Um Número de Identificação Bancária, ou BIN, é a sequência inicial de seis a oito números que aparece em um cartão de crédito, cartão de débito ou outro cartão de pagamento. Essa sequência identifica o emissor do cartão e facilita as transações financeiras eletrônicas, garantindo que a cobrança seja enviada ao banco correto para pagamento.
Além de identificar o banco emissor, o BIN também pode fornecer informações sobre o tipo de cartão (por exemplo, cartão de crédito, débito ou presente), o nível do cartão (por exemplo, padrão, ouro ou platina) ou a localização geográfica da instituição emissora. Os números BIN desempenham um papel fundamental na segurança e na prevenção de fraudes para transações eletrônicas, verificando a autenticidade do cartão usado e permitindo que os processadores de pagamentos apliquem processos adequados de gerenciamento de riscos.
Os ataques BIN são uma forma de fraude de cartão de crédito em que os cibercriminosos usam métodos de força bruta para adivinhar combinações válidas de informações de cartão de crédito. Somente em 2022, as perdas por fraudes com cartões de crédito totalizaram US$ 219 milhões nos EUA. Durante um ataque BIN, os criminosos testam sistematicamente várias combinações de números de cartão de crédito, datas de validade e valores de verificação de cartão (CVVs). Assim que encontram uma combinação que funciona, testam o cartão fazendo pequenas compras. Esses ataques são desafiadores para as instituições financeiras, pois causam perdas financeiras, danos à reputação e interrupções operacionais.
Neste artigo, discutimos o que as empresas precisam saber sobre ataques BIN, como eles funcionam e as etapas para evitá-los.
Neste artigo:
- Como funcionam os ataques BIN?
- Quais empresas são mais vulneráveis a ataques BIN?
- Como prevenir e mitigar ataques BIN
- Práticas recomendadas para proteger sua empresa contra ataques BIN
Como funcionam os ataques BIN?
Ataques BIN envolvem fraudadores explorando o BIN para gerar números válidos de cartões de crédito ou débito para fins ilícitos. BIN é a sequência inicial de seis a oito números em um cartão de crédito ou débito que identifica o banco emissor e o tipo de cartão. Veja a seguir um detalhamento de como esses ataques ocorrem:
Identificação do BIN : Primeiro, os invasores adquirem os BINs de bancos ou emissores de cartão. Isso pode ser feito por vários meios, como pela compra de listas BIN na dark web, extração de dados de cartões roubados ou uso de informações disponíveis publicamente.
Geração do número do cartão: Os invasores geram números de cartão completos anexando dígitos gerados aleatoriamente ao BIN e calculando o dígito de verificação apropriado (geralmente o último dígito) usando o algoritmo de Luhn, que é uma fórmula usada para validar uma variedade de números de identificação. Os invasores BIN mais sofisticados podem usar scripts ou bots automatizados para gerar e testar milhares de números de cartões, aumentando a eficiência e a escala dos ataques.
Tentativas de validação: Os números de cartão gerados são testados em sites, geralmente aqueles com medidas de segurança fracas ou onde o processo de verificação não envolve imediatamente uma transação real (como adicionar um cartão a uma carteira digital ou verificação da validade do cartão em determinadas plataformas online).
Exploração: Assim que um número de cartão válido é identificado, os fraudadores podem usá-lo para fazer compras ou transações não autorizadas até que o cartão seja bloqueado ou a fraude seja detectada pelo titular do cartão ou pelo banco emissor. Os fraudadores podem usar os dados do cartão para fazer compras online, criar cartões falsificados ou vender as informações na dark web.
Esses ataques podem gerar perdas financeiras para clientes e empresas, prejudicar a confiança nas instituições financeiras e aumentar os custos operacionais relacionados à detecção e prevenção de fraudes.
Quais empresas são mais vulneráveis a ataques BIN?
Normalmente, as empresas mais suscetíveis a ataques BIN são aquelas que processam um alto volume de transações online e podem não ter processos de verificação rigorosos.
Varejistas online: Empresas do e-commerce que aceitam pagamentos online costumam ser alvo de ataques BIN devido ao seu maior volume de transações e ao potencial de anonimato nas compras online.
Vendedores de produtos digitais: Empresas que vendem produtos digitais, como software, música ou vídeos, correm risco porque os produtos digitais podem ser obtidos de forma rápida e fácil, tornando-os um alvo atraente para fraudadores.
Empresas de viagens e hospitalidade: Companhias aéreas, hotéis e agências de viagens estão suscetíveis a ataques BIN, pois geralmente lidam com transações de alto valor e clientes internacionais, o que dificulta a detecção de atividades fraudulentas.
Empresas de jogos e apostas: As plataformas de jogos de azar e jogos online são alvos frequentes de ataques BIN devido à natureza instantânea e de alto valor das transações, bem como ao potencial de anonimato.
Serviços por assinatura: Empresas que oferecem serviços baseados em assinatura, como plataformas de streaming ou sites de assinatura, estão em risco porque fraudadores podem explorar modelos de cobrança recorrente para realizar transações fraudulentas por um longo período.
Instituições financeiras: Os próprios bancos e instituições financeiras podem ser alvo de ataques BIN, uma vez que os agentes fraudulentos procuram explorar fragilidades nos sistemas de processamento de pagamentos e realizar transações não autorizadas.
Processadores de pagamentos: Empresas que processam pagamentos para outras também são vulneráveis a ataques BIN, pois uma violação em seus sistemas pode ter consequências prejudiciais para empresas e seus clientes.
Como prevenir e mitigar ataques BIN
Análise comportamental e machine learning: Implemente modelos avançados de machine learning e análises comportamentais para detectar padrões de transação anômalos. Esses sistemas podem aprender com dados históricos de transações, reconhecer padrões que indicam atividade fraudulenta e adaptar-se a novas ameaças ao longo do tempo.
Tokenização e criptografia: Além da criptografia básica, use tokenização para substituir dados sigilosos de cartão por um identificador único (token) que não tem valor se violado. Certifique-se de que a tokenização seja aplicada em todos os sistemas onde os dados de cartão são processados ou armazenados. Considere também empregar métodos criptográficos avançados, como a criptografia homomórfica, que permite cálculos em dados criptografados, fornecendo uma camada adicional de segurança.
3D Secure 2: Implemente a versão mais recente do 3D Secure, que proporciona uma camada adicional de autenticação para transações online e oferece uma experiência de usuário mais simplificada e oferece recursos mais avançados de prevenção contra fraudes.
Detecção de fraudes em nível de rede: Use análises avançadas em nível de rede para detectar e prevenir ataques BIN. Isso pode incluir a análise do tráfego de rede em busca de padrões suspeitos, o monitoramento de sinais de exfiltração de dados e a implementação de um sistema avançado de detecção de intrusão (IDS).
Segurança de endpoints: Assegure que todos os endpoints, especialmente os envolvidos no processamento de transações, estejam protegidos com plataformas avançadas de proteção de endpoints (EPPs) que incluem antivírus de última geração, detecção e resposta de endpoints (EDR) e modelos de segurança de confiança zero.
Segurança avançada de aplicativos: Empregue medidas abrangentes de segurança de aplicativos, incluindo auditorias regulares de código, criptografia em nível de aplicativo e firewalls de aplicativos web (WAFs), que são configurados para detectar e bloquear padrões de ataque específicos de ataques BIN.
Inspeção profunda de pacotes (DPI): Use DPI no perímetro da rede para examinar o tráfego de entrada e saída na camada do aplicativo. Isso pode ajudar a identificar e bloquear pacotes potencialmente mal-intencionados que possam fazer parte de um ataque BIN.
Autenticação rigorosa: Incorpore métodos de verificação biométrica, como impressão digital ou reconhecimento facial, para camadas adicionais de autenticação, especialmente para alterações em formas de pagamento. Para transações de alto risco, considere implementar a autenticação baseada em consentimento, na qual o usuário deve aprovar explicitamente a transação por meio de um canal separado e seguro.
Pontuação de risco baseada em IA: Desenvolva ou integre sistemas baseados em IA que atribuam pontuações de risco a transações em tempo real com base em uma variedade de fatores, incluindo comportamento do usuário, identificação do dispositivo e contexto da transação. Transações com altas pontuações de risco podem acionar verificações adicionais ou ser totalmente bloqueadas.
Análise cross-channel e geolocalização: Faça análises em diferentes canais (ex.: online, celular e na loja) para detectar padrões e vínculos em atividades fraudulentas. Essa visão holística pode revelar esquemas de fraude sofisticados que exploram vários canais. Analise também os dados de geolocalização das transações para detectar discrepâncias, como um cartão sendo usado em dois locais distantes dentro de um período de tempo implausível.
Blockchain para segurança de transações: Explore o uso da tecnologia blockchain por seus recursos de imutabilidade e transparência para proteger as transações. Contratos inteligentes podem ser empregados para aplicar automaticamente as regras de transação, reduzindo o potencial de fraude.
Práticas recomendadas para proteger sua empresa contra ataques BIN
Segmente sua rede: Divida sua rede em segmentos para limitar a propagação de possíveis invasões e facilitar um monitoramento mais focado. Monitore segmentos que processam informações de pagamento confidenciais para detectar e responder a atividades incomuns prontamente.
Mantenha sua empresa no que diz respeito à inteligência de ameaças: Use feeds de inteligência de ameaças em tempo real para manter os sistemas atualizados das mais recentes táticas de ataque BIN e indicadores de comprometimento (IOCs). Essas informações podem ajudar você a atualizar as medidas defensivas e responder de forma mais eficaz a novas ameaças.
Planeje uma resposta proativa a incidentes: Tenha um plano sofisticado de resposta a incidentes, projetado especificamente para lidar com ataques BIN. Ele deve incluir procedimentos para detecção rápida, contenção, erradicação e recuperação, juntamente com estratégias de comunicação para as partes interessadas.
Reavalie continuamente os protocolos de segurança: Avalie regularmente sua postura de segurança por meio de testes de penetração, avaliações de vulnerabilidade e auditorias de segurança para identificar e resolver possíveis fraquezas que poderiam ser exploradas em um ataque BIN.
O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.