Entrar 

What is carding? How this type of fraud works and how businesses can prevent it

Connect
Connect

Os marketplaces e plataformas mais bem-sucedidos do mundo, como Shopify e DoorDash, usam o Stripe Connect para incorporar pagamentos aos seus produtos.

Saiba mais 
  1. Introdução
  2. Como funciona o carding
    1. Roubo de dados de cartão
    2. Teste da validade do cartão
    3. Realização de transações fraudulentas
    4. Evitando a detecção
  3. Um breve histórico do carding
    1. Primeiros dias: Roubo físico e skimming
    2. Ascensão da internet: Phishing e hacking
    3. Dark web e mercados clandestinos
    4. Bots e automação de carding
    5. Medidas e adaptações de segurança aprimoradas
    6. Técnicas e desafios modernos
  4. Como a dark web e outras comunidades online possibilitam o carding
    1. Mercados na dark web
    2. Fóruns e comunidades
    3. Anonimato e segurança
  5. Como o carding afeta empresas e consumidores
    1. Efeitos para os negócios
    2. Efeitos para o consumidor
  6. Como as empresas podem se proteger contra o carding
  7. Comece já com a Stripe 

Carding é a prática ilegal de obter, traficar ou usar dados de cartão de crédito sem autorização, muitas vezes para comprar cartões-presente ou cartões pré-pagos. O carding contribui para o roubo de identidade, perdas financeiras para pessoas físicas e jurídicas e uma ampla gama de outros crimes cibernéticos.

As perdas mundiais com fraudes de cartão superaram US$ 33 bilhões em 2022. Para combater o carding, as organizações empregam medidas de segurança como tokenização, criptografia, autenticação multifator e sistemas de monitoramento antifraude. Este guia abordará o que as empresas devem saber sobre o carding, incluindo como ele funciona e como se proteger.

Neste artigo:

  • Como funciona o carding
  • Uma breve história do carding
  • Como a dark web e outras comunidades online possibilitam o carding
  • Como o carding impacta empresas e consumidores
  • Como as empresas podem se proteger contra o carding

Como funciona o carding

Roubo de dados de cartão

O processo de carding começa com os ladrões de cartão, conhecidos como "carders", que roubam informações de cartão de crédito por meios como phishing, skimming, realização de violações de dados ou keylogging.

  • Phishing: Os carders usam e-mails, sites ou mensagens enganosas para induzir as pessoas a revelar suas informações de cartão de crédito. Para conseguir isso, os carders muitas vezes se passam por empresas ou serviços legítimos.

  • Skimming: Os carders instalam dispositivos chamados skimmers em caixas eletrônicos, bombas de postos de gasolina ou terminais de ponto de venda (POS) para capturar informações de cartões de crédito físicos.

  • Hacking: Os cibercriminosos usam malware, ransomware ou acesso não autorizado para se infiltrar em sistemas de computador ou bancos de dados e roubar informações de cartão de crédito.

  • Keylogging: Um software ou hardware registra pressionamentos de tecla no dispositivo de uma vítima para capturar informações de cartão de crédito e outros dados confidenciais.

  • Injeção de SQL: Um código SQL malicioso inserido no banco de dados de um site e extrai informações confidenciais, incluindo detalhes de cartão de crédito.

  • Shoulder surfing: Fraudadores observam as pessoas inserindo suas informações de cartão de crédito em caixas eletrônicos ou caixas de lojas e roubam as informações.

  • Formjacking: Os carders comprometem formulários online em sites legítimos para capturar informações de cartão de crédito dos usuários.

  • Aplicativos e sites falsos: Os fraudadores criam aplicativos ou sites falsos que parecem legítimos, induzindo os usuários a fornecer suas informações de cartão de crédito.

  • Ataques de força bruta: Os criminosos usam software automatizado para adivinhar números de cartão de crédito, muitas vezes tentando diferentes combinações de números até encontrar números válidos.

Quando roubam dados de cartão de crédito, costumam vendê-los em mercados clandestinos, onde os compradores podem comprar números de cartão, datas de validade, códigos de valor de verificação do cartão (CVV) e endereços de cobrança dos cartões roubados.

Teste da validade do cartão

Depois de comprar informações de cartão de crédito roubadas, os fraudadores usam bots de carding para validar as informações. Esses bots automatizam o processo de fazer pequenas transações em sites de e-commerce para testar se o cartão está ativo e pode ser usado sem acionar alertas de fraude.

Realização de transações fraudulentas

Depois de validar a legitimidade de um cartão, fraudadores usam as informações para fazer compras não autorizadas. Eles geralmente visam itens de alto valor ou cartões-presente, que podem ser revendidos em dinheiro ou usados para fins pessoais. Os bots de carding permitem que fraudadores automatizem e escalem esse processo, segmentando vários sites e fazendo várias transações em um curto período de tempo.

Evitando a detecção

Os carders usam os seguintes métodos e ferramentas para evitar a detecção:

  • Proxies e VPNs: Eles mascaram a localização dos remetentes dos cartões, dificultando a detecção de padrões incomuns por sites de e-commerce.

  • Bots aleatórios: Esses bots simulam o comportamento humano para evitar o acionamento de sistemas antifraude.

  • Ataques distribuídos: Redes distribuídas de bots evitam concentrar atividades suspeitas em um único local.

  • Revenda e conversão: Os carders converterão rapidamente mercadorias compradas ilegalmente em dinheiro, o que dificulta o rastreamento da atividade. Eles podem revender produtos em marketplaces online ou por meio de redes locais.

Um breve histórico do carding

Primeiros dias: Roubo físico e skimming

Inicialmente, o carding envolvia principalmente métodos físicos para obter informações de cartão de crédito. Os fraudadores roubavam carteiras ou bolsas para ter acesso a cartões de crédito ou colocavam dispositivos em caixas eletrônicos ou terminais POS que capturavam dados do cartão enquanto eram passados. A existência de skimmers foi relatada por volta de 2002.

Ascensão da internet: Phishing e hacking

À medida que a internet cresceu, o carding passou a ser online, levando a novas técnicas, como phishing e invasão de bancos de dados de empresas, para roubar grandes volumes de informações de cartão de crédito. Embora o phishing exista desde a década de 1990, tornou-se mais comum no início dos anos 2000 à medida que a internet se tornou mais popular.

Dark web e mercados clandestinos

O mercado clandestino de informações de cartões de crédito roubados se expandiu, e os fraudadores começaram a negociar essas informações na dark web. Com isso, ficou mais fácil para os fraudadores adquirir e vender dados de cartão, e os fóruns de carding online se popularizaram por compartilhar técnicas de carding, venda de dados roubados e coordenação de atividades criminosas.

Bots e automação de carding

A ascensão da automação e dos softwares avançados levou a técnicas de carding mais sofisticadas. Os bots de compra de cartões automatizaram o processo de teste e validação de cartões, permitindo que fraudadores expandam suas operações e cometam fraudes mais rapidamente. Os carders também começaram a usar redes distribuídas de bots para testar grandes volumes de dados de cartões de crédito roubados, reduzindo seu risco de detecção ao espalhar a atividade em vários locais e endereços IP.

Medidas e adaptações de segurança aprimoradas

Com a sofisticação dos pagamentos, as medidas de segurança também evoluíram. A tecnologia de chip e PIN tornou-se padrão na década de 2010 para dificultar a clonagem de cartões físicos, forçando os carders a confiar mais em métodos online. As plataformas de e-commerce começaram a implementar sistemas de machine learning e detecção de fraudes baseados em IA para identificar padrões e transações suspeitas. CAPTCHAs e autenticação multifator foram introduzidos para evitar que bots automatizados explorem sistemas online.

Técnicas e desafios modernos

Os carders continuam a se adaptar a novas medidas e tecnologias de segurança com suas próprias inovações. As novas técnicas incluem formjacking (injeção de código malicioso em formulários online para capturar informações de cartão de crédito), fraude de identidade sintética (criação de identidades falsas usando dados roubados para abrir contas de crédito) e invasões de conta (uso de informações de cartões roubados para obter acesso não autorizado a contas existentes).

Como a dark web e outras comunidades online possibilitam o carding

A dark web e outras comunidades online têm viabilizado o carding, fornecendo plataformas para a troca de informações, ferramentas e conhecimento de cartões de crédito roubados. As operações de carding se tornaram mais resilientes e adaptáveis devido ao anonimato e à segurança que essas plataformas oferecem, apresentando desafios contínuos para profissionais de aplicação da lei e segurança cibernética. Aqui está o que você deve saber.

Mercados na dark web

A dark web é uma parte da internet que não é indexada pelos mecanismos de busca tradicionais e é acessível por meio de softwares especializados, como o Tor. Sua natureza anônima o torna um ambiente atraente para atividades ilícitas, incluindo o carding. Os mercados da dark web funcionam como centros de compra e venda de bens e serviços ilegais, incluindo os seguintes:

  • Dados de cartão de crédito roubados: Os fraudadores podem vender grandes volumes de informações de cartão de crédito na dark web, frequentemente categorizados por tipo de cartão, país de origem ou limite de crédito.

  • Ferramentas de carding: Softwares relacionados a cartões — como bots de carding, malware e keyloggers — estão disponíveis para compra na dark web, permitindo que os criminosos automatizem e escalem suas atividades.

  • Serviços relacionados: Os mercados da dark web geralmente têm fornecedores que oferecem serviços como validação de cartão de crédito, saque e criação de documentos de identificação falsos.

Fóruns e comunidades

Fóruns e comunidades online na dark web e outras plataformas servem como centros de compartilhamento de conhecimento para carding e atividades relacionadas. Carders experientes compartilham dicas, truques e guias passo a passo sobre como realizar o carding e evitar a detecção. Os recém-chegados ao carding podem procurar aconselhamento e orientação de carders experientes. Os carders usam esses fóruns para criar redes e parcerias, reunindo recursos e coordenando operações mais complexas.

Anonimato e segurança

A dark web facilita transações anônimas e seguras que dificultam o monitoramento e a remoção de atividades ilegais pelas autoridades policiais.

  • Criptomoedas: Normalmente, as transações na dark web usam criptomoedas, como o Bitcoin, fornecendo uma camada de anonimato para compradores e vendedores.

  • Serviços ocultos e comunicações criptografadas: Os mercados e fóruns da dark web usam criptografia e tecnologia de serviços ocultos para proteger as identidades dos usuários e ocultar suas atividades.

  • Infraestrutura resiliente: Os mercados da dark web costumam usar infraestrutura distribuída e redundante para resistir a paralisações das autoridades.

  • Comunidades dinâmicas: Fóruns e comunidades de carding podem ressurgir rapidamente sob diferentes nomes e locais, tornando difícil rastreá-los e desmontá-los.

Como o carding afeta empresas e consumidores

Efeitos para os negócios

  • Perdas financeiras: Quando ocorrem transações fraudulentas, as empresas geralmente arcam com os custos de estornos e reembolsos. Isto pode ter impacto nos seus resultados, especialmente para as pequenas e médias empresas (PME). Além da venda reembolsada e das tarifas de estorno, as empresas podem enfrentar aumento de custos e restrições dos processadores de pagamento se tiverem uma alta taxa de estornos devido a fraudes.

  • Danos reputacionais: Incidentes de carding podem prejudicar a reputação de uma empresa. Clientes fraudados na plataforma da empresa podem perder a confiança e deixar avaliações negativas.

  • Custos operacionais: Para combater o carding, as empresas devem investir em medidas de segurança, sistemas de detecção de fraude e suporte ao cliente para resolver problemas relacionados a fraudes. Esses custos podem ser substanciais.

  • Maior escrutínio: Taxas elevadas de fraude podem aumentar o controle dos processadores de pagamento, resultando em tarifas mais elevadas, requisitos mais rigorosos ou até mesmo no encerramento de contas de comerciantes.

  • Riscos de conformidade regulatória: As empresas precisam cumprir regulamentos como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS). A não manutenção da conformidade devido a incidentes com carding pode resultar em multas e repercussões legais.

Efeitos para o consumidor

  • Contas comprometidas: Consumidores com dados de cartão de crédito roubados podem encontrar cobranças não autorizadas em suas contas. Em seguida, eles devem gastar tempo e esforço trabalhando com seus bancos e empresas de cartão de crédito para reverter cobranças fraudulentas e restaurar suas contas, o que pode ser um processo demorado e frustrante.

  • Roubo de identidade: O carding pode levar a um roubo de identidade mais amplo, no qual fraudadores usam dados de cartões de crédito roubados para abrir novas contas, solicitar empréstimos ou cometer outras formas de fraude.

  • Sofrimento emocional: Descobrir cobranças não autorizadas e lidar com as consequências do carding pode causar sofrimento emocional e ansiedade aos consumidores.

  • Impacto no score de crédito: Em alguns casos, as fraudes relacionadas a carding podem afetar a pontuação de crédito do consumidor, especialmente se a fraude causar falhas nos pagamentos ou inadimplência.

Como as empresas podem se proteger contra o carding

Sistemas sofisticados de detecção de fraudes usam machine learning e inteligência artificial para identificar padrões e comportamentos de compra incomuns. Veja como as empresas podem usar essas tecnologias e outras práticas para se proteger.

  • Análise comportamental: Analise o comportamento do usuário em sua plataforma para identificar anomalias, como transações rápidas, tentativas repetidas com números de cartão diferentes ou padrões de geolocalização incomuns.

  • Pontuação dinâmica de risco e MFA: Atribua pontuações de risco a transações com base em vários fatores, incluindo identificação de dispositivos, endereço IP, geolocalização e dados históricos. Transações de maior risco podem acionar a autenticação multifator (MFA).

  • Tokenização: Converta informações sigilosas de cartão de crédito em tokens seguros para uso interno, minimizando a exposição de dados brutos do cartão e reduzindo o risco de roubo.

  • Criptografia de ponta a ponta: criptografe informações sigilosas desde o ponto de captura até o armazenamento e processamento, reduzindo o risco de interceptação e acesso não autorizado.

  • Armazenamento seguro de dados: Armazene informações de cartão de crédito em bancos de dados criptografados com acesso restrito. Implemente o RBAC (controle de acesso baseado em função) e garanta que somente o pessoal autorizado possa acessar dados confidenciais.

  • Monitoramento de transações em tempo real: Monitore transações em tempo real para identificar possíveis fraudes. Envie alertas automáticos a equipes de segurança para investigação imediata.

  • Equipes de resposta a incidentes: Estabeleça equipes de resposta a incidentes dedicadas com protocolos claros para lidar com incidentes de carding.

  • Compartilhamento de inteligência de ameaças: Participe de programas de compartilhamento de inteligência sobre ameaças para se manter informado sobre as tendências e técnicas emergentes de carding.

  • Colaboração com as autoridades policiais: Construa relacionamentos com agências de aplicação da lei especializadas em crimes cibernéticos para ajudar nas investigações e eliminaações de operações de carding.

  • Alternativas do CAPTCHA: Use soluções CAPTCHA avançadas ou alternativas como o reCAPTCHA v3 que não exigem interação do usuário, mas podem detectar comportamento semelhante ao de um bot.

  • Limitação de fluxo: Implemente limitação de fluxo para restringir o número de transações ou tentativas de um único endereço IP ou usuário dentro de um período específico.

  • Identificação de dispositivos: Identifique características exclusivas do dispositivo para detectar atividades automatizadas de bots. Isso pode ajudar a evitar que os bots de carding testem um grande número de dados de cartões de crédito roubados.

  • Alertas e notificações de fraudes: Envie alertas aos clientes quando atividades suspeitas forem detectadas, permitindo que confirmem ou recusem transações rapidamente.

  • Educação dos clientes: Instrua os clientes sobre os riscos do carding e as práticas recomendadas para proteger os dados de cartão de crédito. Isso pode ajudar a reduzir a probabilidade de ataques bem-sucedidos de phishing ou engenharia social.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Connect

Connect

Entre em produção em questão de semanas, não trimestres. Crie e expanda um negócio de pagamentos lucrativo.

Documentação do Connect

Saiba como direcionar pagamentos entre várias partes.