David López*
Os Jogos com Propósito (GWAPs, de “games with a purpose”) têm sido utilizados pelas empresas de software para dar conta de tarefas que, embora consideradas triviais para os seres humanos, representam grandes desafios para os mecanismos mais avançados de computação. Os GWAPs aproveitam o desejo das pessoas de colaborar e de se divertir para resolver coletivamente problemas computacionais de larga escala por meio de jogos virtuais.
Já está comprovado que os GWAPs podem ajudar no aperfeiçoamento de soluções para diversas áreas como segurança, visão computacional, filtragem de conteúdo adulto e buscas pela internet. Um dos exemplos de segurança desenvolvidos com GWAPs é o reCAPTCHA, plugin de dupla autenticação usado para bloquear bots utilizando como CAPTCHAS imagens facilmente identificáveis pelos seres humanos, com palavras ou imagens que os computadores não conseguem decifrar.
Recentemente, a nossa equipe de inteligência de fraude detectou o surgimento de páginas virtuais que incluíam pedaços de códigos criados para gerar números de cartões de crédito de diversas instituições bancárias. Analisando mais de perto, identificamos ali a presença de algum tipo de “Jogo com propósito de fraude”.
Essas páginas convidam as pessoas para participarem do desafio de adivinhar coletivamente um número de cartão de crédito válido. Se você quiser ganhar dinheiro fácil usando os dados de um cartão roubado, combater o sistema apoiando uma gangue de anarquistas ou simplesmente se divertir tentando adivinhar os números, você será bem-vindo ao jogo.
As chances de gerar aleatoriamente um número de cartão de crédito válido com data de validade e CVV válidos são bastante baixas. E mesmo que queira se aventurar e começar a adivinhar números, você ainda terá dificuldades para determinar se o cartão de crédito gerado é mesmo válido. Antes, isso somente poderia ser feito indo a um site de compras e tentando realizar uma transação, mas as coisas mudaram.
Com os pagamentos pela internet e dispositivos móveis, criar um canal de pagamento para um aplicativo é cada vez mais simples. Muitas empresas oferecem gateways de pagamento de implantação simplificada que permitem testar o canal em minutos, sem qualquer custo. Tudo o que você precisa é um e-mail, uma conta bancária e não mais que cinco minutos de trabalho. É a evolução natural para um mundo onde as pessoas serão capazes de comprar e vender o que quiserem.
Agora, os fraudadores têm o que precisavam: uma série de contas bancárias registradas com gateways de pagamento para testarem os cartões. É nesse momento que os criminosos apelam para as pessoas e usam os GWAPs para alcançar seus objetivos. O único requisito para os jogadores é que abram uma conta em um gateway de pagamento. Um vídeo no YouTube mostra como configurar uma conta usando e-mails descartáveis e alguns dados falsos, e o usuário estará pronto para utilizar o gateway de pagamento como um oráculo das tentativas.
Para jogar, a pessoa tem de inserir um número de identificação bancário, usado como padrão para gerar dados aleatórios de cartão de crédito. Depois, todas as combinações de número de cartão, CVV e data de validade são testadas com uma transação de um dólar, podendo ser aceitas ou rejeitadas pelo gateway. Quando uma transação é aceita, então há um vencedor!
Quem ganha o jogo? O jogador ganha parcialmente, porque esse é um entretenimento barato com a possibilidade de sair com um número de cartão de crédito para uso ilegal. Mas, tecnicamente, é o criminoso quem realmente ganha, já que quanto mais gente entrar no jogo, maiores são as chances de encontrar uma combinação válida.
Quem perde o jogo? Os titulares das contas, cujos cartões são descobertos – estão realmente sem sorte, embora seus bancos talvez sejam forçados a responder pelos incidentes de fraude. Considerando que o objetivo das instituições é facilitar os pagamentos, elas acabam facilitando também a exposição dos dados de cartões de crédito válidos.
Tecnicamente, os bancos estão dando acesso irrestrito ao oráculo, em um contexto em que os ataques de força bruta se tornaram altamente viáveis. O pior cenário é quando os jogadores conseguem tirar fotos dos cartões de crédito, e a única informação que falta é o CVV. Se um criminoso testar um cartão por segundo, ele sairá com os dados de um cartão válido em aproximadamente 15 minutos. E daí?
Para começar, esse é um exemplo perfeito de como a tecnologias EMV não resolverão o problema da fraude eletrônica, já que as transações com cartão “não presente” aumentam cada vez mais, assim como muitas outras tecnologias que facilitam a realização de pagamentos pela internet. Outro ponto importante é que é preciso apenas um cartão bom para fazer todo esse esquema valer a pena para todos os envolvidos. Na pior das hipóteses, um cartão corporativo pode ser descoberto gerando prejuízos que podem ser devastadores para qualquer empresa.
Somente uma coisa nisso tudo é certa: a criatividade sem fim dos criminosos. Para lidar com essa realidade, os sistemas de pagamento precisam trabalhar em conjunto para superar os desafios. Assegurar algumas partes sem pensar no contexto geral somente dará mais oportunidades aos hackers para se aproveitarem dos pontos fracos e aumentarem os prejuízos dos bancos, empresas e usuários finais.
* David Lopez é diretor de Vendas da Easy Solutions para a América Latina
Acesse os outros sites da VideoPress
Portal Vida Moderna – www.vidamoderna.com.br
Radar Nacional – www.radarnacional.com.br
