Conheça os últimos esquemas dos fraudadores
Quando Igor Bulavko descreve a Teia Escura, é difícil não imaginar o equivalente on-line a um distrito úmido e vaporoso de becos estreitos alinhados com lojas de sementes que vendem falsificações, produtos farmacêuticos proibidos, identidades roubadas e cursos que cobrem os muitos caminhos para ganhos ilícitos.
Mas Bulavko, Credit Karma’s Trust and Safety Architect, não dramatiza o mal-estar da Internet. Ele vê isso com a cabeça limpa de um cara que passou horas incontáveis vasculhando os sites e fóruns de apoio a negócios ilegais e práticas ilícitas.
“É um mercado,” ele disse ao concluir o último Payment/Fraud Meetup da Signifyd’s para profissionais da área. “Há demanda e oferta. Há feedback, reclamações, aplicação e todas essas coisas”.
Tudo isso é útil para lembrar para aqueles cuja responsabilidade é frustrar as tentativas de fraudadores que confiam no vasto tesouro de números de cartões de crédito roubados e informações pessoalmente identificáveis que estão sendo vasculhadas no site após o site nos recantos da internet.
Os fraudadores estão dirigindo empresas comerciais
Afinal, esses fraudadores e anéis de fraude são empresas comerciais, exibindo muitas das mesmas motivações, práticas, estratégias e aspirações exibidas por empresas legítimas.
Dito isto, é difícil não se maravilhar quando Bulavko fala sobre a Teia Escura e a vasta quantidade de informações pessoais e financeiras roubadas para venda lá. Por exemplo, ele mostrou a sala de reunião de profissionais de fraude e pagamento em Signifyd’s sede de San Jose, screenshots de um site que vende 2,1 milhões de contas PayPal roubadas.
“Você escolhe o que quiser”, disse ele, descrevendo a experiência amazônica. “Você quer filtrar pelo tipo de cartão de crédito ou pela data de expiração do cartão de crédito. Faça sua seleção. Busca de imprensa. Você obtém milhares de resultados. Verifique o que você precisa. Coloque-o em um carrinho de compras. Confira. E você é bom”.
Bulavko fez uma espécie de visita guiada à Dark Web, parando em sites que vendem números de cartões de crédito, completos com CVV, datas de validade e códigos postais – por $7 a $12 cada. Ele apontou contas bancárias para venda.
Ele descreveu os sistemas de classificação do tipo Yelp e seções de revisão, onde criminosos que compram identidades roubadas podem classificar e criticar outros criminosos que vendem identidades roubadas. E ele apontou para um site onde um fraudador pode comprar acesso remoto ao computador de um usuário insuspeito por $7. Isso permite que os fraudadores pareçam estar fisicamente localizados onde não estão.
Bulavko analisou uma lista de tutoriais disponíveis oferecendo conselhos sobre golpes de coleta na loja e técnicas de fraude online. Muitos dos cursos são reembalados rehashes de técnicas de longa duração, disse ele.
“Informações pessoais são vendidas em todos os lugares”, disse Bulavko enquanto sua turnê continuava. “Normalmente inclui nome, sobrenome, data de nascimento, número do seguro social, endereço. Às vezes o nome de solteira da mãe, e-mail, carteira de habilitação”.
Você pode comprar identidades roubadas em massa
Os dados, que você pode comprar a granel (250 nomes por US$ 100), representam os frutos de golpes de phishing, ataques de malware e violações de dados.
“A quantidade de informações pessoais no subsolo é assombrosa”, disse ele.
Dada a quantidade e a variedade de informações de identificação pessoal disponíveis, não é de admirar que a fraude de aquisição de conta – fraude online na qual um criminoso comanda uma conta existente – esteja aumentando. Na verdade, o Índice de Fraude de Comércio Eletrônico da Signifyd descobriu que as perdas por fraude de aquisição de conta aumentaram 80% entre 2016 e 2017. (As perdas por fraude incluem pedidos que resultam em chargebacks relacionados a fraudes e pedidos rejeitados por suspeita de fraude.)
É um quadro sombrio, sem dúvida. Mas Bulavko não veio para amaldiçoar a Teia Escura. Ele veio para iluminá-la. Além de tudo o mais que a Teia Escura é, ela é um rico campo de caça para a inteligência da ameaça que poderia ajudar aqueles que estão procurando impedir os fraudadores on-line.
Aqueles sites que vendem números de cartão de crédito? Eles fornecem informações suficientes para que os bons da fita identifiquem as contas roubadas e tomem medidas para protegê-las. Os fóruns? Eles são como ficar de pé ao redor do bebedouro com os bandidos e ladrões compartilhando dicas e ferramentas para defraudar os locais de comércio.
Bulavko passou por alguns conselhos para aqueles que estão prontos para se juntar à feitiçaria digital que está descendo para a Teia Escura. Criar uma persona online falsa. Familiarize-se com as ferramentas de navegação que você precisará para se proteger e os sites que você deseja ver.
Não se aventure na Teia Escura sozinho
Mas, ele disse que seu melhor conselho, quando se trata de mineração da Teia Escura para inteligência de ameaças, é: Não vá sozinho. Pense em contratar um profissional, qualquer um dos vários vendedores que fazem de seu negócio a familiarização com a Dark Web e trazer à tona os dados e informações que podem ajudá-lo a proteger seu negócio e seus clientes.
“Os vendedores já fazem muitas dessas coisas”, disse Bulavko sobre o trabalho de detetive da Dark Web. “Eles puxarão enormes quantidades de informação, gigabytes por dia com milhões de páginas”.
Não apenas isso, mas o fornecedor apresentará suas descobertas em um formato limpo, fácil de ler e analisar, disse ele.
E, isso lhe poupará uma viagem a um lugar escuro e assustador.
Saiba mais sobre o Signifyd.
Últimas postagens
