O site Krebs on Security revelou nesta semana um novo tipo de ataque contra cartões de crédito. A fraude, chamada de “Replay”, é bastante sofisticada e tira proveito de falhas nos sistemas de instituições financeiras que autenticam esse tipo de transação. Os pagamentos falsos usaram cartões dos Estados Unidos e do Canadá, mas foram feitos no Brasil.
O G1 procurou a Associação Brasileira das Empresas de Cartões de Crédito (Abecs) na terça-feira (28) para comentar a fraude, mas não houve resposta até esta sexta (31). O site Krebs on Security procurou diretamente a Visa e a Mastercard, que também não comentaram o assunto.
As informações sobre a fraude foram dadas por um banco pequeno dos Estados Unidos cujos clientes foram vítimas do golpe. A instituição ainda não utiliza cartões com chip, tecnologia comum no Brasil. Alguns clientes do banco tiveram seus cartões comprometidos no vazamento de dados da varejista Home Depot, mas o banco decidiu não bloquear esses cartões até que fraudes fossem comprovadas. De acordo com a instituição, o número de clientes envolvidos não era grande.
Os pagamentos não autorizados foram feitos no Brasil. Apesar de os cartões serem apenas magnéticos, os golpistas acrescentaram dados extras à transação, transformando ela em um pagamento de cartão com chip. Os pagamentos com chip passam por verificações diferentes e isso confundiu sistemas de segurança, liberando essas transações em cartões que deveriam estar sendo monitorados por fraude.
O banco, cujo nome não foi mencionado na reportagem do Krebs on Security, recebeu US$ 120 mil (cerca de R$ 290 mil) em pagamentos fraudulentos. Do total, o banco conseguiu bloquear R$ 200 mil, mas as transações que chegaram a ser autorizadas estão sendo problemáticas para a instituição financeira.
Cartões com chip inverteram a responsabilidade pela fraude. Cartões magnéticos são fáceis de serem clonados e, por isso, as próprias bandeiras dos cartões absorvem os prejuízos das fraudes. Em cartões com chip, a responsabilidade inicial por qualquer fraude é do banco ou mesmo da loja.
No entanto, como os cartões fraudados envolvidos eram magnéticos, a transação jamais deveria ter sido autorizada como se fosse de chip.
Para conseguir realizar essa fraude, os criminosos copiaram informações de uma transação de chip verdadeira para o pagamento feito com o cartão magnético. Pagamentos com chip possuem um código único por transação, mas um erro nos sistemas de segurança pode estar fazendo com que esse valor não seja verificado, deixando passar os números repetidos. Não se sabe como os criminosos tiveram acesso a esses dados.
Também não há informação sobre quem estaria realizando a fraude ou qual a escala do problema. Uma especialista do Gartner ouvida pelo Krebs on Security afirmou que, além do banco norte-americano, bancos no Canadá também observaram a mesma fraude “há alguns meses”.
Fonte: http://g1.globo.com/tecnologia/noticia/2014/11/cartoes-de-credito-dos-eua-sao-fraudados-partir-do-brasil.html