Como funciona o negócio de cartões de crédito roubados

Existem muitas formas de roubar números de cartões de crédito, que incluem explorar brechas de segurança em sites de comércio eletrônico vulneráveis (ou em alguns casos até nos próprios bancos), engenharia social, clonagem nos pontos de venda e assim por diante. Muitas vezes estas informações são cruzadas com outros bancos de dados com nomes, endereços e outras informações, permitindo obter todos os dados necessários para fazer compras em nomes de outras pessoas.

De uma forma geral, o sistema de cartões de crédito é muito vulnerável e muito da “segurança” se baseia na ideia de que como as compras são de uma forma geral rastreáveis (o produto vai precisar ir para algum lugar e ser retirado por alguém) ninguém em sã consciência usaria um número de cartão de crédito roubado para fazer compras.

Na prática entretanto as coisas são diferentes e a venda de cartões de crédito é um negócio que faz muito dinheiro girar. Os números propriamente ditos podem ser adquiridos em canais de IRC e sites undrground por até US$ 3 cada (com os valores variando de acordo com vários fatores, entre eles o volume de outras informações disponíveis). Uma entrevista no dendory.net mostra como este esquema clandestino funciona e como os números e outras informações podem ser comprados em volume de forma surpreendentemente simples.

A questão seguinte é como os números roubados são usados, já que um criminoso que simplesmente os usasse para comprar coisas seria descoberto e preso muito rapidamente. Isso deu origem a muitos esquemas elaborados. Um dos mais comuns envolve usar o eBay. O estelionatário cria contas falsas, vendendo produtos e recebendo o dinheiro via paypal. Neste esquema, sempre que um produto é vendido, o criminoso compra um produto idêntico de outro vendedor e faz com que ele seja enviado diretamente para o comprador. Fazendo isso, o comprador recebe o produto e o vendedor recebe o dinheiro. Quem acaba lesado é o dono do cartão, mas ele geralmente vai reclamar apenas depois de receber a fatura, semana depois, tornando a investigação complicada. É uma situação realmente preocupante, uma vez que mesmo que o usuário cuide da segurança em sua máquina pessoal, não existe como realmente impedir que os dados vazem através de outros meios.