Com o avanço da pandemia do novo coronavírus, cresceu, paralelamente, o uso de cartões de crédito no varejo, principalmente no e-commerce. Afinal, muitos consumidores buscaram ao máximo evitar o contato com dinheiro em espécie e tentar realizar o máximo de transações financeiras sem contato físico.
Porém, ao mesmo tempo em que as transações por e-commerce se tornaram cada vez mais comuns, aumentou o número de fraudes. Segundo levantamento da HST, líder em tecnologia da informação para o ecossistema de pagamentos, houve um crescimento expressivo de ciberataques com o uso dos chamados “robôs zumbis”, orquestrados através de uma tática hacker conhecida como PAN enumeration.
De acordo com a estimativa da empresa, o crescimento na ocorrência deste tipo de investida nos últimos 12 meses foi de 100%.
Porém, não precisa entrar em pânico. Abaixo, vamos lhe explicar o que são robôs zumbis e como evitar esse tipo de ciberataque. Venha conosco!
O Que São Robôs Zumbis?
Robôs zumbis são bots implantados por cibercriminosos para identificar números de cartões de crédito válidos, para posteriores fraudes. Esses boots são implantados em sites de redes varejistas que não adotam medidas preventivas de segurança.
Para ficar mais claro para você, chamamos Eduardo Cunha, CEO da HST, que explica o funcionamento deste tipo de tentativa de fraude:
“Cartões de crédito normalmente possuem 16 dígitos, sendo os primeiros seis deles, chamados de BIN, identificadores da bandeira e banco emissor, havendo outros dez dígitos para identificar dados da conta, exclusivos de cada cliente. Sobram 10 bilhões de possibilidades, o que parece muito. Mas, se levarmos em conta que os cartões existentes normalmente estão agrupados em pequenos segmentos dentro deste universo de possibilidades, um fraudador com um pouco de imaginação e paciência, facilmente identifica estes segmentos. Esses fraudadores implementam bots que tentam realizar compras em comércios autênticos, variando o número do cartão e repetindo a operação milhares de vezes. A transação não se concretiza, mas o fraudador descobre números de cartão válidos”, apontou o especialista.
Não à toa, Cunha reforça que não são apenas varejistas os vulneráveis a esse tipo de ataque. “É importante salientar que estes comércios são apenas um meio para descobrir dados válidos de cartão. Vários sites de doação localizados no exterior têm sido utilizados neste ataque. Por isso, os comércios eletrônicos devem implementar mecanismos de segurança para impedir este tipo de ação”, completa.
O Que Esses Robôs Zumbis Fazem Com os Dados Coletados?
Ainda segundo Eduardo, a partir do momento em que coleta dados de cartões de crédito válidos, o fraudador realiza uma nova rodada de tentativas, desta vez tentando descobrir a data de vencimento, que é uma tarefa bem mais fácil, considerando que os cartões têm, em média, vencimento em até cinco anos.
Isso daria 60 possibilidades, o que é muito pouco para um ataque de força bruta. Com números de cartões e datas de vencimento “quentes”, o fraudador pode optar por tentar transações sem código de validação ou executar uma terceira rodada para descobrir códigos de segurança.
Como os Sites Podem Reforçar a Segurança Para Evitar Ataques de Robôs Zumbis?
Procedimentos simples podem evitar grandes dores de cabeça.
Segundo Cunha, ao trocar mensagens como “cartão inválido”, “data de expiração inválida” e “código de segurança inválido” podem ser substituídas por mensagens mais genéricas, como “dados do cartão inválidos”, o que ajudaria a confundir a sistemática desses robôs.
Outros mecanismos como controle de acessos consecutivos de um mesmo IP e número de tentativas inválidas consecutivas também são muito importantes.
Como o Consumidor e Empresas Podem se Precaver de Ataques de Robôs Zumbis?
De acordo com o especialista, para as empresas que buscam aumentar o nível de segurança, é preciso estar de olho em processos de autenticação feitos de forma repetida e aumentos vertiginosos de número de tentativas, sem qualquer explicação aparente.
Outra ação comumente executada pela HST para proteger seus clientes é suspender a possibilidade de o usuário testar repetidamente combinações de números, deixando, por exemplo, um intervalo de 1 minuto a cada tentativa mal sucedida, aumentando este intervalo à medida que o usuário erra novamente.