Ir para o conteúdo

Vasculhar a dark web pode valer a pena para profissionais de fraude

Saiba mais sobre os esquemas mais recentes dos fraudadores

Obtenha" o relatório de comércio de 2021"

Em inglês

barra lateral ipad

Quando Igor Bulavko descreve a Dark Web, é difícil não imaginar o equivalente online a um distrito úmido e fumegante de becos estreitos repletos de lojas decadentes que vendem falsificações, produtos farmacêuticos proibidos, identidades roubadas e cursos que cobrem os muitos caminhos para ganhos ilícitos.

Mas Bulavko, Credit Karma's Trust and Safety Architect, não dramatiza a barriga da internet. Ele vê isso com a cabeça limpa de um cara que passou horas incontáveis vasculhando os sites e fóruns apoiando negócios ilegais e práticas ilícitas.

"É um mercado", disse ele ao encerrar o último Encontro de Pagamentos/Fraudes da Signifyd para profissionais da área. "Há demanda e oferta. Há feedback, reclamações, aplicação e tudo isso."

Tudo isso é útil lembrar para aqueles cuja responsabilidade é frustrar as tentativas de fraudadores que confiam no vasto tesouro de números de cartão de crédito roubados e informações de identificação pessoal que estão sendo divulgadas site após site nos cantos e recantos da Internet.

Os fraudadores estão administrando empresas comerciais

Esses fraudadores e anéis de fraude, afinal, são empresas comerciais, exibindo muitas das mesmas motivações, práticas, estratégias e aspirações exibidas por empresas legítimas.

Dito isto, é difícil não ficar maravilhado quando Bulavko fala sobre a Dark Web e a grande quantidade de informações pessoais e financeiras roubadas à venda lá. Por exemplo, ele mostrou a sala de profissionais de fraude e pagamento reunidos na sede da Signifyd em San Jose, capturas de tela de um site que vende 2,1 milhões de contas roubadas do PayPal.

“Você seleciona o que quiser”, disse ele, descrevendo a experiência semelhante à da Amazônia. “Você deseja filtrar por tipo de cartão de crédito ou data de validade do cartão de crédito. Faça sua seleção. Pesquisa de imprensa. Você obtém milhares de resultados. Verifique o que você precisa. Coloque-o em um carrinho de compras. Confira. E você é bom.”

Bulavko deu uma espécie de visita guiada à Dark Web, parando em sites que vendem números de cartão de crédito, completo com CVV, datas de validade e códigos postais - por $7 a $12 cada. Ele apontou contas bancárias à venda.

Ele descreveu os sistemas de classificação e seções de revisão semelhantes ao Yelp, onde criminosos comprando identidades roubadas poderiam avaliar e criticar outros criminosos que vendem identidades roubadas. E apontou para um site onde um fraudador pode comprar acesso remoto à área de trabalho ao computador de um usuário desavisado por R$ 7. Isso permite que os fraudadores pareçam estar fisicamente localizados onde não estão.

Bulavko analisou uma lista de tutoriais disponíveis oferecendo conselhos sobre golpes de coleta na loja e técnicas de fraude online. Muitos dos cursos são reembalados rehashes de técnicas de longa duração, disse ele.

“As informações pessoais são vendidas em todos os lugares”, disse Bulavko enquanto sua turnê continuava. “Geralmente inclui nome, sobrenome, data de nascimento, número do seguro social, endereço. Às vezes, nome de solteira, e-mail, carteira de motorista da mãe.”

Você pode comprar identidades roubadas em massa

Os dados, que você pode comprar em massa (250 nomes por $100), representam os frutos de golpes de phishing, ataques de malware e violações de dados.

“A quantidade de informações pessoais no subsolo é assombrosa”, disse.

Dada a quantidade e a variedade de informações de identificação pessoal disponíveis, não é de admirar que a fraude de aquisição de conta - fraude online na qual um criminoso comanda uma conta existente - esteja aumentando. Na verdade, o Índice de Fraude de Comércio Eletrônico da Signifyd descobriu que as perdas por fraude de aquisição de conta aumentaram 80% entre 2016 e 2017. (As perdas por fraude incluem pedidos que resultam em chargebacks relacionados a fraudes e pedidos rejeitados por suspeita de fraude.)

É uma imagem sombria, sem dúvida. Mas Bulavko não veio amaldiçoar a Dark Web. Ele veio para iluminá-lo. Além de tudo o que a Dark Web é, é um rico campo de caça à inteligência contra ameaças que pode ajudar aqueles que procuram impedir os fraudadores online.

Esses sites que vendem números de cartão de crédito? Eles fornecem informações suficientes para que os mocinhos identifiquem as contas roubadas e tomem medidas para protegê-las. Os fóruns? Eles são como ficar ao redor do bebedouro com bandidos e ladrões compartilhando dicas e ferramentas para fraudar sites de comércio.

Bulavko deu alguns conselhos para aqueles que estão prontos para participar do spelunking digital que está descendo para a Dark Web. Crie uma persona online falsa. Familiarize-se com as ferramentas de navegação necessárias para se proteger e aos sites que deseja ver.

Não se aventure na Dark Web sozinho

Mas, ele disse que seu melhor conselho, quando se trata de minerar a Dark Web para inteligência de ameaças, é: Não vá sozinho. Pense em contratar um profissional, qualquer um dos vários fornecedores que se familiarizam com a Dark Web e trazem à tona os dados e informações que podem ajudá-lo a proteger sua empresa e seus clientes.

“Os fornecedores já fazem muitas dessas coisas”, disse Bulavko sobre o trabalho de detetive da Dark Web. “Eles obterão grandes quantidades de informações, gigabytes por dia com milhões de páginas.”

Não só isso, mas o fornecedor apresentará suas descobertas em um formato limpo, fácil de ler e analisar, disse ele.

E isso poupará uma viagem a um lugar escuro e assustador.


Saiba mais sobre o Signifyd.

Postagens mais recentes
Mike Cassidy

Mike Cassidy

Mike é o chefe de contação de histórias da Signifyd. Ex-jornalista e geek do varejo, ele cobre o comércio eletrônico e a forma como a tecnologia está transformando o comércio digital. Entre em contato com ele em mike.cassidy@signifyd.com.