Comece agora  Fale com a equipe de vendas 
Comece agora  Fale com a equipe 

O que é carding? Como esse tipo de fraude funciona e como as empresas podem evitá-la

Connect
Connect

Os marketplaces e plataformas mais bem-sucedidos do mundo, como Shopify e DoorDash, usam o Stripe Connect para incorporar pagamentos aos seus produtos.

Saiba mais 
  1. Introdução
  2. Como funciona o carding
    1. Roubo de dados de cartão
    2. Teste da validade do cartão
    3. Realização de transações fraudulentas
    4. Evitando a detecção
  3. Como as empresas podem se proteger contra o carding
  4. Como a dark web habilita o carding
  5. Como o carding afeta empresas e clientes
    1. Efeitos sobre as empresas
    2. Efeitos sobre os clientes
  6. Um breve histórico do carding
    1. Primeiros dias e a ascensão da internet
    2. Surgem novas tecnologias
  7. Como o Stripe Radar pode ajudar
  8. Comece já com a Stripe 

Carding é a prática ilegal de obter, traficar ou usar dados de cartão de crédito sem autorização, muitas vezes para comprar cartões-presente ou cartões pré-pagos. O carding contribui para o roubo de identidade, perdas financeiras para pessoas físicas e jurídicas e uma ampla gama de outros crimes cibernéticos.

Estima-se que as perdas por fraude de cartão de crédito em todo o mundo cheguem a US$ 43 bilhões até 2026. Para combater o carding, as organizações empregam medidas de segurança, como tokenização, criptografia, autenticação multifatorial e sistemas de monitoramento antifraude. Este guia abordará o que as empresas devem saber sobre carding, incluindo como ele funciona e como se proteger.

Neste artigo:

  • Como funciona o carding
  • Como as empresas podem se proteger contra o carding
  • Como a dark web habilita o carding
  • Como o carding afeta empresas e clientes
  • Um breve histórico do carding
  • Como o Stripe Radar pode ajudar

Como funciona o carding

Roubo de dados de cartão

O processo de carding começa com ladrões de cartões, conhecidos como "carders", que roubam dados de cartão de crédito por meio de phishing, skimming, violação de dados ou keylogging.

Aqui estão algumas maneiras comuns pelas quais os carders podem roubar dados de cartão:

  • Phishing: os carders usam e-mails, sites ou mensagens enganosos para induzir as pessoas a revelar seus dados de cartão de crédito. Para conseguir isso, os carders muitas vezes se passam por empresas ou serviços legítimos.

  • Skimming: os carders instalam dispositivos chamados skimmers em caixas eletrônicos, bombas de postos de gasolina ou terminais de ponto de venda (POS) para capturar dados de cartões de crédito físicos.

  • Hacking: os cibercriminosos usam malware, ransomware ou acesso não autorizado para se infiltrar em sistemas de computador ou bancos de dados e roubar dados de cartão de crédito.

  • Keylogging: um software ou hardware registra pressionamentos de tecla no dispositivo de uma vítima para capturar dados de cartão de crédito e outros dados confidenciais.

  • Injeção de SQL: os carders inserem código SQL malicioso no banco de dados de um site para extrair informações confidenciais, incluindo dados do cartão de crédito.

  • Shoulder surfing: fraudadores observam as pessoas inserindo dados de cartão de crédito em caixas eletrônicos ou caixas de lojas e roubam as informações.

  • Formjacking: os carders comprometem formulários online em sites legítimos para capturar dados de cartão de crédito dos usuários.

  • Aplicativos e sites falsos: os fraudadores criam aplicativos ou sites falsos que parecem legítimos, induzindo os usuários a fornecer seus dados de cartão de crédito.

  • Ataques de força bruta: os criminosos cibernéticos usam software automatizado para adivinhar números de cartão de crédito, muitas vezes tentando diferentes combinações de números até encontrar números válidos.

Quando roubam dados de cartão de crédito, costumam vendê-los em marketplaces clandestinos, onde os compradores podem comprar números de cartão, datas de validade, códigos de valor de verificação do cartão (CVV) e endereços de cobrança dos cartões roubados.

Teste da validade do cartão

Depois de comprar informações de cartão de crédito roubadas, os fraudadores usam bots de carding para validar as informações. Esses bots automatizam o processo de fazer pequenas transações em sites de e-commerce para testar se o cartão está ativo e pode ser usado sem acionar alertas de fraude.

Realização de transações fraudulentas

Depois de validar a legitimidade de um cartão, fraudadores usam os dados para fazer compras não autorizadas. Eles geralmente visam itens de alto valor ou cartões-presente, que podem ser revendidos em dinheiro ou usados para fins pessoais. Os bots de carding permitem que fraudadores automatizem e escalem esse processo, segmentando vários sites e fazendo várias transações em um curto período.

Evitando a detecção

Os carders usam uma variedade de ferramentas e táticas para evitar a detecção e cometer fraudes. Eles geralmente usam proxies e VPNs para ocultar suas verdadeiras localizações, dificultando que as plataformas de e-commerce sinalizem atividades suspeitas. Os carders também usam bots aleatórios para imitar o comportamento humano e contornar a detecção de fraudes, enquanto redes de bots distribuídos delegam atividades para evitar chamar a atenção. Além disso, os carders convertem rapidamente os bens roubados em dinheiro, revendendo-os online ou por meio de redes locais, complicando ainda mais os esforços para rastrear suas ações.

Como as empresas podem se proteger contra o carding

Sistemas sofisticados de detecção de fraudes usam inteligência artificial para identificar padrões e comportamentos de compra incomuns. Veja como as empresas podem usar essas tecnologias e outras práticas para se proteger.

  • Sistema de verificação de endereço (AVS): o AVS compara o endereço de cobrança fornecido pelo usuário com o registrado no emissor do cartão. É uma ferramenta básica, mas eficaz, de prevenção de fraudes.

  • Análise comportamental: analise o comportamento do usuário em sua plataforma para identificar anomalias, como transações rápidas, tentativas repetidas com números de cartão diferentes ou padrões de geolocalização incomuns.

  • Pontuação dinâmica de risco e MFA: atribua pontuações de risco a transações com base em vários fatores, incluindo identificação de dispositivos, endereço IP, geolocalização de IP e dados históricos. Transações de maior risco podem acionar a autenticação multifator (MFA).

  • Valor de verificação do cartão (CVV): exigir que os clientes insiram seu CVV ajuda a confirmar a posse física do cartão pelo comprador, reduzindo o risco de uso não autorizado com números de cartão roubados.

  • Tokenização: converta dados sigilosos de cartão de crédito em tokens seguros para uso interno, minimizando a exposição de dados brutos do cartão e reduzindo o risco de roubo.

  • Criptografia de ponta a ponta: criptografe informações sigilosas desde o ponto de captura até o armazenamento e processamento, reduzindo o risco de interceptação e acesso não autorizado.

  • Armazenamento seguro de dados: armazene dados de cartão de crédito em bancos de dados criptografados com acesso restrito. Implemente o RBAC (controle de acesso baseado em função) e garanta que somente o pessoal autorizado possa acessar dados confidenciais.

  • Monitoramento de transações em tempo real: monitore transações em tempo real para identificar possíveis fraudes. Envie alertas automáticos a equipes de segurança para investigação imediata.

  • Equipes de resposta a incidentes: estabeleça equipes de resposta a incidentes dedicadas com protocolos claros para lidar com incidentes de carding.

  • Compartilhamento de inteligência de ameaças: participe de programas de compartilhamento de inteligência sobre ameaças para se manter informado sobre as tendências e técnicas emergentes de carding.

  • Colaboração com as autoridades policiais: construa relacionamentos com agências de aplicação da lei especializadas em crimes cibernéticos para ajudar nas investigações e eliminações de operações de carding.

  • Alternativas do CAPTCHA: use soluções de CAPTCHA avançadas ou alternativas como o reCAPTCHA v3 que não exigem interação do usuário, mas podem detectar comportamento semelhante ao de um bot.

  • Limitação de fluxo: implemente limitação de fluxo ou verificações de velocidade para restringir o número de transações ou tentativas de um único endereço IP ou usuário dentro de um período específico.

  • Identificação de dispositivos: identifique características exclusivas do dispositivo para detectar atividades automatizadas de bots. Isso pode ajudar a evitar que os bots de carding testem um grande número de dados de cartões de crédito roubados.

  • Alertas e notificações de fraudes: envie alertas aos clientes quando atividades suspeitas forem detectadas, permitindo que confirmem ou recusem transações rapidamente.

  • Educação dos clientes: instrua os clientes sobre os riscos do carding e as práticas recomendadas para proteger os dados de cartão de crédito. Isso pode ajudar a reduzir a probabilidade de ataques bem-sucedidos de phishing ou engenharia social.

Como a dark web habilita o carding

A dark web aceita transações anônimas que são difíceis para as autoridades policiais rastrearem ou interromperem. A maioria dos pagamentos usa criptomoedas como bitcoin, que mascaram as identidades de compradores e vendedores.

Os marketplaces usam criptografia, serviços ocultos e infraestrutura distribuída para proteger os usuários e permanecer online apesar dos esforços de remoção. Mesmo quando os sites são encerrados, comunidades dinâmicas, como fóruns de carding, costumam surgir novamente com novos nomes, dificultando sua eliminação completa.

Os marketplaces da dark web são plataformas centrais para o comércio de bens e serviços ilegais, particularmente relacionados a fraudes financeiras. Eles oferecem dados de cartões de crédito roubados, geralmente organizados por detalhes específicos, como tipo ou país, além de ferramentas de carding, como bots e malware, que ajudam a automatizar fraudes. Esses marketplaces também fornecem serviços relacionados, como validação de cartões de crédito, assistência para saques e criação de identidades falsas.

As comunidades da dark web são centros de conhecimento onde profissionais experientes compartilham técnicas, guias e conselhos com os recém-chegados. Essas plataformas também oferecem networking e colaboração, permitindo que os usuários coordenem operações de fraude mais sofisticadas.

Como o carding afeta empresas e clientes

Efeitos sobre as empresas

  • Perdas financeiras: quando ocorrem transações fraudulentas, as empresas geralmente arcam com o custo de estornos e reembolsos. Isso pode afetar seus resultados financeiros, especialmente para pequenas e médias empresas (PMEs).

  • Danos à reputação: incidentes de carding podem prejudicar a reputação de uma empresa. Clientes fraudados na plataforma da empresa podem perder a confiança e deixar avaliações negativas.

  • Custos operacionais: para combater o carding, as empresas devem investir em medidas de segurança, sistemas de detecção de fraude e suporte ao cliente para resolver problemas relacionados a fraudes. Esses custos podem ser substanciais.

  • Maior escrutínio: taxas elevadas de fraude podem aumentar o controle dos processadores de pagamento, resultando em tarifas mais elevadas, requisitos mais rigorosos ou até mesmo no encerramento de contas de comerciantes.

  • Riscos de conformidade regulatória: as empresas precisam cumprir regulamentos como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS). A não manutenção da conformidade devido a incidentes com carding pode resultar em multas e repercussões legais.

Efeitos sobre os clientes

  • Contas comprometidas: clientes com dados de cartão de crédito roubados podem encontrar cobranças não autorizadas em suas contas. Em seguida, eles devem gastar tempo e esforço trabalhando com seus bancos e empresas de cartão de crédito para reverter cobranças fraudulentas e restaurar suas contas, o que pode ser um processo demorado e frustrante.

  • Roubo de identidade: o carding pode levar a um roubo de identidade mais amplo, no qual fraudadores usam dados de cartões de crédito roubados para abrir novas contas, solicitar empréstimos ou cometer outras formas de fraude.

  • Sofrimento emocional: descobrir cobranças não autorizadas e lidar com as consequências do carding pode causar sofrimento emocional e ansiedade nos clientes.

  • Impacto no score de crédito: em alguns casos, as fraudes relacionadas a carding podem afetar a pontuação de crédito do cliente, especialmente se a fraude causar falhas nos pagamentos ou inadimplência.

Um breve histórico do carding

Primeiros dias e a ascensão da internet

Inicialmente, o carding envolvia principalmente métodos físicos para obter dados de cartão de crédito. Os fraudadores roubavam carteiras ou bolsas para ter acesso a cartões de crédito ou colocavam dispositivos em caixas eletrônicos ou terminais POS que capturavam dados do cartão enquanto eram passados. A existência de skimmers foi relatada por volta de 2002.

À medida que a internet cresceu, o carding passou a ser online, levando a novas técnicas, como phishing e invasão de bancos de dados de empresas, para roubar grandes volumes de dados de cartão de crédito. Embora o phishing exista desde a década de 1990, tornou-se mais comum no início dos anos 2000 à medida que a internet se tornou mais popular.

Surgem novas tecnologias

A automação e os softwares avançados levaram a técnicas de carding mais sofisticadas. Os bots de compra de cartões automatizaram o processo de teste e validação de cartões, permitindo que fraudadores expandissem suas operações e cometessem fraudes mais rapidamente. Os carders também começaram a usar redes distribuídas de bots para testar grandes volumes de dados de cartões de crédito roubados, reduzindo seu risco de detecção ao espalhar a atividade em vários locais e endereços IP.

Com a sofisticação dos pagamentos, as medidas de segurança também evoluíram. A tecnologia de chip e PIN tornou-se padrão na década de 2010 para dificultar a clonagem de cartões físicos, forçando os carders a confiar mais em métodos online. As plataformas de e-commerce começaram a implementar sistemas de machine learning e detecção de fraudes baseados em IA para identificar padrões e transações suspeitas. CAPTCHAs e autenticação multifator foram introduzidos para evitar que bots automatizados explorassem sistemas online.

Os carders continuam a se adaptar a novas medidas e tecnologias de segurança com suas próprias inovações. As novas técnicas incluem formjacking, fraude de identidade sintética (criação de identidades falsas usando dados roubados para abrir contas de crédito) e invasões de conta (uso de dados de cartões roubados para obter acesso não autorizado a contas existentes).

Como o Stripe Radar pode ajudar

O Stripe Radar usa modelos de IA treinados para detectar e prevenir fraudes usando dados da rede Stripe global. Ele atualiza continuamente esses modelos de acordo com as últimas tendências de fraude, protegendo a empresa contra a evolução das fraudes.

A Stripe também oferece o Radar for Fraud Teams, que permite aos usuários adicionar regras personalizadas que abordam cenários de fraude específicos da sua empresa e acessar insights avançados de fraude.

O Radar pode ajudar sua empresa a:

  • Prevenir perdas por fraude: a Stripe processa anualmente mais de US$ 1 trilhão em pagamentos. Essa escala exclusiva permite que o Radar detecte e evite fraudes com precisão, economizando dinheiro.
  • Aumentar a receita: os modelos de IA do Radar são treinados com dados de contestações reais, informações de clientes, dados de navegação e muitos mais. Isso permite que o Radar identifique transações arriscadas e reduza falsos positivos, aumentando sua receita.
  • Economizar tempo: o Radar é integrado à Stripe e exige zero linhas de código para ser configurado. Você também pode monitorar o desempenho da prevenção de fraudes, criar regras e muito mais em uma única plataforma, aumentando a eficiência.

Saiba mais sobre o Stripe Radar ou comece a usar ainda hoje.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Connect

Connect

Entre em produção em questão de semanas, não trimestres. Crie e expanda um negócio de pagamentos lucrativo.

Documentação do Connect

Saiba como direcionar pagamentos entre várias partes.