Como prevenir fraudes de ataque bin
Quando você se torna vítima de fraude no e-commerce, ele pode se sentir pessoal — mas para o fraudador médio, fazer um ataque bem sucedido é apenas um jogo de números. Embora a fraude venha de muitas formas, ataques que visam indivíduos específicos são menos prevalentes do que ataques assistidos por bots em larga escala que tentam peneirar algumas contas vulneráveis e utilizáveis de grandes resmas de dados comprometidos.
Uma forma decididamente impessoal, mas perigosa de fraude, é o ataque bin, que explora o número de identificação bancária usado pelos bancos emissores de cartões de crédito. O que é fraude de ataque bin, e como os comerciantes podem proteger-se dela?
Era uma vez, um fraudador online poderia ter precisado de habilidades de hacking e programação de elite para realizar um grande ataque, mas esses dias passaram o caminho do modem dial-up.
Hoje, todas as ferramentas e recursos que um fraudador precisa para roubar o dinheiro de outras pessoas podem ser encontrados na dark web e em outros cantos ilícitos da internet.
Por um preço, os fraudadores podem ajudar a si mesmos a milhares de números de cartões roubados e contas de usuários, juntamente com os scripts e bots que automatizam o ataque para eles. A grande maioria das credenciais que o fraudador comprou já pode ser relatada e encerrada, mas eles só precisam de uma conta vulnerável de milhares para obter um retorno positivo sobre seu investimento.
Eventualmente, alguns fraudadores descobriram que com tempo suficiente e poder de computação, eles nem precisariam dos números de contas roubados. A fraude de ataque bin é um método de geração de sequências de números de cartão de crédito possivelmente válidos com os que o fraudador pode tentar fazer compras. Quando eles encontram um número que funciona, eles podem começar a usá-lo para fazer compras de bilhetes grandes para valores que eles podem revender por dinheiro.
Ao aprender a reconhecer os ataques bin, os comerciantes podem ter mais facilidade em reconhecer e colocar um fim neles, evitando taxas e chargebacks caros.
O que é fraude de ataque bin?
BIN significa número de identificação bancária, que é o primeiro de quatro a seis dígitos de um número de conta de cartão de pagamento. O BIN identifica a rede de cartões e o banco que emitiu o cartão, o resto do número do cartão é exclusivo da conta do usuário e inclui um dígito de cheque gerado algoritmicamente.
Em um ataque BIN, o fraudador pega um BIN e usa ferramentas de software para gerar uma enorme lista de números de contas derivadas.
Eles então empregam outro tipo de fraude de comércio eletrônico frequentemente encontrada, conhecida como teste de cartão,para experimentar esses números. Isso envolve fazer centenas de transações rápidas de e-commerce por quantias insignificantes em dólares.
A maioria dos números de cartões gerados será inválida ou expirada, e as transações não passarão. Mas quando eles fazem uma transação bem sucedida, o fraudador sabe que eles tiveram sorte em cima de um número de conta de trabalho, que eles usarão rapidamente para fazer compras mais lucrativas até que a atividade fraudulenta seja notada pelo titular do cartão e relatada.
A fraude de ataque bin é especialmente perniciosa porque não envolve nenhum roubo ou violação de dados — o número do cartão da vítima é literalmente escolhido por coincidência aleatória.
Como os comerciantes podem detectar fraudes de ataque bin?
Os ataques bin apresentarão como fraude de teste de cartão — não há realmente nenhuma maneira de os comerciantes saberem se os números de cartões que estão sendo usados no ataque são números reais, comprometidos ou gerados artificialmente.
Fraudes de teste de cartão geralmente parecem muitas transações semelhantes ocorrendo dentro de um curto período de tempo, geralmente para quantias muito pequenas em dólares. As transações podem vir todas do mesmo endereço IP — que é uma oferta morta — mas alguns fraudadores usarão proxies e ferramentas de falsificação para fazer parecer que as transações vêm de fontes diferentes. A maioria dessas transações será recusada porque os números da conta não são válidos ou ativos.
Muitas soluções antifraude incluem ferramentas de verificação de velocidade,que alertam os comerciantes quando os testes de cartão parecem estar ocorrendo. Se você se encontrar no meio de um ataque de teste de cartão, encontre uma maneira de bloquear as transações suspeitas que estão chegando.
Cada um que tiver sucesso será eventualmente descoberto por um titular de cartão e contestado, resultando em um chargeback, que levará taxas caras e um acerto para a sua relação de chargeback, mesmo que o valor da transação seja muito pequeno.
Comerciantes menores e mais novos geralmente correm maior risco de ataques de testes de cartões porque não são tão bem estabelecidos quanto comerciantes maiores e são menos propensos a ter sistemas robustos de detecção de fraudes. Se você não tiver ferramentas de verificação de velocidade, você pode rever seus dados de transação e procurar sinais como tempo incomum ou geolocalização, cartões com números semelhantes ou sequenciais, ou o mesmo número de cartão sendo tentado com datas de validade diferentes.
Como os comerciantes podem prevenir fraudes de ataque bin?
Uma coisa que diferencia os ataques bin de testes de cartão com números roubados é que os dados roubados podem incluir o código de segurança do cartão, enquanto os números gerados para ataques BIN nunca o fazem. Exigir um código de segurança e um correspondente de endereço de cobrança reduzirá significativamente sua vulnerabilidade a ataques de fraude de baixo esforço.
Se você estiver usando uma solução de software antifraude, recursos como verificação de velocidade e impressão digital do dispositivo podem ajudá-lo a capturar esses ataques no início.
Mesmo ferramentas simples de prevenção de fraudes podem ser um bloqueio intransponível para ataques bin e outras formas de fraude que dependem de testes de cartão. Para colocar centenas de transações em um curto espaço de tempo, os fraudadores precisam automatizar o processo usando bots. Qualquer forma de autenticação forte do cliente, como o 3-D Secure, irá parar essas operações de bot, forçando o fraudador a passar para um alvo mais suave.
Conclusão
Diga o que quiser sobre fraudadores online, mas para combatê-los efetivamente você tem que explicar o fato de que eles podem ser muito inventivos e persistentes. Assim como o roubo de identidade sintética começou a suplantar a velha prática de copiar identidades de pessoas reais, muitos fraudadores estão descobrindo que inventar números de contas pode funcionar tão bem quanto roubá-las.
A boa notícia é que a fraude de ataque bin ainda é bastante bruta e detectável no ponto de compra. Comerciantes que se educaram sobre prevenção de fraudes e implementaram uma estratégia defensiva viável estão em uma boa posição para afastar esses ataques.