Comece agora  Fale com a equipe de vendas 

Ataques de mestres de crédito no Japão: O que são e como preveni-los

Radar
Radar

Combata fraudes com a força da rede da Stripe.

Saiba mais 
  1. Introdução
  2. O que é um ataque de mestre de crédito?
    1. A técnica do mestre de crédito
    2. Danos causados por ataques de mestres de crédito
  3. Como os ataques de mestres de crédito afetam as empresas no Japão?
    1. Aumento nas despesas de processamento devido ao grande número de solicitações de autorização
    2. Perda de oportunidades de vendas e reclamações de clientes
    3. Suspensão de pagamentos com cartões de crédito
    4. Perda da confiança dos clientes e disseminação de danos
  4. Como as empresas no Japão podem evitar ataques de mestres de crédito?
    1. 3D Secure
    2. Ferramentas de contramedida de bot
    3. Sistemas de detecção de fraude
    4. Limites de entrada de dados de cartões
  5. Como os ataques de mestres de crédito impactam os titulares de cartão?
    1. Uso de cartão fraudulento não detectado
    2. Nova emissão do cartão
  6. Como os titulares de cartão podem evitar ataques de mestres de crédito?
    1. Prevenção de ataques de mestres de crédito
    2. Recuperando-se de um ataque de mestre de crédito
  7. Perguntas frequentes sobre ataques de mestres de crédito
    1. Quando o extrato de um cartão de crédito é atualizado?
    2. É possível que apenas o número do cartão de crédito possa ser usado indevidamente?
    3. Quando se tornará obrigatório o 3D Secure para cartões de crédito?
  8. O que saber sobre ataques de mestres de crédito
  9. Comece já com a Stripe 

Um ataque de mestre de crédito é um ato criminoso no qual alguém obtém e usa ilegalmente os dados do cartão de crédito de outra pessoa. Os ataques de mestres de crédito estão aumentando no Japão e têm um impacto significativo sobre empresas e titulares de cartões. Por conta disso, é necessário utilizar medidas para evitar ataques de mestres de crédito.

Neste artigo, explicamos os ataques de mestres de crédito, os danos que eles podem causar e contramedidas que as empresas e os titulares de cartão podem usar para evitá-los.

Neste artigo:

  • O que é um ataque de mestre de crédito?
  • Como os ataques de mestres de crédito impactam as empresas no Japão? 
  • Como as empresas no Japão podem prevenir ataques de mestres de crédito?
  • Como os ataques de mestres de crédito impactam os titulares de cartão?
  • Como os titulares de cartão podem prevenir ataques de mestres de crédito?
  • Perguntas frequentes sobre ataques de mestres de crédito
  • O que saber sobre ataques de mestres de crédito

O que é um ataque de mestre de crédito?

Um ataque de mestre de crédito é um método de fraude de cartão de crédito que usa a consistência de dígitos de número de cartões de crédito para obter esses números ilegalmente. Em um ataque de mestre de crédito, o invasor usa um programa ou software que gera automaticamente números aleatórios. Esses números são testados para identificar números de cartão e códigos de segurança válidos.

Os invasores usam as páginas de pagamento de sites de ecommerce para determinar se esses números gerados por máquina são ou não números de cartão de crédito válidos. Se uma página de pagamento aceita um pagamento com cartão de crédito usando esses números, o número do cartão e o código de segurança são considerados válidos. Eles correm o risco de serem usados de forma fraudulenta em vários outros sites de ecommerce.

Aqui está uma explicação detalhada dos métodos específicos usados em um ataque de mestre de crédito:

A técnica do mestre de crédito

Um ataque de mestre de crédito envolve a geração automática de números com base na regularidade do número do cartão de crédito.

De acordo com a norma internacional da International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 7812, os números de cartões de crédito são compostos por:

  • Número de identificação do emissor (IIN): às vezes, também é chamado de número de identificação bancária (BIN) e inclui os seis primeiros dígitos.

  • Um número de conta do membro: o sétimo ao penúltimo dígitos compõem esse número.

  • Um dígito de verificação: este é o último dígito.

Usando um algoritmo especial, o dígito de verificação determina se o número do cartão está correto. O emissor do cartão de crédito determina o IIN. Esta é uma informação pública que qualquer pessoa pode verificar. Por exemplo, aos cartões de crédito Rakuten é atribuído o IIN "3584-03" e aos cartões de crédito EPOS Visa é atribuído o IIN "4897-83".

Depois de estabelecer um ponto de partida por meio de algumas suposições, os números são gerados automaticamente por um computador. O número final é calculado testando repetidamente combinações do código de segurança e da data de validade, além do IIN, número de conta do membro e dígito de verificação.

Danos causados por ataques de mestres de crédito

De acordo com a Japan Consumer Credit Association, o valor total dos danos causados pelo uso não autorizado de cartões de crédito no Japão de janeiro a dezembro de 2023 foi de ¥ 54,1 bilhões, o maior valor já registrado. Em comparação com os ¥ 43,7 bilhões em danos totais em 2022, isso representa um aumento de mais de ¥ 10 bilhões em um único ano.

Quando o valor dos danos causados pelo uso fraudulento de cartões de crédito é dividido em categorias, o valor total dos danos causados pelo roubo de números em 2023 foi de ¥ 50,5 bilhões. Isso representa 93,3% do total de danos causados pelo uso fraudulento de cartões de crédito.

Os ataques de mestres de crédito normalmente se enquadram na categoria de roubo de número, mas nem todos os ataques que envolvem roubo de número usam técnicas de mestres de crédito. No entanto, de acordo com as tendências recentes, as atividades fraudulentas envolvendo roubos de números de cartão de crédito – incluindo técnicas de mestres de crédito – estão se tornando mais complexas e sofisticadas a cada ano. Há uma preocupação de que as perdas continuem aumentando.

Como os ataques de mestres de crédito afetam as empresas no Japão?

Veja como esses ataques afetam as empresas japonesas:

Aumento nas despesas de processamento devido ao grande número de solicitações de autorização

A autorização de cartões (ou seja, o processo de garantir crédito ou receber aprovação de crédito) permite que as empresas verifiquem junto à empresa do cartão de crédito se o cliente tem fundos ou crédito suficientes disponíveis para pagar uma transação. A empresa deve pagar à empresa de cartão de crédito uma tarifa de processamento para cada autorização, normalmente entre ¥ 1 e ¥ 5.

Se um site de ecommerce sofrer um ataque de mestre de crédito, normalmente será cobrado um grande valor de tarifas de autorização à medida que os números de cartão são enviados para autorização. Embora a tarifa de cada tentativa de autorização seja pequena, o custo das autorizações pode rapidamente chegar a um grande valor.

Mesmo que os cartões de crédito não sejam usados de forma fraudulenta diretamente nesse site, a empresa ainda pode sofrer danos devido a um grande número de autorizações e seus custos associados.

Perda de oportunidades de vendas e reclamações de clientes

Durante um ataque de mestre de crédito, um grande número de tentativas de acesso é feito em um único local. Isso pode sobrecarregar o sistema, tornando mais lento o processamento de pagamentos e pedidos e, em alguns casos, impedindo que clientes legítimos acessem o site de ecommerce. O mais problemático é que os pagamentos com cartões de crédito podem ficar temporariamente indisponíveis.

Se essa situação ocorrer em um site de ecommerce, os clientes provavelmente se sentirão incomodados, desconfiados ou desconfortáveis e podem parar de usar o site completamente. Isso pode resultar em uma perda de oportunidades de vendas para o negócio. Além disso, o site será inundado por consultas e reclamações de clientes reais preocupados sobre se seus pedidos e pagamentos foram processados corretamente.

Suspensão de pagamentos com cartões de crédito

As empresas de cartões de crédito monitoram constantemente as condições de pagamento. Por esse motivo, elas podem suspender temporariamente os pagamentos de sites de ecommerce que tenham sido alvo de um ataque de mestre de crédito.

A técnica de mestre de crédito usa um grande número de números aleatórios que entram em conflito entre si. Isso resulta no grande número de solicitações de autorização mencionadas acima, que podem ser sinalizadas como fraude. Como resultado, o provedor de cartão de crédito pode considerar necessário interromper completamente os pagamentos com cartão de crédito em um determinado site. Enquanto esses pagamentos estiverem suspensos, é impossível fornecer serviços de pagamento com cartão de crédito para clientes legítimos.

Perda da confiança dos clientes e disseminação de danos

Como mencionado acima, os pagamentos com cartão de crédito podem ficar temporariamente indisponíveis. Se o site de ecommerce ficar fora do ar enquanto um cliente está fazendo um pedido, ele pode perceber que o site não é seguro ou não consegue processar pagamentos seguros.

Se um cliente verificar com a empresa, pode receber uma resposta como: "Os pagamentos com cartão de crédito estão temporariamente suspensos devido a atividades nãos autorizadas de fora da empresa". Uma mensagem como essa pode aumentar o desconforto ou a desconfiança do cliente.

Além disso, se um ataque de mestre de crédito for bem-sucedido, os invasores de mestre de crédito podem considerar que o site tem pouca segurança. Portanto, o site pode continuar a ser alvo no futuro. Além disso, se um terceiro mal-intencionado obtiver dados válidas de um cartão de crédito a partir do site de ecommerce de uma empresa, os dados pessoais dos clientes foram comprometidas. As informações do cartão também podem ser usadas de forma fraudulenta em outros lugares, resultando em mais danos aos clientes.

Como as empresas no Japão podem evitar ataques de mestres de crédito?

Estas são as etapas que as empresas podem tomar para se proteger contra ataques de mestres de crédito e reduzir a probabilidade de serem afetadas:

3D Secure

3D Secure é um sistema de autenticação que visa impedir o uso não autorizado de cartões de crédito ao fazer pagamentos em sites de ecommerce. Senhas de uso avulso e autenticação biométrica estão se tornando a norma, e elas são usadas para confirmar que a pessoa que está inserindo os dados do cartão de crédito é o proprietário legítimo do cartão.

Por exemplo, no 3D Secure 2.0 (também conhecido como "EMV 3-D Secure"), é possível impedir o uso não autorizado, como o roubo de dados de cartão de crédito. O sistema realiza a avaliação de risco com base em dados detalhados, como informações do dispositivo do cliente, região de acesso e hora do dia. No entanto, o 3D Secure 2.0 por si só não é suficiente para prevenir completamente as fraudes, de modo que é necessário implementar várias outras medidas de prevenção de fraudes além do 3D Secure 2.0.

Ferramentas de contramedida de bot

O uso de ferramentas de detecção de bots é outra maneira de impedir o acesso automatizado não autorizado, incluindo ataques de mestres de crédito. O reCAPTCHA do Google é uma ferramenta de detecção de bots bem conhecida e é um serviço de segurança que qualquer empresa pode adotar.

O reCAPTCHA v2 apresenta dois tipos de testes. Um exige que o cliente marque uma caixa para confirmar que não é um robô, e o outro exige que os clientes selecionem as imagens corretas de um conjunto de várias imagens. Por exemplo, as instruções podem dizer: "Selecione as imagens que incluem uma faixa de pedestres." Essas mensagens são frequentemente vistas ao enviar um formulário de consulta em um site ou ao fazer login em uma conta.

Além disso, a versão mais recente — reCAPTCHA v3 — usa machine learning para analisar os padrões de atividade da web dos clientes e determinar automaticamente se o site está sendo acessado por um humano ou robô. Embora o reCAPTCHA v3 não exija a entrada do cliente como o reCAPTCHA v2, ele fornece segurança superior.

Sistemas de detecção de fraude

Um sistema de detecção de fraudes identifica o uso fraudulento com base em dados e comportamento de pagamentos anteriores. Algumas das informações que procura incluem:

  • Um endereço inválido ou fictício

  • Nome do titular do cartão incorreto

  • Pedidos feitos a partir de diferentes terminais

  • Pagamentos repetidos com números de cartão diferentes

Com um sistema de detecção de fraudes, as empresas podem prevenir com mais eficácia danos a sites de ecommerce, detectando e bloqueando automaticamente transações fraudulentas que não podem ser verificadas com 3D Secure. Os sistemas de detecção de fraude também não exigem que os titulares de cartão legítimos passem por etapas adicionais para fazer pagamentos, como solicitação de autenticação adicional. Isso pode levar a uma melhor experiência de compra para os clientes.

A Stripe ajuda as empresas a otimizar o ambiente de pagamentos online ao lidar com a crescente ameaça de fraudes em escala global. A ferramenta proprietária de prevenção de fraudes da Stripe, o Stripe Radar, usa machine learning para se adaptar às mudanças constantes dos padrões de fraude, habilitando medidas mais avançadas de prevenção contra fraudes. Como ele pode ser incorporado ao fluxo de pagamento sem tempo e custo extras para desenvolver de forma independente um sistema de detecção de fraude, o uso do sistema pode ser iniciado sem problemas e facilmente.

Limites de entrada de dados de cartões

Definir um limite para o número de vezes que um cliente pode inserir os dados do cartão de crédito na tela de pagamento pode evitar ataques de mestres de crédito em grande escala.

No entanto, se o limite for muito apertado, isso poderá bloquear o uso do cartão se um titular legítimo do cartão inserir informações incorretas por engano muitas vezes. Um limite excessivamente rigoroso pode aumentar o risco de abandono do carrinho de compras e diminuir a satisfação do cliente.

Como os ataques de mestres de crédito impactam os titulares de cartão?

Veja a seguir alguns exemplos de danos que um titular de cartão pode sofrer em decorrência de um ataque de mestre de crédito:

Uso de cartão fraudulento não detectado

Se as informações de cartão de crédito geradas em um ataque de mestre de crédito forem consideradas válidas, é provável que sejam usadas por terceiros mal intencionados. À medida que os invasores de mestres de crédito adotam métodos mais sofisticados, muitos deliberadamente mantêm a quantidade de dinheiro gasto tão baixa que não é imediatamente detectada como uso fraudulento pelo cliente.

Nova emissão do cartão

Se houver várias instâncias de transações de cartão de crédito fraudulentas, a empresa do cartão de crédito pode decidir cancelar o cartão. Como explicaremos mais adiante, se um titular de cartão de crédito perceber um ataque de mestre de crédito por conta própria, ele precisará entrar em contato com a empresa do cartão de crédito e cancelar o cartão. Em ambos os casos, o cartão precisará ser emitido novamente e não poderá ser usado até que isso ocorra.

Como os titulares de cartão podem evitar ataques de mestres de crédito?

Quando um cartão de crédito é usado de forma fraudulenta em um ataque de mestre de crédito, é um fardo financeiro e psicológico para o cliente. Veja o que os titulares de cartões podem fazer para reduzir o risco de serem vítimas e o que devem fazer se os dados de cartão de crédito forem usados em um ataque de mestre de crédito:

Prevenção de ataques de mestres de crédito

Verifique os extratos do seu cartão com cuidado e regularidade

Quando um titular de cartão verifica seu extrato regularmente, é mais provável que perceba pagamentos que não se lembra de ter feito. Por exemplo, em comparação com alguém que só verifica seu extrato uma vez por mês, alguém que verifica seu extrato após cada viagem de compras ou refeição terá maior probabilidade de dizer se um pagamento é ou não incomum.

Use um serviço de notificação de uso

Um serviço de notificação de uso permite que um titular de cartão receba notificações por e-mail, mensagem de texto ou notificação push sempre que um cartão de crédito for usado. Os titulares são notificados em tempo real sobre o valor, data, hora, nome da empresa e outras informações após o uso do cartão. Se receber uma notificação quando não usou o cartão, o titular saberá imediatamente que é fraude e poderá tomar as medidas apropriadas.

Defina restrições de uso do seu cartão

Definir um limite para cada tipo de situação de uso pode proporcionar certa tranquilidade aos clientes de cartões de crédito. Também é importante estabelecer limites individuais para cada situação. Por exemplo, se o titular nunca viaja para fora do Japão, ele pode definir o limite internacional como o mínimo. Também podem definir o cartão para evitar transações únicas de alto valor, portanto, é menos provável que se tornem um alvo de fraude de compras on-line.

Recuperando-se de um ataque de mestre de crédito

Às vezes, esses ataques são inevitáveis, mesmo que a empresa e o titular do cartão tomem todas as medidas possíveis para evitar fraudes. Veja o que um titular de cartão pode fazer se for vítima de um ataque de mestre de crédito:

Entre em contato com a empresa do cartão de crédito para suspender o cartão

Assim que o titular do cartão perceber qualquer uso não autorizado, deverá entrar em contato imediatamente com a administradora do cartão e solicitar a suspensão do cartão. Se o uso não autorizado for descoberto, o cliente pode solicitar um reembolso recusando o pagamento por um processo chamado estorno.

Use o sistema de compensação

Depois que um cartão de crédito é suspenso, os titulares do cartão podem usar o sistema de compensação da empresa do cartão de crédito. Os detalhes da compensação são diferentes para cada empresa, mas se o uso não autorizado tiver sido confirmado, é possível usar o sistema de compensação como uma medida de alívio ao consumidor. Portanto, os titulares de cartão devem verificar os detalhes do sistema de compensação com antecedência. Isso pode ajudá-los a agir com calma no caso de um ataque de mestre de crédito.

Perguntas frequentes sobre ataques de mestres de crédito

Quando o extrato de um cartão de crédito é atualizado?

Em termos de tempo, quando a loja envia os dados de uso para a empresa de cartão de crédito, isso é refletido no extrato. Por exemplo, se a loja envia dados de uso imediatamente após um pagamento com cartão de crédito, geralmente leva de dois a três dias entre o momento do pagamento e o momento em que aparecem no extrato. No entanto, o tempo de transmissão de dados varia de acordo com cada loja. Em alguns casos, pode levar várias semanas ou meses para que uma cobrança apareça em um extrato.

Se um titular de cartão usar um cartão de crédito para pagar um produto, os dados da transação não aparecerão no extrato imediatamente.

É possível que apenas o número do cartão de crédito possa ser usado indevidamente?

Os cartões de crédito incluem vários dados que podem ser usados indevidamente, como código de segurança e data de validade. Algumas pessoas podem se preocupar com o fato de o número do cartão ter sido revelado a terceiros e poder ser usado indevidamente. No entanto, em geral, se apenas um desses dados for vazado, as chances de uso não autorizado bem-sucedido são baixas.

Isso ocorre porque as compras online em um shopping de ecommerce ou a assinatura de serviços digitais pela Internet exigem que os titulares do cartão insiram o número do cartão, o código de segurança e a data de validade. Em outras palavras, não é possível fazer um pagamento online com cartão de crédito apenas com o número do cartão.

No entanto, se o código de segurança e a data de validade vazarem junto com o número do cartão, esses dados podem ser usados de forma fraudulenta. Por esse motivo, sempre que um titular de cartão faz um pagamento com cartão de crédito, presencialmente ou não, deve ter cuidado com o que as pessoas ao seu redor podem ver. Os titulares devem evitar fazer compras online em locais com grande número de pessoas, pois alguém pode tentar olhar para a tela de pagamento e obter seus dados.

Quando se tornará obrigatório o 3D Secure para cartões de crédito?

Como parte das medidas para evitar o uso não autorizado de cartões de crédito, o 3D Secure 2.0 será obrigatório para sites de ecommerce no Japão até o final de março de 2025. À medida que o 3D Secure se torna obrigatório, é importante que todas as empresas envolvidas no setor de cartões de crédito incentivem a participação de empresas de ecommerce.

O que saber sobre ataques de mestres de crédito

Neste artigo, examinamos os métodos de ataque e o valor monetário do dano em ataques de mestres de crédito, bem como os danos e contramedidas para empresas e clientes.

Os ataques de mestres de crédito envolvem técnicas maliciosas que permitem ataques aleatórios usando a geração automática de números por máquinas como forma de obter dados de cartões de crédito de forma fraudulenta. Para se defender contra invasores que planejam usar a técnica de mestre de crédito, é muito importante ter suporte a 3D Secure e fortalecer o nível de segurança do site de ecommerce da sua empresa. Para fazer isso, implemente a detecção de fraudes e crie um ambiente no seu site para que os clientes possam fazer compras tranquilamente.

Do lado do cliente, os titulares de cartões de crédito também devem ter cuidado extra ao usar seus cartões, verificar seus extratos regularmente e ter cuidado ao armazenar e gerenciar seus dados pessoais.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Radar

Radar

Combata fraudes com a força da rede da Stripe.

Documentação do Radar

Use o Stripe Radar para proteger sua empresa contra fraudes.