O Grupo New Space, um dos líderes em serviços de tecnologia para o setor financeiro no Brasil, apresenta os resultados do relatório "O mercado paralelo de venda de informações – Cibercrime financeiro no Brasil" realizado pela unidade NS PREVENTION, especializada em inteligência cibernética, prevenção a fraudes e análise de riscos. O levantamento foi criado com base no monitoramento feito de julho de 2015 a abril de 2016 e mostra as principais técnicas, procedimentos e tendências envolvendo fraudes relacionadas ao uso de cartão de crédito no meio eletrônico.
Segundo o estudo, houve um expressivo aumento da utilização de tecnologia (via e-commerce e aplicativos) para realizar transações comerciais nos últimos anos. Em paralelo, métodos e táticas criminosas surgiram na mesma velocidade para tirar proveito das vulnerabilidades desses sistemas. “O crescimento deveria ser acompanhado, na mesma escala, por medidas de combate a possíveis fraudes, porque o seu impacto não se limita somente às perdas financeiras”, afirma Thiago Bordini, Diretor de Inteligência Cibernética do Grupo New Space.
De acordo com o executivo, o problema pode afetar a reputação e a credibilidade de toda uma organização. “Normalmente, a empresa trata o caso reativamente, ou seja, tenta resolver a situação apenas após a ocorrência, quando o melhor seria agir preventivamente”. O levantamento constatou também uma tendência: nos próximos anos, aumentarão os ataques às tecnologias como o NFC (da sigla em inglês para Comunicação por Campo de Proximidade).
O relatório mostra ainda que as táticas mais usadas são aquelas em que há uma tentativa de simulação de ambientes. Prova disso é que 40% das notificações reportadas ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.BR) são relacionadas a páginas falsas. A mais tradicional técnica de fraude é a Phishing Scam. Ela pode envolver o uso de telas falsas que se assemelham a uma página da instituição original com o intuito de coletar dados e credenciais de acesso para efetuar práticas ilícitas. Também inclui e-mails com nomes e características autênticas para enganar o usuário e direcioná-lo a sites falsos, além de programas espiões e aplicativos maliciosos que alteram arquivos de configuração cruciais para a navegação na Internet. A palavra phishing (de “fishing”, em português, pescar) vem de uma analogia criada pelos fraudadores em que as “iscas” (e-mails) são usadas para “pescar” senhas e dados financeiros de usuários da Internet.
Além da Phishing Scam, o levantamento mostra outras táticas adotadas: o Spoofing é um ataque que mascara o número de IP da rede utilizando um endereço falso, que pode ser feito por smtp ou por servidor direto, para encaminhar a vítima para outro local aparentemente seguro. Já no Man in the Middle, o fraudador se infiltra na comunicação entre as duas partes, intercepta os dados, manipula e retransmite sem que ninguém perceba. “O usuário literalmente pensa que está falando com seu interlocutor, mas, na verdade, está recebendo mensagens de um hacker”, explica Bordini. Outro método muito utilizado é o de "Cartão Gerado", em que o cibercriminoso, a partir de uma combinação aleatória de números e dados, consegue gerar um cartão válido, sendo que as informações mais usadas são a data de vencimento e o Número de Identificação Bancária (BIN, da sigla em inglês), que possibilitam que a compra fraudulenta seja realizada. Para dificultar a rastreabilidade de suas ações ilícitas, os fraudadores utilizam acessos gratuitos à Internet em locais públicos ou linhas pré-pagas registradas em nome de terceiros.
Com as informações da vítima, o criminoso segue para a próxima etapa: conseguir a sua monetização. As ofertas variam bastante e são encontradas em sites de compartilhamento de informações, fóruns, blogs, redes sociais ou no submundo da Internet, conhecido como Deep Web. No período investigado pela NS PREVENTION, 81% das ofertas foram originadas via IRC (Internet Relay Chat), 13% pelo Facebook, 3% em fóruns, 2% via Paste e 1% por Telegram. Nesses ambientes, é possível encontrar desde vendas diretas de lotes de cartões e dados até a oferta de pagamento de contas e troca de informações sobre vulnerabilidades. Há também os chamados “laranjas”, que são pessoas escolhidas para executar uma fase da fraude ou emprestar uma conta bancária para lavar o dinheiro e tornar a transação imperceptível. “O foco sempre é a rápida monetização. Quanto mais tempo demora, mais aumentam as chances de a fraude ser descoberta”, conta o executivo do Grupo New Space.
Os cartões de crédito fraudados são comercializados por lotes em vendas moduladas. Há diferenciação em relação aos tipos, bandeiras e limites de cada um. O estudo mostra também que há vendas casadas, ou seja, a pessoa pode adquirir o cartão com os dados da vítima ou com o fornecimento de contas de “laranjas”.
As ofertas seguem um padrão preestabelecido pelos fraudadores – conforme exemplo abaixo, em que o termo "CC" significa cartões que podem ter diversas bandeiras ou categorias e "Full" é um pacote de cartões com todos os dados do proprietário, podendo variar entre cartão com credenciais (login e senha em sites de compras) ou com CVV (código de verificação do cartão) e validade, com categoria e bandeira predeterminadas. Existe ainda o pacote "Full Mix", que vem com todas as informações do proprietário do cartão, entre elas o CPF.
Figura 1. Exemplo de venda dos dados pela Internet
Na tabela abaixo, a NS PREVENTION apresenta a média de valores que sãocobrados pelos fraudadores por cada pacote de cartões. Figura 2. Preços médios cobrados pelos fraudadores
As investigações da equipe da NS PREVENTION mostram que um fornecedor de cartões fraudados pode vender, em média, três lotes por semana. Com isso, consegue obter em torno de R$ 5.700,00 por semana e R$ 250.500,00 por ano. A simulação abaixo demonstra a estimativa da comercialização realizada com pacotes de 30 cartões.
Vale destacar que um fraudador pode chegar a ganhar até R$ 2,8 milhões em um ano apenas com essas ações fraudulentas.
Figura 3. Total monetizado por modalidade de vendas
Feita a escolha pelo lote ou pelo cartão unitário, chega a hora de o cibercriminoso receber. Segundo o estudo, as transações de pagamento são realizadas por meio de depósito bancário em dinheiro em contas de "laranjas" para que os vestígios sejam reduzidos, dificultando a rastreabilidade da fraude. Porém, a NS PREVENTION alerta para uma forte tendência: alguns criminosos têm adotado moedas virtuais – como o bitcoin (sistema de pagamento on-line baseado em protocolo de código aberto que é independente de qualquer autoridade central) – como forma de pagamento. “Esse tipo de ação dificulta ainda mais a investigação dos órgãos competentes”, conta Bordini.
Demonstrada a monetização do fraudador, a análise passa para o comprador, que pode faturar de várias formas: compras diversas com os dados dos cartões furtados, pagamento de boletos ou até revenda de serviços provenientes do mesmo cartão. Com a fraude concluída, resta às empresas de e-commerce arcar com prejuízos.
“É complicado evitar todos esses danos, mas, com o investimento em cibersegurança, é possível se proteger desses riscos antes que eles se materializem e reduzir os prejuízos”, destaca Bordini. O executivo complementa dizendo que os fraudadores conhecem e sabem manipular os sistemas de seus alvos o suficiente para encontrar falhas de projetos ou em implementações que podem ocasionar facilmente uma fraude. Segundo ele, o ideal é “aliar as medidas de segurança cibernética em toda a cadeia dos processos de compra às campanhas de conscientização para educar a população a ter ainda mais atenção para evitar qualquer tipo de risco”. Atualmente, as organizações que mais investem em segurança digital são do setor financeiro e varejista, além de montadoras e hospitais.
