Notícia 15:05 - 11 de janeiro de 2021

Uma pesquisa realizada pela HST, empresa de tecnologia da informação para o ecossistema de pagamentos, constatou recentemente um aumento na incidência de ciberataques, com o uso dos chamados “robôs zumbis”, que são orquestrados por uma tática hacker conhecida como PAN enumeration. De acordo com a estimativa da empresa, o crescimento nesse tipo de “investida” foi de 100%, nos últimos 12 meses.

“Os cibercriminosos tentam identificar os números de cartões de crédito válidos, para posteriores fraudes, através da implantação de bots, que atuam de forma sistemática diretamente no site dos varejistas que não implementam medidas preventivas ao acesso de bots”, explica Eduardo Cunha, CEO da HST.

Ele explica que esse tipo de fraude acontece da seguinte forma: como os cartões de crédito normalmente possuem 16 dígitos, sendo os primeiros seis deles, chamados de BIN, identificadores da bandeira e banco emissor, há outros dez dígitos para identificar os dados da conta, exclusivos de cada cliente. “Daí sobram 10 bilhões de possibilidades, o que parece muito. Mas se levarmos em conta que os cartões existentes normalmente estão agrupados em pequenos segmentos dentro deste universo, um fraudador com um pouco de imaginação e paciência, facilmente identifica estes segmentos. Eles implementam bots que tentam realizar compras em comércios autênticos, variando o número do cartão e repetindo a operação milhares de vezes. A transação não se concretiza, mas o fraudador descobre os números de cartão válidos”, detalha Cunha.

A partir dos cartões válidos descobertos, o fraudador realiza uma nova rodada de tentativas, desta vez tentando descobrir a data de vencimento, que é uma tarefa bem mais fácil, considerando que os cartões têm vencimento em até 5 anos. Isto daria 60 possibilidades em média, o que é pouco para um ataque de força bruta, segundo o especialista.

Com os números de cartões e datas de vencimento “quentes”, o fraudador ainda pode optar por tentar transações sem código de validação ou executar uma terceira rodada para descobrir os códigos de segurança. 

É importante salientar que os comércios envolvidos nessas etapas são apenas um meio para descobrir os dados válidos de cartão. Vários sites de doação localizados no exterior têm sido utilizados neste ataque, por exmeplo. Por isso, Cunha destaca que os comércios eletrônicos devem implementar mecanismos de segurança para impedir esse tipo de ação. 

Segundo ele, mensagens como “cartão inválido”, “data de expiração inválida” e “código de segurança inválido” devem ser substituídos por mensagens mais genéricas como “dados do cartão inválidos”. Outros mecanismos como controle de acessos consecutivos de um mesmo IP e número de tentativas inválidas consecutivas também são muito importantes.

Mas como se precaver?

Para os varejistas que buscam aumentar o nível de segurança, Cunha explica que é preciso ficar de olho nos processos de autenticação feitos de forma repetida e nos aumentos vertiginosos de número de tentativas, sem qualquer explicação aparente. Outra ação comumente executada pela HST, para proteger seus clientes, é suspender a possibilidade do usuário testar repetidamente combinações de números, deixando, por exemplo, um intervalo de um minuto a cada tentativa mal sucedida, aumentando este intervalo à medida que o usuário continue errando.

Imagem de capa: iStock


Veja também