização de compras fraudulentas. De acordo com a Konduto, em 2016, menos de 0,1% das tentativas de fraude no e-commerce brasileiro partiu desse tipo de navegador – contra quase 80% transações ilegais oriundas do Google Chrome.
O Tor, porém, é bastante utilizado para o acesso à deep web, uma zona da internet que não é indexada pelos sites de busca. Por lá, indivíduos mal intencionados compartilham conteúdos sem censura e praticam compra e venda de itens como armas, drogas, dinheiro falso, softwares malicioso, bases de dados cadastrais e números de cartões de crédito para a utilização de compras fraudulentas.
2. Geradores de CPF: é um sistema que gera combinações aleatórias de CPF de acordo com a verificação do algoritmo da Receita Federal. Os geradores criam sequências de onze algarismos, sendo os oito primeiros aleatórios. De acordo com a lógica por trás do Cadastro de Pessoas Físicas; o nono dígito está relacionado a uma das dez regiões fiscais do Brasil. Já o décimo e o 11º são verificadores e dependem dos nove iniciais.
Criminosos se utilizam desta ferramenta porque porque muitos lojistas on-line acreditam que a validação de dados cadastrais é uma ferramenta eficiente para evitar transações fraudulentas: se nome completo e CPF do cliente batem junto à Receita Federal, a transação é legítima. Com os geradores de CPF, os inúmeros vazamentos de dados e a “banalização” das informações cadastrais, porém, este método há tempos já não é suficiente para garantir a segurança em uma transação pela internet.
Além da validação dos dados cadastrais, é importante combinar esta técnica a outros métodos de detecção de fraudes.
3. Gerador de cartão de crédito: da mesma forma que o item acima, os geradores de cartão de crédito são sistemas computacionais relativamente simples, que criam aleatoriamente e, em frações de segundos, uma sequência numérica que poderia perfeitamente estar vinculada a um portador. Desta forma, criminosos conseguem obter informações válidas sem depender do vazamento de dados.
A maioria dos cartões de crédito brasileiros possui 16 dígitos, divididos em três blocos: BIN (Bank Indentification Number que significa “Número de Identificação Bancária) número do cliente e dígito verificador. Além disso, é necessário “acertar” o código verificador de três algarismos (CVV) e a data de validade.
No entanto, criminosos podem se utilizar de ataques de força bruta contra e-commerces vulneráveis e, a partir de um extenso processo de tentativa e erro, descobrir quais combinações geradas aleatórias podem pertencer a um cartão de crédito válido.
4. FraudFox: sistema capaz de “enganar” o monitoramento de fingerprint – “impressão digital” única do aparelho utilizado para uma compra on-line. Esta tecnologia coleta informações como sistema operacional, browser, idioma do navegador, geolocalização, resolução de tela e até mesmo quais fontes estão instaladas na máquina – dentre outras variáveis.
O FraudFox permite que um criminoso “mascare” o computador utilizado para a realização da transação fraudulenta e realize uma compra em um e-commerce simulando utilizar um desktop com Windows 10. Logo após essa ação, o fraudador se reconecta à internet do mesmo computador, mas “disfarçado” de um iPhone 6. Um sistema antifraude baseado na checagem de dados cadastrais e do fingerprint sucumbiria a este golpe, mas se for feito o monitoramento do comportamento de navegação do cliente durante todo o processo de compra é possível combater o uso dessa ferramenta;
5. VPNs: é uma rede privada de computadores que se conectam sem a necessidade de cabos (por isso a denominação Virtual Private Network), e permite o acesso remoto a conteúdos salvos em outras máquinas. Ela “centraliza” a comunicação destes computadores com a internet antes de redirecioná-los a qualquer outra página da rede. Isso permite uma conexão anônima, utilizando qualquer navegador e não apenas o Tor.
Em contrapartida, quando nos conectamos à internet da maneira “convencional”, nossos computadores recebem um endereço de IP e todas as nossas ações online podem ser visualizadas pelos servidores que estão “no meio do caminho”. Já a partir da VPN, nossos dispositivos se conectam a uma rede privada e esta, por sua vez, realiza toda a comunicação com o restante da rede mundial de computadores. Desta forma, a VPN proporciona uma comunicação dentro de uma espécie de túnel de segurança, blindada de interceptação e rastreamento. Por isso, hackers e fraudadores utilizam essa ferramenta para realizar navegações protegidas.