Como a Stripe respondeu à onda de ataques de teste de cartões

Lead image 3 (higher res)

De fevereiro a agosto de 2022, a Stripe acompanhou um aumento nas fraudes com cartões de crédito, causadas por golpistas que inundaram o mercado com milhões de transações de valores ínfimos ou nulos. Esses ataques de “teste de cartões” permitem que o criminoso confirme se um cartão roubado ainda funciona e podem prejudicar as empresas. No pico dessa onda, a solução Stripe Radar de prevenção de fraudes bloqueou mais de 20 milhões de tentativas de teste de cartão por dia.

A onda do terceiro trimestre fez parte de uma tendência. Os testes de cartões cresceram nos últimos anos, com mais empresas trabalhando online. Muitas desconhecem os obstáculos do e-commerce e ficam vulneráveis a fraudadores. Com isso, as tentativas de teste de cartão se multiplicaram em até 100x desde 2019.

Card testing sent to Stripe vs baseline v4b OL

Teste de cartões roubados

Os testes de cartões são fundamentais para o processo de fraudes com cartões de crédito roubados. Quando os golpistas compram listas de dados de cartões, eles não sabem quais ainda estão ativos. Alguns podem ter sido cancelados e outros estão vencidos. É difícil determinar o valor real da lista.

É para isso que servem os testes.

Os testadores criam programas que automatizam transações de baixo valor para cada cartão da lista, ou salvam os cartões em algum site como forma de pagamento válida. Cartões usados ou salvos com êxito podem ser vendidos para outros golpistas, que fazem compras maiores ou fabricam cartões falsificados.

“Existe um ecossistema de fraudes com elementos especializados, que atuam em diversos pontos da cadeia de valores para obter ganhos ilícitos”, explica Will Megson, product lead do Radar.

Comerciantes prejudicados

Os testes de cartão em massa causam problemas para comerciantes e plataformas, além de facilitar fraudes. Os comerciantes pagam tarifas baixas que incidem sobre cada transação, mas o valor agregado delas pode causar estragos quando um site se torna um alvo repentino de milhares ou milhões de testes. Pequenos comerciantes podem ir à falência em questão de horas.

E isso é só o começo. Até mesmo as pequenas cobranças por teste de cartão podem ser contestadas pelo titular do cartão, provocando estornos que trazem diversos custos para os comerciantes: tarifas de contestação, resolução, intercâmbio, além das horas de trabalho dedicadas a toda a burocracia. No fim, as bandeiras de cartões ainda podem colocar os comerciantes em categorias de alto risco, como o Programa de Monitoramento de Fraudes da Visa ou o Programa de Conformidade para Comerciantes com Excesso de Fraudes da Mastercard, sob os são penalizados com aumentos nas taxas de processamento e reservas para comerciantes.

“Embora ofereçam controles de proteção, esses programas podem ser punitivos”, analisa Megson.

O Radar responde

Mas temos uma boa notícia: as empresas podem se proteger com pouco esforço, pois o Radar faz o serviço por elas.

Para responder ao surto de testes de cartões, os desenvolvedores da Stripe simplificaram o fluxo de dados da rede para o Radar. Dessa forma, foi possível lançar modelos atualizados de hora em hora, acelerando um processo que antes podia levar até dois dias, e o Radar conseguiu se adaptar rapidamente a novas tendências em fraudes.

“Aplicando o aprendizado de máquina e regras personalizadas antifraude da Stripe, percebemos um declínio nas taxas de fraudes e estornos”, diz Lourdes García, gerente de produto da ótica online Ben & Frank.

A Stripe também criou um novo modelo de machine learning para testes de cartões no nível de cada transação. Para tanto, foi preciso desenvolver novos métodos para classificação correta de transações de teste de cartões, melhores do que os existentes. Isso era quase impossível, porque as bandeiras de cartão não fornecem nenhum tipo de classificação para testes de cartão.

Além dessas melhorias no machine learning, a Stripe criou dezenas de novos limitadores para taxas, um teto para o número de solicitações que a API da Stripe pode processar em um curto período. Somente essa providência já bloqueou quase 40 milhões de testes de cartão este ano.

“Estamos ficando muito mais inteligentes no monitoramento da interação entre scripts de teste e comerciantes”, comemora Megson.

Mais ataques bloqueados

Os resultados são animadores. Este ano o Radar já bloqueou mais 400 milhões de fraudes, reduzindo à metade o número de ataques de teste de cartão sem aumentar a taxa de falsos positivos para transações legítimas.

“Estávamos quase perdendo a capacidade de processar pagamentos por causa do número de fraudes. Quando adotamos o Radar, conseguimos automatizar o combate às fraudes e estabelecer soluções melhoradas contra os testes de cartão”, conta Matt Maier, CEO da AdBlock.

A Stripe continua a investir no Radar, combinando inovações em machine learning e lições do mundo real na luta contra os testes de cartão. Conforme as fraudes evoluem, o Radar também avança.