Por
Felipe Held
7 minComments

Ferramentas da Fraude: gerador de CPF, o vilão dos dados cadastrais

É relativamente simples conseguir números válidos de CPF e utilizá-los para fins indevidos no e-commerce

Nós da Konduto temos uma premissa bastante clara na hora de analisar o risco em uma transação on-line: os dados cadastrais do cliente (quase) sempre vão bater, especialmente no caso de uma compra fraudulenta. A explicação é simples: nos dias de hoje, é relativamente fácil conseguir estas informações – quer prova melhor do que o site telefone.ninja, que ganhou o noticiário de tecnologia no Brasil na última semana ao revelar números de telefone, e-mails e endereços residenciais de milhões de brasileiros?

Baixe grátis
Desvendamos a fraude dos testadores de cartão de crédito!

Além disso, também já relatamos por aqui a existência de uma quadrilha que vendia por menos de R$ 5 mil nas ruas do centro de São Paulo uma base cadastral com dados sigilosos de mais de 71 milhões de cidadãos (ou seja, mais de 34% da população nacional). Mas não é preciso ir tão longe para obter um documento bastante importante para a realização de uma compra on-line: o Cadastro de Pessoa Física (CPF) de um cidadão.

É aí que entra a Ferramenta da Fraude que a Konduto revela neste mês de junho: os geradores de CPF. Exatamente: criminosos não precisam esperar por um vazamento grande de dados para obter tal informação sobre alguém – eles podem simplesmente criar um sisteminha de computador que faz isso em segundos. Já vamos chegar lá, mas antes disso precisamos entender…

O que é um CPF?

cpf

O CPF é um cadastro mantido pela Receita Federal, criado em 1968 inicialmente para fins tributários. Este documento consiste em um número de inscrição com 11 algarismo, sendo que os dois últimos dígitos possuem fins de verificação. Hoje em dia, o Cadastro de Pessoa Física (antigo CIC, o Cartão de Identificação do Contribuinte) está tão presente nas nossas vidas que já é emitido com a Certidão de Nascimento!

Quer ver como o CPF faz parte de nossas vidas? Faça o teste: crie uma conta nova em algum e-commerce e veja se o site pedirá o número do seu RG. Provavelmente não, apenas o CPF será o suficiente para este registro.

Qual a lógica por trás do número de um CPF?

Dos 11 dígitos que compõem um CPF, os oito primeiros são gerados aleatoriamente. O nono indica em qual das dez regiões fiscais do País aquele documento foi inscrito. Já o décimo e o 11º são os dígitos verificadores, calculados a partir de um algoritmo relativamente simples – tão simples que muitos sites fazem isso de maneira instantânea quando o usuário está digitando o número do documento em um checkout, já reparou?

validating

Os geradores e CPF

Da mesma forma, é relativamente fácil criar uma sequência de 11 números que eventualmente poderiam servir como CPF de algum contribuinte. Um conhecimento básico em programação e algumas buscas rápidas na internet são insumo suficiente para a criação de scripts que são capazes de gerar diversos números que passariam na validação do algoritmo do CPF. Mas, às vezes, isso também não é necessário: você já experimentou digitar “Gerador de CPF” no Google? Então…

busca

Observação: muitos dos geradores de CPF não são criados para fins criminosos, mas para ajudar estudantes, analistas e programadores a testar e desenvolver softwares. Mas, assim como falamos no caso do Tor, o navegador de internet não deixa rastros e também é usado por ONGs, ativistas e jornalistas, sempre há alguém mal intencionado que pode tirar proveito disso.

Algum tempo atrás, fizemos um teste aqui na Konduto: criamos um script que gerou 300 números aleatórios de CPF. Checamos um por um manualmente no site da Receita Federal e 50 deles já estavam atrelados a uma pessoa de verdade. Ou seja: 1 a cada 6!

Este exercício nos custou apenas alguns minutos. Imagine, então, o caso de alguém que se dedique e se empenhe nesta atividade. Quantos CPFs válidos e verdadeiros podem ser gerados aleatoriamente por dia? Milhares!

Também já vimos em fóruns (abertos!) de fraudadores alguns casos em que criminosos obtêm apenas um CPF válido de algum contribuinte e pede aos “colegas” mais informações sobre aquela pessoa. Em questões de minutos outro estelionatário responde nome completo, endereço residencial e outras informações atreladas àquele CPF. Pronto: é o círculo que se fecha.

Leia também
As ferramentas da fraude: FraudFox, o destruidor de fingerprint
Quer evitar fraudes? Checar apenas nomes e CPF não é mais suficiente
Estudo: Brasil é o país com mais fraudes on-line do mundo

Você vai mesmo confiar em dados cadastrais?

Não deveria… conselho de amigo.

advice

Estamos constantemente dizendo por aqui: checar apenas nome e CPF dos clientes não é mais suficiente para barrar uma fraude. E este artigo reforça esta nossa dica para você, que precisa proteger um negócio on-line das fraudes de chargeback.

Os geradores de CPFs e a alta exposição das informações pessoais com o advento da internet tornaram esta técnica um pouco arcaica para a verificação de risco em uma compra ou transação financeira via web, e confiar cegamente nela pode ser um perigo para o seu e-commerce. Não estamos dizendo que você deve simplesmente ignorar a validação de dados cadastrais, mas é importante combinar esta técnica a outros métodos de detecção de fraudes.

A Konduto é muito (MUITO!) mais que dados cadastrais

Somos uma empresa que desenvolveu uma tecnologia inovadora para barrar fraudes no e-commerce. Analisamos como um cliente se comporta desde o primeiro momento em que acessa o seu site até o instante em que a compra é concluída e geramos em tempo real uma recomendação sobre aquela transação.

Além dos dados cadastrais, nosso sistema também reúne outras informações básicas como fingerprint e geolocalização, dentre outras, e passa todos estes dados por um filtro de inteligência artificial. A venda é analisada em menos de 1s, sem prejudicar ou causar transtorno à operação do lojista. Nosso algoritmo de machine learning aprende com cada análise e evolui com o passar do tempo, reduzindo cada vez mais o número de fraudes.

Quer saber mais? Ficou alguma dúvida?

Fale com a gente no e-mail oi@konduto.com

Conecte-se com a Konduto também nas redes sociais: Linkedin, Facebook e Twitter