Há alguns dias tive essa conversa em um almoço com uma amiga:
– Estava no bar sábado com uns amigos e me lembrei de você.
– Ah, que legal! Por quê?
– Eu estava na mesa conversando com a fulana. De repente ela recebe uma mensagem e fala: “Clonaram meu cartão, acabaram de passar R$ 2 mil em uma loja de skate!”.
– Legal, as pessoas se lembram de mim quando sofrem fraude de cartão…
– É que não foi só isso. Queria ver com você se o que aconteceu com ela é normal, porque ela olhou o extrato e viu que já tinham feito outras compras, mas meio estranhas…
– Ah é? Hmmm, me conta mais.
– É! Fizeram uma assinatura de R$ 19,90 no serviço tal e logo depois tinha uma doação pra uma instituição filantrópica, de uns R$ 10. E aí depois de umas horas veio essa paulada de R$ 2 mil. Não faz o menor sentido! Por que isso acontece?
Claro que o almoço virou uma aulinha sobre meios de pagamento, e entre uma garfada e outra expliquei para minha amiga que aquele caso fazia o maior sentido, sim. E percebi que aquele papo poderia virar também um artigo para o blog da Konduto. Veja só:
Faz o maior sentido!
Esta sequência de compras não reconhecidas pela amiga da minha amiga (que chamaremos aqui de “titular do cartão”, para facilitar) segue toda uma lógica no modus operandi clássico de uma fraude bastante conhecida aqui por nós: o teste do cartão.
O que aconteceu com ela, na verdade, ilustra muito bem como funciona este tipo de prática. Antes de realizar a compra principal, de maior valor e que certamente chamaria a atenção da titular, o estelionatário realizou algumas transações de menor valor com o intuito de validar os dados daquele cartão que ele tinha em mãos.
Pelas minhas contas, ao realizar uma assinatura de um serviço, o fraudador descobriu que os dados que ele possuía pertenciam a um cartão de crédito válido. Ele não precisou colocar o código de verificação (CVV) porque, em muitos casos de recorrência, esta informação não é solicitada no checkout.
O CVV ele deve ter descoberto quando realizou a doação a uma instituição de caridade – provavelmente, realizando a famosa prática de tentativa e erro, com a ajuda de algum “robozinho” (ou um script automatizado, para ficar mais chique).
Espera, o que são testadores de cartão?
Se você já acompanha o blog da Konduto há mais tempo, já deve ter visto nosso infográfico sobre os testadores de cartão, não é? Mas, se você não é, tudo bem. Ainda dá para baixar esse material que a gente fez.
Quero baixar o infográfico incrível da Konduto
Continuando…
Essa sequência de transações do criminoso ainda segue outro padrão que há muito tempo falamos aqui: as compras iniciais são de menor valor justamente para não levantar suspeitas do monitoramento das operadoras de cartão.
Além disso, muitas dessas empresas sequer notificam a titular por push e/ou SMS em caso de pedidos inferiores a R$ 50 ou R$ 20. Foi o que aconteceu. Mas há casos também em que a própria portadora do cartão não se dá conta quando recebe notificações de compras de valores mais baixos.
Cartão clonado ou cartão gerado?
As duas coisas.
Quando somos vítimas de algum golpe como esse, nunca sabemos exatamente onde o cartão foi clonado. Podemos até suspeitar, mas a verdade é que jamais teremos uma resposta. Pode ter sido clonado em alguma maquininha comprometida que usamos em alguma compra “física”, pode ter sido em algum vazamento de dados como tantos que ocorrem por aí…
Ou o nosso cartão pode nunca ter sido realmente clonado. Ele também pode ter simplesmente ter sido gerado aleatoriamente, em um golpe bastante “comum” dos geradores de cartão – também já escrevemos sobre isso neste artigo e também neste super infográfico sobre as ferramentas da fraude.
Tá, mas por que esse teste de cartão acontece?
Simples: porque ainda há brechas para tanto. Há muitos e-commerces e checkouts de meios de pagamentos que ainda permitem que esta prática aconteça. E pior: tem acontecido bastante!
Há diversas páginas de checkout que oferecem uma resposta imediata sobre tentativas de pagamento, e isso é um prato cheio para um testador de cartão: basta ele automatizar o processo e, em poucos instantes, é possível saber se o número de determinado cartão é válido, se o prazo de validade está correto ou não, se o CVV é aquele ou não.
Tá, gente entende que alta performance e respostas em tempo real são extremamente importantes no nosso cenário de e-commerce. Mas é possível criar um fluxo que não comprometa a agilidade da operação e nem te deixe exposto a testadores. Uma sugestão que costumamos dar é aguardar alguns instantes (coisa de poucos minutos) e conferir uma resposta por e-mail. Só essa travinha já é suficiente para dificultar a tarefa de um testador.
É fácil combater um ataque de testadores?
O caso da amiga da minha amiga foi apenas um dentre muitas queixas que ouvimos recentemente envolvendo testadores de cartão. Diversos lojistas vêm sendo vítima desta prática, e muitos deles são e-commerces que alegavam que “nunca tinham sofrido com fraudadores, mas de uma hora para outra começou…”
Essa queixa é bem comum e demonstra casos de lojistas que tinham cercas bem baixas em relação à proteção contra a fraude. E os golpes dos testes de cartão são a porta de entrada de problemas que podem crescer, e crescer e crescer…
Mas calma. Se você já passou por isso no seu e-commerce, tá tudo bem. Mesmo.
É só entrar em contato com a gente que a Konduto é fera no combate a testadores: já ajudamos diversos clientes a superar esta questão e operar com bastante tranquilidade. No material exclusivo que mencionamos lá atrás, por exemplo, explicamos como, lá no passado, resolvemos o problema da Editora Juspodivm, um dos nossos clientes mais antigos!
Olha o link aí pra você baixar de novo sem nem precisar subir a tela:
Quero baixar o infográfico sem nem precisar subir a tela
Assine a newsletter da Konduto!
