Por que metade dos vazamentos de cartões de crédito e débito vem do Brasil?

Por Rui Maciel | 22 de Julho de 2020 às 10h55

Mais da metade dos vazamentos - ou 53,9% - de dados de cartões de crédito e débito no mundo tem o Brasil como origem. Essa é uma das conclusões do relatório "Atividade criminosa online no Brasil", feito pela empresa de segurança digital Axur, e é referente ao segundo trimestre de 2020. Isso significa que, em três meses, o país aumentou consideravelmente sua fatia mundial de cartões expostos, já que no primeiro tri, esse indice era de 20,7%. Ou seja, um salto percentual de 33,2%.

De acordo com o documento, no segundo trimestre deste ano, 517.670 cartões de crédito e débito com dados completos foram identificados pela Axur, expostos em páginas da deep e dark web e distribuídos entre 20.564 BINs - sigla em inglês para Números de Identificação Bancária, que equivalem aos seis primeiro dígitos dos cartões e que identificam a instituição financeira emissora e o tipo de cartão. O relatório aponta ainda que deste total, 96,9% (ou 502.093 cartões) estavam dentro da data de validade no momento de detecção.

Segundo a Axur, o número total representa uma diminuição de 48,7% em comparação com o volume de 1.009 milhão de cartões encontrados no primeiro trimestre. Isso se deve à característica variável dessas detecções: milhares de cartões foram encontrados em grandes vazamentos isolados entre janeiro e março. Mesmo com esse decréscimo, o país lidera com folga o nada honronso ranking de vazamento, em comparação a outros país, conforme o gráfico abaixo:

Mas por que esses vazamentos vêm ocorrendo tanto?

Quem responde é Fábio Ramos, CEO da Axur: "O Brasil é um dos países mais populosos do mundo e temos ainda uma alta taxa de penetração de internet, com muitas pessoas fazendo transações online com seus cartões", afirma o executivo. "Esse volume alto atrai uma série de cibercriminosos, que praticam o roubo de dados em dois vetores: junto ao usuário final por meio de golpes de engenharia social e dispositivos fraudados e junto aos pequenos e-commerces, que tendem a ser mais vulneráveis.

Segundo Ramos, do lado dos usuários, os cibercriminosos usam, principalmente a engenharia social. Um dos métodos mais populares é o já tradicional phishing, A partir de e-mails, apps de mensagens (como o WhatsApp) ou redes sociais, eles usam links maliciosos que direcionam as vítimas para páginas falsas e lá, conseguem roubar os dados de seus cartões. Outro ataque que passa despercebido usa hardwares, mais precisamente as maquininhas de empresas como Cielo, Stone ou PagSeguro."Os criminosos adulteram o firmware dessas maquininhas e as utilizam em estabelecimentos como postos de gasolina, pequenos comércios ou entre ambulantes. Esses dispositivos conseguem roubar os dados dos cartões, que poderão ser clonados posteriormente", disse o especialista.

Fábio aponta ainda uma engenharia social pura e simples que atraiu uma leva de usuários e certamente resultou em prejuizos: "No ano passado, um usuário no Twitter publicou uma suposta brincadeira na qual destaca que está customizando cartões de crédito com a imagem de super-heróis da Marvel e que os interessados deveriam enviar seus dados pessoais e do cartão de crédito via mensagem direta. E na época, esse tuíte foi compartilhado 11 mil vezes. E o pior, muitos usuários compartilharam os seus dados", apontou ele. "Não sabemos quantas pessoas enviaram seus dados ou se eles foram, de fato, usados indevidamente. Mas isso mostra que com um pouco de criatividade, você consegue enganar muita gente desatenta".

Golpe de customização de cartões de crédito: o usuário final ainda é o lado mais fraco (Foto: WeLiveSecurity / ESET)

Já do lados dos e-commerces, os de pequeno porte são os alvos preferidos. "Muitas dessas páginas não contam com proteções adequadas. Com isso, os criminosos aproveitam essas brechas para invadir esses sites e instalar uma espécie de 'chupa cabra' de dados, que conseguem coletar as informações dos cartões", declarou Ramos. "Como em páginas de grande porte a segurança é maior e o esforço não compensa, os pequenos varejistas acabam sendo os escolhidos".

Na questão dos prejuízos gerados por esses vazamentos, Fabio afirma que existe um comércio de compra e venda de dados de cartões de crédito e débito na dark web, cujo custo gira em torno de R$ 250 por cartão. "É difícil analisar uma estimativa de prejuízos, porque os bancos não abrem esse tipo de número", afirmou o CEO da Axur. "Mas é fato que o volume de dinheiro envolvido é alto, porque o ticket médio das compras de cartões fraudados gira entre R$ 500 e R$ 1.000, valores relativamente baixos para não chamar a atenção das vítimas ou dos sistemas bancários. Mas o fato é que após a detecção dos gastos, a instituição precisa ressarcir o cliente ou comerciante e até mesmo o dinheiro gasto no plástico dos cartões entra nessa conta", completa.

BINs

Para mensurar esses dados, foram analisadas as 500 BINs com mais cartões vazados, o que também mostra que Brasil é também o país com mais BINs expostas, com 227 aparições.

Juntas, as 500 BINs com mais vazamentos detectados contabilizaram 367.301 cartões. Assim, 2,4% das BINs encontradas somam 70,49% do total de cartões de crédito ou débito. O ranking da imagem abaixo também aponta que o Brasil possui 6 das 10 BINs com mais vazamentos, ainda que o primeiro lugar seja ocupado por uma BIN dos Estados Unidos.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.