Os vazamentos em massa de números de cartões de crédito continuam a aparecer nos noticiários do mundo inteiro. Nos Estados Unidos, executivos da rede Target, onde aconteceu um dos maiores vazamentos (40 milhões de cartões), já foram dar depoimentos ao Congresso, ao mesmo tempo em que os legisladores tentam, ainda sem sucesso, criar leis capazes de evitar que fatos como esses ocorram de novo.
No entanto, pouco se falou sobre o que realmente aconteceu à enorme quantidade de dados que foi furtada não só da Target como também de outras organizações. No caso da Target, como os dados foram agrupados para venda? Como é a sofisticação desse mercado onde foram vendidos?
Os especialistas da Easy Solutions fazem monitoramento constante dos mercados negros da internet, como parte do trabalho de proteção contra fraudes para seus clientes, e têm um mapeamento perfeito do que ocorre ali.
Este relatório é um pequeno resumo das informações sobre o assunto, um ‘’tour guiado’’ no sombrio mundo dos sites que vendem números de cartões de crédito e uma análise de um deles, o Valid Shop. O relatório mostra o que acontece quando as informações sobre o cartão de uma pessoa são oferecidas, como os sindicatos do crime combinam esses dados com outras “mercadorias” para melhor vendê-las, como dão preços aos “pacotes” e seu grau de profissionalização.
Como a Valid Shop ficou exposta, seus donos e frequentadores já se mudaram para outros endereços na deep web.
Principais descobertas
– O mercado negro de cartões de crédito é tão ou mais sofisticado do que o mercado eletrônico da Amazon, oferecendo, além do ‘produto’, suporte e serviços;
– Os sites de venda utilizam as tecnologias de desenvolvimento mais sofisticadas para tornar as buscas mais rápidas e amigáveis, tornando muito fácil adquirir cartões específicos – por exemplo, escolhendo-se a bandeira;
– O BitCoin continua sendo o método preferido pelos vendedores para o fechamento dos negócios, embora também sejam aceitos Perfect Money e transferências de fundos como Money Grant e Western Union;
– Mercados mais sofisticados chegam a oferecer testes com os números dos cartões, para garantir que um cartão roubado e recém-comprado é válido e ainda pode ser utilizado.
Sofisticação
Cartões de crédito recém-furtados estão sempre aparecendo nos mercados negros, vindos de várias origens – invasões, logs de transações não-criptografadas e até alguns obtidos por falsas máquinas de leitura. Tal como outros sites de comércio eletrônico, o Valid Shop e outros do gênero têm o objetivo de proporcionar uma experiência de compra tranquila e fácil para seus clientes. Muitos dos sites do gênero dispõem de funcionalidades típicas de sites de e-commerce sofisticados – informação sobre o produto, carrinho de compras, notícias sobre o assunto e mesmo ofertas de serviços e de suporte.?
As interfaces dessas lojas estão se tornando cada vez mais ricas e funcionais, proporcionando utilização totalmente “amigável”, permitindo que os usuários encontrem o que querem em poucos cliques. Os compradores podem buscar, por exemplo, por tipo de cartão, banco, localização geográfica e até mesmo pelo nome do ex-proprietário.
Outros critérios disponíveis para filtragem são:
- País de origem
- BIN (número do banco)
- Tipo de cartão (VISA ou AMEX, por exemplo)
- Qualidade dos cartões (Standard, Platinum, Black, etc)
- Qualidade da lista furtada (Target, Neiman Marcus, etc)
- Banco emissor (dado útil quando o criminoso sabe que aquele banco não utiliza determinadas proteções para aqueles cartões)
Quando o comprador escolhe pagar com BitCoins, um endereço BitCoin “não rastreável” é imediatamente criado, ficando à espera do depósito.?
O Perfect Money é aceito em certos fóruns, assim como transferências eletrônicas como Money Grant e Western Union. Em alguns países, o comprador só tem essa opção. Embora nesse caso os criminosos tenham de ir a uma loja, eles dão um jeito de esconder o rosto para que sua imagem não seja registrada pelas câmeras. Em outras palavras, os métodos de pagamento para cartões furtados continuam virtualmente não-rastreáveis, e esse crime se torna mais sofisticado a cada dia.
Como bons operadores de comércio eletrônico, tanto a Valid Shop quanto outros vendedores de cartões de crédito no mercado negro facilitam muito as compras. A Valid Shop chega a disponibilizar ofertas que podem ser aceitas num só clique, para aqueles com o impulso desesperado de comprar um cartão de crédito roubado instantaneamente.
A Valid Shop tem o diferencial de oferecer aos clientes um recurso para que testem uma transação do cartão escolhido, comprovando que ele está em funcionamento e será aceito. Para estimular mais a compra, é oferecida “satisfação garantida ou seu dinheiro de volta”. No caso da Valid Shop, o reembolso pode ser feito na hora. Outros sites fazem o reembolso automaticamente quando a transação é recusada.
Conclusão
Para os especialistas da Easy Solutions, as tecnologias da Web tornaram possíveis todos os tipos de comércio eletrônico, inclusive aqueles dedicados à venda de itens ilegais, como os cartões roubados e mercadorias ilegais – armas e drogas, por exemplo. As tecnologias favorecem a busca, processamento de pedidos e prestação de serviços ao comprador. Com certeza os criminosos continuarão melhorando a qualidade desses sites, tornando cada vez mais fácil o acesso aos cartões roubados. Bancos e outras organizações financeiras travam uma luta desigual contra esses mercados altamente organizados e administrados. Ao mesmo tempo, o comprometimento desses cartões é inevitável.
Para eles, compreender a dinâmica desses mercados permite rapidamente identificar quais os cartões comprometidos, alertando as organizações para que façam o bloqueio e substituição, reduzindo assim o tempo em que eles podem ser utilizados.
