Defenda-se - Fraudes: Cartões de Crédito Falsos, Roubados ou Clonados
Fraudes com cartão de crédito são comuns, normalmente envolvem pequenas
quantias, mas em alguns casos podem dar problemas maiores.
Não existe um esquema único e por isso não se pode dar uma descrição exata. A
base desta fraude é dispor de um cartão clonado ou do número do cartão de
crédito de uma vítima e de quantos mais outros dados sobre esta pessoa seja
possível (RG, CPF, Endereço, Telefones, dados pessoais e possivelmente até um
xerox do cartão e/ou do RG).
Com isso na mão o fraudador vai tentar usar o cartão da vítima para comprar bens
ou serviços que serão depois debitados na conta da vítima. Com o advento da
internet isso ficou ainda mais fácil porque a maioria dos sites que vendem pela
internet aceita o pagamento com cartão de crédito.
Cuidado a não fornecer estes dados a desconhecidos ou fora de estabelecimentos
comerciais sérios. Em muitos casos os golpistas obtêm os dados da vítima graças
à colaboração de algum funcionário desonesto de um estabelecimento comercial
que, na ocasião de uma compra legítima, faz uma copia dos dados do cliente.
Bastante freqüente é ainda a utilização do papel carbono (que contém todos os
dados do cartão) que sobra do modulo utilizado nas maquinas manuais de débito
dos cartões.
Foi também relatada a existência de maquinas que clonam os dados dos cartões de
crédito simplesmente passando o cartão como se fosse uma maquina eletrônica de
autenticação do pagamento (os ditos "chupa-cabras").
O conselho é portanto sempre ficar com os olhos no cartão e ver como e onde o
mesmo é utilizado. A clonagem de cartões é um fenômeno em crescimento no mundo
inteiro e muitas vezes uma maior atenção por parte do titular do cartão seria
suficiente a evitar problemas futuros.
Se alguém ligar se dizendo funcionário da administradora do Cartão de Crédito
peça para deixar o nome e ligue para ele de volta usando o número oficial da
administradora que você pode encontrar nas páginas amarelas. Se ligando na
administradora ninguém conhecer o nome que você está procurando não se
surpreenda muito ...
Vale a pena mencionar a existência de verdadeiras organizações, tanto nacionais
quanto internacionais, que vendem cartões de crédito clonados e, em alguns
casos, até cartões de créditos falsificados completamente (ou seja não clonados
de verdadeiros, e vendidos em lotes até com design sob medida) mas que podem
funcionar e passar os controles. Aconselho atenção redobrada com cartões de
design desconhecido e verificação cuidadosa dos documentos de identidade
apresentados.
É oportuno, por fim, dizer que os cartões de débito, ou cartões bancários,
também podem ser clonados, com modalidade às vezes parecidas às usadas pelos
cartões de crédito, mesmo se, neste caso, além de clonar o cartão é
indispensável conseguir roubar a senha. Esta modalidade encontra-se em franco e
rápido aumento no Brasil, por isso vários bancos estão iniciando a utilizar o
chip também em cartões de débito ou bancários.
Características e Detalhes da Numeração
Não consideramos nesta sede os cartões de crédito independentes emitidos por
lojas ou supermercados e com uso restrito junto ao emissor.
O sistema mais utilizado no mundo para a numeração dos cartões de crédito é o
ANSI Standard X4.13-1983.
Este é o significado dos números dos cartões:
O primeiro dígito identifica o sistema, normalmente, segundo o seguinte esquema:
1 - Não padronizado. Freqüentemente cartões de loja ou bancários.
3 - Cartões de viagem e diversão (sobretudo American Express, Diners e alguns
JCB).
4 - Visa.
5 - Mastercard (e alguns cartões bancários americanos).
6 - Discover (não usado no Brasil).
A estrutura do número dos cartões varia de sistema a sistema. Os números
iniciais e a quantidade de dígitos, de norma, respondem ao seguinte esquema:
BANDEIRA |
PREFIXO |
TOT.
DÍGITOS |
American
Express |
34 ou 37 |
15 |
Diners
Club / Blanche |
300-305,
36 ou 38 |
14 |
Discover
Card |
6011 |
16 |
JCB |
3 ou
1800, 2131 |
16 ou 15 |
MasterCard |
51-55 |
16 |
Visa |
4 |
13 ou 16 |
Nos cartões American Express os dígitos 3 e 4 representam o tipo de cartão
(crédito, débito...) e a moeda de referência, os dígitos de 5 a 11 representam a
conta do cartão e o tipo, o dígito 12 representa a emissão (se é primeira,
segunda .. via do cartão), os dígitos de 13 a 14 representam o numero do cartão
dentro da mesma conta (inicia de 00 e sobe) e o dígito 5 é um dígito de
controle.
Nos cartões Visa os dígitos de 2 a 6 representam o numero de identificação do
banco, os dígitos de 7 a 12 (ou as vezes de 7 a 15, nos cartões com 16 dígitos)
representam o número da conta e o dígito 13 ou 16 é de controle.
Nos cartões MasterCard os dígitos 2 e 3, ou de 2 a 4, ou de 2 a 5 ou de 2 a 6
representam o numero de identificação do banco (dependendo se o dígito 2 é 1, 2,
3 ou outro), os dígitos depois do numero do banco até o dígito 15 representam o
numero da conta e o dígito 16 é de controle.
Um sistema para verificar se um numero de cartão é potencialmente valido, pelo
menos pelo que diz respeito ao controle dos números, é utilizando a dita Formula
de Luhn (ou "Modulus 10" ou "Mod 10"). Para fazer isso é só aplicar as seguintes
instruções:
1) Multiplicar por 2 os dígitos alternados a partir do segundo a direita.
Considerar os números resultantes da multiplicação como dígitos individuais,
portanto se estiver dobrando o numero 6 o resultado não será 12 mas 1 e 2.
2) Somar os dígitos resultantes da operação anterior aos dígitos
alternados que não foram multiplicados por 2.
3) Se o numero resultante for divisível por 10 sem dar resto o numero do
cartão é válido.
Por exemplo para validar o cartão de numero: 5255 0003 4020 1400
Primeira Etapa:
5 2 5 5 0 0 0 3 4 0 2 0 1 4 0 0
x2 x2 x2 x2 x2 x2 x2 x2
-------------------------------
10 10 0 0 8 4 2 0
Segunda Etapa:
(1+0) + 2 + (1+0) + 5 + 0 + 0 + 0 + 3 + 8 + 0 + 4 + 0 + 2
+ 4 + 0 + 0 = 30
30 / 10 = 3 (sem resto) ---> o cartão é válido !!
Nos cartões de nova emissão (a partir do fim dos anos '90) foi introduzido um
novo sistema de segurança, o CVV (Creditcard Verification Value), segundo a
denominação da bandeira Visa. Outras bandeiras usam um nome diferente para o
mesmo conceito, a Mastercard chama o sistema de CVC (Card Validation Code) e a
American Express de CID (Card IDentification).
Este sistema serve sobretudo para verificar que quem está conduzindo a transação
está de posse do cartão original e não somente dos dados do cartão ou de um
cartão onde somente a banda magnética foi clonada. O CVV nada mais é do que um
número de 3 dígitos impresso no verso do cartão (no caso de Visa, MC, JCB,
Diners e Discover) ou de 4 dígitos impresso na frente (no caso de Amex). Este
número é solicitado pelo sistema, quando necessário, e deve ser fornecido por
quem está executando a operação (ou seja, supostamente, o titular do cartão).
Visa / MasterCard / Discover / JCB /
Diners
American Express
Cartões com Chip e o Padrão EMV
O desenvolvimento dos cartões de crédito com chip, ou "smart cards" pode ser
considerado uma mudança fundamental na indústria mundial dos sistemas de
pagamento.
Até hoje o principal sistema de armazenagem de dados nos cartões de crédito é a
banda magnética, um sistema desenvolvido aproximadamente de 30 anos atrás e
utilizado hoje por todos os circuitos. Esta tecnologia, porém, não é adequada as
necessidades de segurança e favorece o fenômeno das fraudes.
O principais limites da banda magnética são os seguintes:
- Falta de segurança na armazenagem dos dados do proprietário do cartão.
Não existe proteção por criptografia.
- Capacidade de memória limitada, o que impede que o cartão possa ter mais
de uma ou duas funções de pagamento (cartão bancário e de crédito,
normalmente).
- Fácil reprodução e clonagem das trilhas e dos relativos dados.
Por sua vez os cartões que utilizam chip tem capacidade de armazenar dados de
forma segura (criptografados), tem uma maior capacidade de memória e graças à
presença de um microprocessador interno podem ser utilizadas por múltiplas
funções sendo que no mesmo cartão podem ser armazenados dados de vários serviços
diferentes. Além disso, os cartões com chip não podem ser clonados, pelo menos
não com meios simples.
Vale lembrar que o mercado francês, um dos pioneiros no desenvolvimentos de
cartões com chip, conseguiu reduzir em 98% o número de fraudes com cartões de
crédito depois da adoção generalizada e em nível nacional dos cartões com chip.
Entre os cartões com chip se destaca o padrão EMV, criado a partir de 1993 pela
colaboração dos principais sistemas de pagamento mundiais (Europay, Mastercard e
Visa). O padrão EMV define uma série de regras a padrões pelo que diz respeito
as modalidades de operação dos cartões de crédito com chip, as suas
características físicas e elétricas, a estrutura dos cartões de um ponto de
vista da segurança, a interoperabilidade dos cartões nos terminais a nível
global etc...
O padrão EMV define também as regras de interação entre os cartões e os
terminais de pagamento. Estas regras estão baseadas no padrão ISO 7816.
O padrão EMV define os requisitos mínimos de segurança, mas deixa os circuitos
livre de estabelecer parâmetros adicionais de segurança. Isso levou ao
desenvolvimento de diferentes sistemas. A Visa desenvolveu o VSDC (Visa Smart
Debit Card), a Mastercard o M/Chip e a JCB o J/Chip. Todos estes sistemas são
compatíveis com o padrão EMV mas tem parâmetros adicionais de gestão do risco
nas transações.
O padrão EMV define quatro elementos básicos de segurança nas aplicações
financeiras dos cartões:
- Autenticação do cartão offline. Ou seja o terminal deve identificar o
cartão como genuíno sem ter que conectar com o sistema.
- Parâmetros de gestão do risco. O cartão grava todas as transações e
emite um alarme caso se verifiquem determinadas condições.
- PIN offline. Os cartões com Chip podem armazenar dados de forma segura e
sigilosa, permitindo que a verificação do PIN (Número de Identificação
Pessoal ou Senha do cartão) possa ser feita internamente sem necessidade de
conexão com o sistema.
- Autenticação online. Quando necessário ou de forma casual pode ser feita
uma verificação on line do cartão através de conexão junto ao sistema.
Os cartões com chip, diferentemente dos com banda magnética (que usam, para
autenticação, o sistema CVV que só pode ser verificado online), utilizam
diferentes técnicas que permitem a autenticação seja online que offline:
SDA (Static Data Autentication). É a tecnologia mais simples e menos
cara, neste processo o cartão é identificado e autenticado pelo terminal sempre
através do uso dos mesmos dados (assinatura digital) contidos no chip.
DDA (Dynamic Data Autentication). Neste caso o sistema cria uma
assinatura digital diferente para cada operação offline. Esta tecnologia é mais
segura mas tem um custo aproximadamente 25% maior que a SDA.
CDA (Combined Dynamic Data Autentication). O cartão gera um "Application
Criptogram" e uma assinatura digital. O Terminal verificando a assinatura
digital tem condição de determinar se o Application Criptogram foi grado por uma
cartão genuíno.
Os objetivos que as grandes redes de cartões de crédito pretendem alcançar, com
a introdução dos cartões de crédito com chip, são os seguintes:
- Redução das fraudes, das falsificações e clonagens de cartões de
crédito.
- Possibilidade de gerir um maior número de transações. Os sistema de
pagamento atuais precisam de uma conexão online (via telefone) para
autenticação o que resulta em uma necessidade de maior tempo e maior custo
por cada transação. As smart cards podem ser autenticadas sem conexão o que
agiliza muito as operações de crédito e débito.
- Maior interoperabilidade entre bancos e circuitos de pagamento seja a
nível local que a nível internacional.
- Definição de um único padrão para os cartões de crédito, eliminando,
entre outros, a necessidade de diferentes terminais para diferentes
bandeiras.
- Possibilidade de desenvolvimento de aplicações seguras para o comércio e
os pagamentos via internet.
Dois outros pontos importantes a serem observados e lembrados em relação ao uso
dos cartões com chip:
1) Dispensam a assinatura (que fica somente como sistema de reserva para
terminais ainda não habilitados ao uso do chip) sendo que todas as transações
podem ser feitas com segurança utilizando simplesmente o PIN.
2) Nos países onde os cartões com chip iniciaram a serem introduzidos é
normalmente prevista a presença nos cartões também do sistema com banda
magnética, para garantir a compatibilidade com sistemas nacionais e
internacionais ainda não habilitados ao uso do chip.
Segurança Real das Smart Cards.
No meio dos operadores de cartões periodicamente, aparecem informações ou boatos
de alguém que teria conseguido encontrar falhas de segurança ou quebrar o
sistema criptográfico das smart cards no padrão dos cartões de crédito, ou seja
de que seria aberto o caminho para um sistema simples de clonagem de cartões ou
de aproveitamento de cartões com chip roubados (pois, através da quebra do
sistema de criptografia, ou do aproveitamento de falhas na segurança, seria
possível saber a senha do cartão e portanto utiliza-lo nos equipamentos com
autenticação offline tipo SDA).
Na realidade, no que diz respeito ao cartões de crédito, até hoje nada disso
apareceu de forma comprovada em qualquer parte do mundo. Se sabe que é possível
quebrar a segurança dos smart cards através de equipamentos que penetram no
hardware do chip e observam como está trabalhando e armazenando informações, mas
tais equipamentos são muito caros (na casa dos 2 milhões de dólares), precisam
de pessoas altamente especializadas para serem operados e os laboratórios
equipados com eles são muito poucos (ao redor de 200 no mundo inteiro, sobretudo
em universidades, grandes empresas e centros de pesquisas de governos).
Se conhece também um sistema chamado DPA (Differential Power Analysis),
desenvolvido pela empresa americana Cryptography Research Inc. em meados dos
anos 90, e que explora uma vulnerabilidade dos chips da época que permitia
conseguir informações através da analise da atividade elétrica do próprio chip.
A maioria dos cartões com chip em uso hoje já contém sistemas que impedem o
aproveitamento desta técnica.
Outros tipos de cartões com chip, sobretudo os usados nos telefones GSM
(chamados SIM cards), são comprovadamente muito mais fáceis de serem clonados
(na Ásia existem até sistemas a venda pra fazer isso), mas também os sistemas de
segurança e criptografia usados nas SIM cards são bem diferentes.
Os "carders" (tipo de criminosos especializado em fraudes com cartões)
profissionais, cientes das grandes dificuldades em se conseguir um sistema
"econômico" capaz de quebrar a criptografia das smart cards ou de aproveitar
falhas de segurança, estão se concentrando em outros pontos do processo de
autorização, mais fracos e mais facilmente aproveitáveis.
É consenso comum que as maiores falhas de segurança são devidas a descuidos dos
usuários ou dos humanos em geral, e não ao sistema em si. Por esta razão os "carders"
estão se concentrando em sistemas e técnicas que visam capturar as senhas no
momento em que os usuários as digitam ou em sistemas onde estas possas estar
armazenadas.
Uma nova tendência em aumento são as tentativas de interceptação da senha no
momento em que esta é temporariamente transmitida ao sistema para verificação
durante uma transação, mas para este caso também estão sendo desenvolvidas
contramedidas de segurança.
|