Por
Felipe Held
5 minComments

As ferramentas da fraude: FraudFox, o destruidor de fingerprint

Software mascara as características do aparelho para burlar a detecção de fingerprint

No ano passado a Konduto lançou o e-book O submundo da fraude no e-commerce, revelando detalhes da rotina de criminosos especializados no golpe de compras on-line com cartão de crédito. Percebemos como havia pouquíssimas informações disponíveis sobre este tipo de crime, apesar da sede do mercado por mais esclarecimentos sobre o tema, e tratamos de preencher esta lacuna, produzindo diversos conteúdos que pudessem ajudar lojistas e profissionais de risco a combater a fraude.

Estamos dando prosseguimento a esta empreitada, lançando uma série de artigos intitulada As ferramentas da fraude. Publicaremos em nosso blog, em toda primeira quinzena de cada mês, um material destrinchando os principais aplicativos, navegadores, plug-ins e ferramentas preferidos destes criminosos para ludibriar os sistemas de segurança de pagamentos on-line e causar prejuízos consideráveis a quem vende pela internet nos dias de hoje.

Para inaugurar esta série escolhemos o FraudFox, a mais engenhosa criação já feita para burlar uma das principais técnicas da análise de risco: o device fingerprint.

repre

O que é fingerprint?

Em tradução livre, device fingerprint seria a “impressão digital do aparelho” – ou seja, uma identificação única para um dispositivo conectado à internet. O meu computador possui um ID, que é diferente do ID do seu smartphone iOS, diferente também do ID do celular Android da Silvia, que por sua vez é diferente do ID do tablet do Alberto.

Imaginou-se, com razão, que um criminoso poderia criar milhares de contas falsas em um site de e-commerce e utilizar cada uma delas para uma compra fraudulenta com um cartão de crédito diferente – mas ele dificilmente teria milhares de computadores diferentes para usar.

Fraude revelada
Desvendamos a fraude dos testadores de cartão; entenda como funciona o golpe

As tecnologias de fingerprint coletam diversas informações de um aparelho, como sistema operacional, browser, idioma do navegador, geolocalização, resolução de tela e até mesmo quais fontes estão instaladas em sua máquina – dentre outras variáveis. É uma técnica eficiente e crucial para barrar fraudadores amadores ou testadores de cartão. Mas possui um ponto débil:

O FraudFox

screen Tela do FraudFox para emulação de fingerprint

Com um nome satírico ao Firefox, navegador de internet da Mozilla Foundation, o FraudFox é basicamente um emulador para burlar os sistemas de monitoramento de fingerprint. A aplicação possui uma proposta de valor, no mínimo, irônica: “usando a internet com segurança”, de acordo com o site do software. Ele está disponível para download mediante uma assinatura mensal no valor de 99 dólares (ou R$ 350), com direito a suporte por e-mail 24/7.

Consta na descrição do “produto”: “O FraudFox é uma ferramenta all-in-one para agentes de software e mascaramento de aparelhos, talvez a mais avançada e completa máquina virtual já criada. Mais do que um simples editor de agente de software, o FraudFox oferece muito mais funcionalidades, como detalhes de manipulação a partir de um console de máquinas virtuais”.

Basicamente, ao abrir o FraudFox, o fraudador tem a possibilidade de configurar diversos itens para a geração de um novo fingerprint, como versão e plataforma do sistema operacional, idioma do sistema, fuso horário, tamanho da tela, versão do browser, tipo de fonte e tamanho. Ele também permite uma seleção randômica de itens.

“Uma ferramenta inteligente para randomizar automaticamente as configurações. Evite erros básicos ao criar um perfil; por exemplo: quando o sistema operacional OS X é selecionado, a plataforma deve sempre ser 64 bit e sem a seleção do Internet Explorer como browser. Isso garante que você sempre obterá as configurações aleatórias corretas na vida real, sem cometer erros que custarão caro e chamarão a atenção dos sistemas de segurança”.

Sim, tudo isso foi pensado para driblar as camadas de proteção virtual e escancarar as portas de e-commerces para fraudadores.

Devo ficar com medo?

medo

Claro que não!

Se a solução antifraude do seu e-commerce não se baseia somente na análise de fingerprint, outras variáveis serão levadas em consideração no momento de analisar uma compra on-line.

Por mais que um criminoso emule as características de 100 aparelhos para realizar 100 compras no mesmo dia na mesma loja virtual, com 100 cartões de crédito diferentes, há outras maneiras de barrar estes pedidos fraudulentos.

A Konduto, por exemplo, tem como diferencial a combinação de todas as técnicas tradicionais da análise de risco (incluindo o fingerprint) e ainda acrescenta duas camadas importantíssimas e inovadoras para a verificação: inteligência artificial e monitoramento do comportamento de navegação e compra do cliente em seu site ou app mobile. ;)

Quer saber mais?

Entre em contato com o nosso time no e-mail comercial@konduto.com e nos diga como a Konduto pode ajudar a sua loja virtual.

Conecte-se com a Konduto também nas redes sociais: Linkedin, Facebook e Twitter