Logo E-Commerce Brasil

// Este canal tem o patrocínio de:

BaseLinker
Bradesco
ClearSale
Coretava
CRMBonus
Empreender
Fiserv
Globalfy
Infracommerce
Kangu
Kobe
Loja Integrada
Nuvemshop
Pagaleve
PagBank
PagBrasil
Signifyd
Uappi
Upstream
Vindi
Wake
WEBJUMP
Worldpay
Yampi
5 min

Varejista, saiba como se proteger de uma das fraudes mais comuns no Brasil

Foto Hugo Costa
Por: Hugo Costa

Diretor Executivo e Head de Soluções para Comércios e Adquirentes na Visa do Brasil. Lidera também o plano de aceleração de crescimento da CyberSource no Brasil - uma empresa da Visa, incluindo os serviços de prevenção a fraudes, gerenciamento de tokens, autenticação, gateway e processamento OBO. Antes da Visa, liderou a operação da ACI Worldwide no país tendo se envolvido em um grande número de cases de novos adquirentes, prevenção a fraude e prevenção a lavagem de dinheiro.

Trabalhar com gestão de risco e soluções antifraude no Brasil é extremamente desafiador, principalmente quando estamos falando do mundo online. De forma recorrente e dinâmica, o mercado tem se antecipado para coibir novos formatos de fraudes online, mas uma modalidade específica cresce no país e já é uma das mais comuns no e-commerce brasileiro: o teste de cartão.

Esse tipo de fraude acontece quando o fraudador “testa” o número de um cartão de crédito roubado, adquirido na dark web ou por meio de phishing ou spyware. Muitas vezes, o objetivo principal do teste não é comprar um produto ou contratar um serviço, mas verificar se os dados do cartão são válidos.

Para isso, o fraudador tenta fazer pequenas compras online no site de um estabelecimento comercial para ver se o cartão é aprovado – muitas vezes, compras com valores muito baixos, de centavos. Assim que conseguem confirmar que os dados estão válidos, esses fraudadores começam a realizar compras na internet.

Atenção aos detalhes

É possível que as empresas atacadas não percebam um aumento em suas taxas de chargeback, dado o baixo valor das transações de teste, mas verão um aumento significativo no número de autorizações recusadas. As tarifas de autorização dos gateways de pagamento costumam ser baixas, mas quando um site é bombardeado com milhares de transações em pouco tempo, a soma dessas tarifas pode chegar a montantes elevados.

Os fraudadores empregam técnicas avançadas para testar a validade dos cartões roubados. O processo de teste de cartão pode ser muito lento e trabalhoso quando realizado manualmente. Para que isso não seja um obstáculo, os fraudadores normalmente recorrem a um sistema mais sofisticado que usa grandes redes de computadores já comprometidos (botnets) para executar os testes.

Nesses ataques de teste de cartão, os bots podem ser programados para processar milhares de transações simultâneas, cada uma delas fazendo pequenas compras em um site para identificar se os números do cartão estão válidos.

Melhores práticas contra fraudes

Em geral, empresas de pequeno e médio portes são as mais vulneráveis a esse tipo de ataque, pois não costumam dispor dos recursos, ferramentas e tecnologias necessárias para detectar, impedir ou evitar esse tipo de ataque.

A seguir, um resumo das melhores práticas e ferramentas que os estabelecimentos comerciais podem usar para ajudar a combater essa crescente ameaça.

  1. Uma das melhores práticas é tomar providências para que a página de checkout e a página onde o comprador insere o número do cartão tenham a tecnologia necessária para detectar e impedir o envio de transações por scripts automatizados. Entre estas tecnologias estão firewalls, desafios visuais criados para distinguir humanos de scripts automatizados, sistema de identificação por impressão digital com funções para ignorar servidores proxy, limites de velocity e detecção de anomalias.
  2. Se o seu site aceitar doações ou montantes de pagamento de texto livre, é particularmente importante incluir medidas para impedir scripts automatizados e testes de cartão. Os fraudadores descobriram que esses tipos de site podem ser uma presa fácil e procuram usá-los para testes de cartão. Por isso, estabeleça limites mínimos. Em um ataque de teste de cartão, os fraudadores têm como objetivo validar se um cartão de crédito pode ser usado, evitando a probabilidade de que o portador do cartão perceba e denuncie a transação. Lembre-se que, quanto menor for o valor da transação, menor será a probabilidade de chamar a atenção ou gerar um chargeback.
  3. Fique atento: identifique as anomalias logo no início. Se você vir um pico repentino e inesperado na média de transações diárias, vale a pena investigar. Um aumento repentino no número de cartões de crédito recusados tende a ser um sério indicativo de que sua empresa está sendo atacada.

Conclusão

Sozinho, nenhum componente é capaz de impedir a fraude de teste de cartão, portanto é indispensável implementar diversas camadas de proteção. As empresas devem adotar uma combinação de melhores práticas e ferramentas de risco em todos os estágios do fluxo da transação, dos eventos que acontecem na conta do cliente (criação e alteração de dados cadastrais, por exemplo), até o carregamento de dados do cartão e solicitações de transação.

Vale ficar de olho em soluções modernas que auxiliam esta estratégia multifacetada, ajudando a identificar e bloquear as tentativas de ataque à empresa por meio de testes de cartão.

Leia também: Mais fraude e menos aprovação? Entenda o paradoxo no e-commerce da América Latina