Translate

quinta-feira, 26 de março de 2015

Fraudaram meu cartão de crédito

Olá leitores. No inicio de Fevereiro tive meu cartão de crédito (com chip) fraudado pela primeira vez na vida. Curiosamente, amigos meus reclamaram recentemente de terem seus cartões fraudados. Então, o objetivo desse post é tentar analisar como a fraude aconteceu. Antes de prosseguirmos, gostaria de frizar que eu não tenho experiência em sistemas TEF, portanto, talvez uma ou outra informação aqui não seja lá muito acertiva (fique a vontade para postar uma correção nos comentários).

A fraude ocorreu em um Sábado de poucas compras. Por isso, eu sei exatamente em qual loja a fraude ocorreu. O que importa saber dessa loja, é que tipo de sistema ela possui como meio de pagamentos. Nesse caso, a loja utilizava um sistema PDV (não sei o fabricante) com uma máquina para TEF, ou seja, um ETFPOS. Essa é uma configuração típica de lojas de médio porte, onde a manuntenção de estoque é importante. Pois bem, o processo de pagamento ocorreu como habitual, entreguei o cartão, a balconista introduziu o cartão na leitora e eu digitei a senha. Em nenhum momento o cartão saiu do alcançe de minha visão.

Na Segunda-feira seguinte a essa compra, recebi um telefonema do meu banco perguntando se eu havia feito uma compra de passagem aérea no Sábado e outra momentos antes da ligação. Eu disse que não e a operadora informou que meu cartão havia sido fraudado e que, portanto, ela queria permissão para cancelar o cartão. Permissão concedida de imediato e perguntei: as compras realizadas foram efetivadas, ou só ficaram na tentativa? Ela respondeu que nenhuma compra havia sido efetiva. De fato, mais tarde consultei o extrato online do meu cartão de crédito e nenhum lançamento anormal foi notado.

Pois bem, com essa descrição já é possivel supor o que ocorreu:

O fraudador não foi bem sucedido na captura de todos dados do meu cartão. Ele conseguiu apenas parte do conjunto de dados que seriam necessários para realizar uma transação fraudulenta mais tarde. Digo isso porque, provavelmente, as compras de passagem aérea que ele tentou realizar ocorreram em uma loja on-line e, como se sabe, para uma transação como essa são necessários diversos dados do cartão como: número do cartão, nome impresso no cartão, e data de validade do cartão, além do CVV. Algumas lojas inclusive exigem o endereço da fatura do cartão e o CPF (nem todas pedem essa parte). Desses dados, somente o número do cartão é armazenado eletronicamento no cartão. Normalmente, mas nem sempre, o número impresso no cartão coincide com o PAN que compõe os dados da Trilha 2 do cartão. Tentar realizar uma compra on-line sem qualquer uma dessas informações, tipicamente resultará em uma transação mal sucedida, e foi o que ocorreu. No entanto, o que me tirou alguns momentos de tranquilidade foi não entender como o fraudador conseguiu os dados eletronicos do meu cartão. Como ele conseguiu obter o PAN do meu cartão?

Suponho que ele tenha fraudado o sistema PDV do estabelecimento, colocando um programa espião no computador onde está instalado a aplicação PDV. Após a seleção da aplicação CREDITO do chip, a aplicação executa a leitura de uma série de dados do cartão, para compor os dados necessários para envio de uma transação EMV de autorização da compra junto a operadora do cartão. O envio dessas informações é encapsulado em uma mensagem, tipicamente no formato ISO 8583. O canal de comunicação entre o computador do PDV e o servidor da solução (ainda antes de chegar nos servidores da processadora de cartões) é, tipicamente, criptografado usando SSL ou uma VPN. Então, o que deve ter ocorrido é que o fraudador capturou os dados que compõe essa mensagem, antes dela ter sido enviada e diretamente no computador.

Por sorte, acredito que a balconista do estabelecimento não estava envolvida na tramóia. Se estivesse, então a fraude poderia ter sido completada com êxito. Afinal, passei a ela meu CPF (nota fiscal paulista), e ela já tinha meu nome completo e endereço (entrega da mercadoria comprada). Só faltariam CVV e validade do cartão, que podem ser facilmente memorizado em apenas uma ou duas olhadas no cartão. Normalmente entregamos o cartão à pessoa do outro lado do balcão e isso facilita essa captura de informações. Com a prática atual da nota fiscal paulista, que a maioria utiliza para praticamente todo o tipo de compra, a inserção do CPF é o caminho para obter o nome do possivel titular do cartão, uma vez que o própria receita federal oferece serviço de consulta pública a essa informação a partir do CPF. Assim, os demais dados do cartão (CVV e data de validade) e o teu endereço de cobrança são as únicas informações que podem evitar uma fraude, caso você tenha a infelicidade de ter seu cartão de crédito inserido em um sistema comprometido.

Você tem outra explicação para essa fraude? Poste abaixo os seus comentários...

Até mais!!!


2 comentários:

Aurimenes Silva disse...

Fala Fagner! Tudo bom?

Eu ACREDITO que alguém tinha conseguido os dados do teu cartão em outro momento (talvez a muito tempo antes) e tentou usar coincidentemente perto desta compra que você se refere. Para compras online, bastam os dados visíveis, como você falou: número do cartão, CVV, validade, nome do titular, etc, então duvido muito que os dados tenham sido obtidos no momento desta compra (a não ser que alguém tenha tido condições de fotografar o cartão, por exemplo, coisa que acho difícil, porque se não você teria notado).

A transferência dos dados do cartão são muito bem criptografadas e é MUITO DIFÍCIL que tenham conseguido fraudar o sistema do PDV, até mesmo porque o sistema de Automação Comercial não tem acesso aos dados transferidos do pinpad para a autorizadora (tudo passa pelo sistema de TEF, devidamente criptografado com o que existe de mais moderno :D ).

Que bom que a autorizadora percebeu a fraude e não permitiu a concretização da compra.

Boa sorte, um grande abraço!

Aurimenes

Anônimo disse...

Sistema nenhum foi tao inteligente como a mente criminosa

em momento algum foi usado programas para detectar seus dados.

lendo a primeira frase do seu post eu ja descobri a fraude, momento exato de onde ocorreu