Este artigo visa demonstrar os perigos do cibercrime em suas mais variadas vertentes, principalmente, uma de suas modalidades mais comuns, as fraudes com cartões de crédito, além das mediadas que as empresas ligadas ao setor vêm tomando para evitar tais ocorrências, lançando mão das mais modernas técnicas de desenvolvimento de aplicativos baseados em IA (Inteligência Artificial), visando o combate a tais práticas nocivas em ambientes virtuais, buscando a melhor proteção para os usuários.
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
SITI- Cibercrime - Fraudes com o Cartão de Crédito
1. CIBERCRIME - FRAUDES COM CARTÃO DE CRÉDITO
Vinicius Dantas dos Santos1, Profa. Me. Samáris Ramiro Pereira2
1
Aluno do curso de Tecnologia em Informática para a Gestão de Negócios da FATEC-
SBC “ADIB MOISÉS DIB”
2
Professora do curso Tecnologia em Informática para a Gestão de Negócios da FATEC-
SBC “ADIB MOISÉS DIB”
Pesq. do IPT/USP
vinicius_dantas@uol.com.br
Abstract: This article aims to demonstrate the dangers of cybercrime
in one of its most common fraud with credit cards.
Resumo: Este artigo visa demonstrar os perigos do cibercrime em
uma de suas modalidades mais comuns, as fraudes com cartões de
crédito.
1. Introdução
Este artigo vem tratar dos riscos envolvendo o cenário do cibercrime no brasil. E sua
modalidade mais popular, ou seja, as fraudes com cartão de crédito.
Cenário esse que vem crescendo fora do controle da sociedade e de empresas das quais
normatizam os modelos para assegurar a segurança dos sistemas e softwares que utilizamos no dia-
a-dia para fazer com que nos sentirmos mais seguros em nossas transações cotidianas e coisas do
gênero.
Observaremos este cenário de crimes virtuais deste século onde, pessoas utilizam não apenas a
tecnologia disponível hoje no mercado para se apoderar de sistemas e softwares como utilizam
também um método relativamente simples, onde os cibercriminosos se valem de informações sobre
a vítima para obter sucesso em seu ataque utilizando apenas a “engenharia social”.
A engenharia social é um tipo de prática muito utilizada para obter acesso á informações
importantes e ou sigilosa em organizações ou sistemas por meio da enganação ou exploração da
confiança das pessoas, para isso o cibercriminoso costuma se passar por outra pessoa, assumir outra
personalidade ou até mesmo outra identidade.
Serão abordados o cenário de fraudes eletrônicas desde fraudes em ECF (emissão de cupons
fiscais), e principalmente, fraudes em cartões de crédito, que causam milhões de reais em prejuízos
aos bancos e um enorme constrangimento aos proprietários dos mesmos.
As fraudes eletrônicas representam atualmente uma grande ameaça tanto às grandes empresas
quanto para as pessoas físicas. O crescimento do comércio eletrônico tem gerado facilidade,
agilidade e velocidade nas transações comerciais e financeiras cotidianas, mas sua segurança ainda
é questionável.
2. 2. Cenário Tecnológico Atual
Numa sociedade globalizada, aonde os intensos volumes de transações comerciais on line vêm
sendo cada vez praticado, graças aos enormes avanços tecnológicos recentes, os investimentos em
tecnologias de informática e de comunicação de dados é fundamental para a sobrevivência das
empresas.
A sobrevivência de uma empresa que trabalha nesse cenário depende não só de promover um
consistente relacionamento com seus fornecedores e clientes, mas de minimizar e até se antecipar
aos efeitos das eventuais fraudes, principalmente as chamadas fraudes eletrônicas, e as que se
resultam com sucesso fruto da “engenharia social”.
É cada vez mais comum, notícias de fraudes com cartões de crédito, seja por compra através de
telefone, internet ou por fax ou, até mesmo, pelo ato do cliente entregar o cartão ao vendedor e o
mesmo levá-lo a lugares fora do seu campo de visão para de alguma forma fraudar o cartão do
usuário clonando seus dados de alguma forma. Também se tornaram comuns as fraudes por e-mail
(SPAM), através do qual se induz o usuário a fornecer dados pessoais, bancários e financeiros, em
troca de um prêmio ou ganho qualquer.
Não raro, juntamente com o e-mail, o cibercriminoso lança mão de um recurso mais ousado:
ele cria uma versão falsa de uma página real onde o cibercriminoso envia um link da pagina falsa
por e-mail para a vítima acessar, e quando o acesso ocorre, os dados da vítima são enviados para o
fraudador se utilizar como bem entender, geralmente em cartões de créditos falsos ou em outras
transações via internet.
3. Fraude
A fraude é um tipo de crime previsto pelos códigos penais das nações do mundo todo. Significa
dolo, burla engano, logro ou contrabando, além de ser uma fonte de sofrimento e constrangimento
para suas vítimas..
Embora a informática seja uma ciência recente e os crimes ligados a ela tenham um histórico
pequeno, em seu trabalho, os autores Furlaneto Neto e Guimarães (2003) citam que o surgimento
destes remonta à década de 1960, época em que apareceram na imprensa e na literatura científica os
primeiros casos de uso do computador para práticas criminosas. Nas décadas seguintes iniciaram-se
os primeiros estudos mais profundos sobre a matéria, analisando um número limitado de crimes
eletrônicos. Somente a partir de 1980 e, em especial, na década de 1990, o número de crimes em
informática teve crescimento acelerado pelas facilidades advindas pelo uso do computador e da
internet.
Muitas das fraudes ocorridas através da internet e meios eletrônicos já encontram tipificação
penal na lei. Entretanto, Existem outras práticas delituosas que ainda necessitam ser previstas
legalmente, para que de fato sejam consideradas crime.
A Tecnologia de Informação (TI) tornou muito mais fácil e rápida a manipulação da informação,
mas nesse processo, também permitiu que pessoas mal intencionadas, fizessem uso das tecnologias
disponíveis, para o desenvolvimento de novas práticas criminosas. A internet derrubou todas as
barreiras físicas, criou um mundo sem fronteiras, onde os cibercriminosos encontraram um terreno
fértil para suas ações, já que o local do delito nem sempre tem uma legislação que prevê tal
atividade como crime.
3. Outro entrave no combate ao crime digital é o da falta de divulgação. Algumas empresas que são
vítimas de ataques de cibercriminosos preferem absorver os prejuízos sem torná-los públicos. A
principal razão dessa atitude é o medo da vulnerabilidade de seus sistemas e de novas investidas de
“hackers” ou “crackers” e que a divulgação venha a afetar negativamente sua imagem e reputação
no mercado.
Muitos dos casos de fraudes e roubos digitais também não são reportados devido ao fato de que
se reportarem aos órgãos competentes, entrarão, para as estatísticas de empresas das quais sofreram
de alguma forma, uma falha digital da qual originou o ato criminoso, e fazendo assim por sua vez
com que perca a credibilidade para com seus clientes.
4. Engenharia Social
A engenharia social é um tipo de prática utilizada para obter acesso á informações importantes e
ou sigilosa em organizações ou sistema por meio da enganação ou exploração da confiança das
pessoas. Mas existem meios de se proteger ou pelo menos amenizar esse tipo de prática utilizada
por fraudadores e ladrões digitais.
Treinamento de Funcionários: Orientar sempre os funcionários a não fornecer
informações relevantes sobre a empresa, a pessoal não autorizado.
Evitando Fornecer Informações: Não comentar, fora do ambiente de trabalho, sobre as
rotinas internas e nem sobre suas atividades.
Cuidado com que Joga no Lixo: Tanto nas empresas como na sua vida pessoal, procure
destruir todo o documento que indicar transações financeiras (comprovante de compra e
bancário, fatura de cartões de crédito, etc.), pois cada vez mais esses criminosos
“reciclam” nosso lixo em buscas de informações que possam ajudar em seus golpes.
Atualmente nos deparamos com várias modalidades de fraudes desde aquelas originadas de
falhas do próprio software, hardware, mas principalmente, aquelas fraudes por engenharia social
que é hoje em dia a mais comum e mais aplicada pelos criminosos virtuais.
Existem varias aplicações destas ações da nossa sociedade, são pessoas que gastam recursos,
aplicando golpes e manipulando informações para obter ganhos pessoais.
As mais comuns são:
Fraudes em Equipamentos de ECF: Esta fraude consiste basicamente em não declarar á receita
federal seus impostos.
Fraudes em Cheques e Dinheiro: Nesse caso o criminoso simplesmente usa hardware e software
para imprimir dinheiro falso. E no caso de cheques, imprime folhas falsas de cheque e as usa para
“simular” depósitos e compra de produtos e afins.
Fraudes Utilizando Engenharia Social Através de E-Mails, Páginas Falsas, Links Adulterados,
etc.: Nessa modalidade criminosa, o fraudador se utiliza de um e-mail com algum link malicioso,
que geralmente vai dar em uma réplica de uma página real, onde a vítima cadastra seus dados.
Fraudes Em Notas Fiscais: Vai desde a adulteração direta de notas fiscais, até o comércio de
notas falsas.
Fraudes em Cartões de Crédito: Normalmente associadas as fraudes com e-mails, onde é
solicitado o número do cartão à vítima, que será usado nos mais diversos fins ilícitos. Por ser esta a
modalidade que mais cresce entre os cibercrime, focaremos mais sobre ela.
4. 5. Prevenção de Crimes com Cartões de Crédito
Quando uma leitora de cartões de crédito lê um cartão no pagamento de uma compra qualquer
em uma loja, em geral há um computador analisando se a compra é válida.
5.1 Sistemas Neurais
As empresas de cartões de crédito, tais como a Mastercard ou Visa, instalaram sistemas neurais
(Linx, Falcon) para tentar conter a crescente onda de fraudes que vêm ocorrendo nas últimas
décadas e o total de perdas, conforme estimam Laudon e Laudon (2004), originadas de cartões de
crédito utilizados de forma fraudulenta ou de cartões falsos atingiu U$1,3 bilhão somente em 1995.
O Programa de Segurança da Informação (AIS), de acordo com a VISA (2006):
Estão baseados nas Normas de Segurança de Informação da Indústria de Cartões (PCI DSS, por
sua sigla em inglês). O PCI DSS consiste em uma série de padrões de segurança que incluem:
requerimentos para administrar a segurança, as políticas, os procedimentos, a arquitetura de redes, o
desenho de software e outras medidas críticas de proteção da informação. As Normas de Segurança
PCI são regidas por um organismo internacional independente formado pelas principais
organizações de meios de pagamento.
As normas de segurança utilizadas pelo Programa AIS vêm de uma parceria entre a Visa e a
Mastercard, cujo objetivo foi criar requerimentos comuns de segurança, no mercado essas normas
são chamadas de "Payment Card Industry (PCI) Data Security Standards".
5.2 Sistemas Inteligentes
Segundo Inácio (2008), “Positive Cardholder Authorization Service” (PCAS), ou Serviço de
Autorização Positiva do Portador de Cartão. O PCAS é um conjunto de parâmetros de controle de
risco, disponível aos Emissores que utilizam o componente BASE I do V.I.P. para obtenção e envio
de autorização.
O PCAS possui controles que indicam se a transação foi aprovada pelo Emissor ou por stand-in
da Visa.
O PCAS tem como base a utilização de limites estabelecidos pelos Emissores que irão
determinar se a transação deve ser enviada ao Emissor ou processada via Stand-in.
Segundo Inácio (2008), para determinar se há necessidade de processamento do STIP, o PCAS
utiliza as três categorias indicadas acima em conjunto com o Código de Categoria do
Estabelecimento Comercial (MCC), com o Tipo da Transação, com a Região e com a
disponibilidade ou indisponibilidade do Emissor.
5.3 Case Manager / SRT
Segundo Inácio (2008), o Selective Real Time é um sistema inteligente parametrizável que
permite a tomada de decisão em tempo de resposta de autorização para as bandeiras VISA
MasterCard, AMEX, TECBAN e Private Label e geração de alertas. O SRT atua de maneira
preventiva, unindo o processo atual de autorização e a combinação de regras e cenários que
indiquem o desvio de comportamento de compras e saque.
5. Como podemos notar, as empresas de cartão de crédito estão se cercando das mais modernas
ferramentas tecnológicas para coibir a ação de cibercriminosos e assim minimizar os prejuízos por
eles causados.
6. Conclusões
Concluindo este estudo, podemos notar que o crescimento do comércio eletrônico tende a
exigir cada vez mais e mais ações de prevenção e contenção a fraudes realizadas através dos meios
eletrônicos.
Embora já se tenha desenvolvido muitas ferramentas de prevenção e detecção de fraudes
eletrônicas em geral, com o avanço das tecnologias, se faz necessário muito mais, afinal não há
como prever quais serão os próximos tipos de fraudes que os cibercriminosos estão tramando.
Em se tratando de desenvolvimento de medidas contra esse tipo de crime, já estamos bem
estruturados, mas não podemos controlar o que se passa na mente das pessoas.
Referências Bibliográficas
INÁCIO, Sandra Regina da Luz. Prevenção de Fraudes Contra os Cartões de Crédito. 24/11/2008
acessado em 07/04/2012
LAUDON, K. C.; LAUDON, J. P. (2004) - Sistemas de Informação com Internet. 4ª Edição, São
Paulo, Editora JC.
NETO, Mário Furlaneto, GUIMARÃES, José Augusto Chaves. Definição do Crime Informático.
2003. Disponível em www.frb.br. Acessado em 06/04/2012