171 views 3 mins

Crescem ataques com robôs zumbis para fraudar cartões de crédito no varejo, aponta levantamento

em Tecnologia
quinta-feira, 07 de janeiro de 2021

A HST (https://www.hst.com.br/), líder em tecnologia da informação para o ecossistema de pagamentos, realizou um levantamento no qual identifica um aumento na incidência de ciberataques com o uso dos chamados “robôs zumbis”, orquestrados através de uma tática hacker conhecida como PAN enumeration. De acordo com a estimativa da empresa, o crescimento na ocorrência deste tipo de investida nos últimos 12 meses foi de 100%.

“Neste tipo de contravenção, cibercriminosos tentam identificar números de cartões de crédito válidos, para posteriores fraudes, através da implantação de bots, que atuam de forma sistemática diretamente no site dos varejistas que não implementam medidas preventivas ao acesso de bots”, explica Eduardo Cunha, CEO da HST.

O executivo explica o funcionamento deste tipo de tentativa de fraude. “Cartões de crédito normalmente possuem 16 dígitos, sendo os primeiros seis deles, chamados de BIN, identificadores da bandeira e banco emissor, havendo outros dez dígitos para identificar dados da conta, exclusivos de cada cliente. Sobram 10 bilhões de possibilidades, o que parece muito. Mas se levarmos em conta que os cartões existentes normalmente estão agrupados em pequenos segmentos dentro deste universo de possibilidades, um fraudador com um pouco de imaginação e paciência, facilmente identifica estes segmentos. Estes fraudadores implementam bots que tentam realizar compras em comércios autênticos, variando o número do cartão e repetindo a operação milhares de vezes. A transação não se concretiza, mas o fraudador descobre números de cartão válidos.”

A partir dos cartões válidos descobertos, o fraudador realiza uma nova rodada de tentativas, desta vez tentando descobrir a data de vencimento, que é uma tarefa bem mais fácil, considerando que os cartões tem vencimento em até 5 anos. Isto daria 60 possibilidades, o que é muito pouco para um ataque de força bruta. Com números de cartões e datas de vencimento “quentes”, o fraudador pode optar por tentar transações sem código de validação ou executar uma terceira rodada para descobrir códigos de segurança.