Já ouvimos vezes sem conta falar nesta fraudulenta forma de “sacar” dinheiro através do nosso cartão de crédito, mas como funcionam estes esquemas? Como se conseguem estes números?
Abordei o Paulo Ribeiro para nos falar sobre estes meandros do crime, como profissional na área da segurança informática o Paulo resumiu o que indagou nas profundezas da web.
Há já algum tempo que me tinham pedido para investigar a facilidade com que se conseguem cartões de crédito online. No inicio pensei que o melhor seria procurar lojas online com as típicas vulnerabilidades como sql injection e dei-me inclusive ao trabalho de analisar alguns sites, por fim encontrei um site com uma vulnerabilidade deste tipo.
Consegui a tabela pretendida e qual não é o meu espanto quando me começo a deparar com algo inesperado. Afinal a maioria das lojas agem de forma ilegal, alem de não encriptarem de forma alguma os cartões ou as informações de pagamento, na maioria dos casos guardam os CVV2 dos cartões entre outras informações.
Dependendo da lei de cada país, guardar os códigos que estão na parte de trás do cartão é proibido. Claro que se um admin ou algum intruso o fizesse em apenas 24h e voltasse a desactivar a funcionalidade certamente seria mais difícil encontrar este tipo de ilegalidades mas parece ser algo geral. Depois de falar com um amigo ele deu-me a opinião dele dizendo que as lojas podem alegar que apenas ficam com os dados guardados até a confirmação do pagamento ou da entrega do artigo ser feita, algo deste género, e que em caso de erros tentariam cobrar outra vez… Sim pois…
Conselho: Usar serviços como MBnet com frequência ou comprar na net (arranja-se com facilidade) cartões “descartáveis” funcionam como o MBnet mas podem ser comprados por exemplo visas ou mastercards obviamente legais com 50, 100, 300, 500 ou mais euros assim como dólares com a vantagem de darem para fazer mais compras do que com o mesmo numero do mbnet coisa que a paypal não gosta muito devido ás mudanças consecutivas dos números dos cartões MBnet.
Mas, como há sempre um mas, decidi pesquisar por COMPRAR os números ou bases de dados já sacadas por alguém em vez de ser eu a ter o dito trabalho, outra vez foi fácil encontrar redes de venda de cartões de todo o tipo de todos os países incluindo hardware de clonagem de cartões, fabrico de cartões, entre muitas outras pérolas.
Um problema para quem faz isto (compra) sem falar obviamente na ilegalidade do acto, é a relação de confiança que tem de ter com o vendedor porque é facílimo encontrar malta que diz que vende, recebe o dinheiro e não dá mais noticias. Porém os vendedores a sério podem ser encontrados por exemplo na rede de IRC Undernet em canais como #carding entre outros. Depois de travado um minúsculo conhecimento com a pessoa encontrei um vendedor legitimo. Pedia-me 2$ por cartões americanos visa e 3$ por cada cartão discover etc.
Os vendedores não são burros, podem ser novos ou velhos mas não nasceram ontem, usam proxys para se ligarem à rede de irc e não serem detectados com facilidade, ou mesmo com uma ligação wifi próxima, de um vizinho ou centro comercial. Além disso só vendem a troco de moeda virtual como LR (LibertyReserve) e-gold entre outras do tipo.
Detectar scammers ou rippers, a malta que tenta vender gato por lebre, também é facil, basta ter experiência básica de inglês e topa-se que se está a falar com uma criança ou jovem inexperiente no assunto, outra técnica mais usada pelos rippers é de pedirem apenas valores a cima de 50 dólares por “packs” de cartões por exemplo 100 cartões por 50 ou 60 dólares. Desta forma mal recebem o dinheiro desligam-se do irc mudam de proxy, nick, e voltam a ligar-se para enganar outra pessoa. Como diz o outro, “ladrão que rouba ladrão”…. Leia o artigo completo…