Cartão de pagamento brasileiro custa em média R$36 reais na dark web
O preço médio de um cartão de pagamento brasileiro vendido na dark web é de R$ 36,02 reais, de acordo com novo estudo da empresa de segurança cibernética NordVPN analisou dados de 227 mil cartões de pagamento brasileiros vendidos na dark web.
“Os cartões de pagamento brasileiros são muito baratos (em comparação com a média mundial de R$ 52,13) por causa das políticas amigáveis de prevenção de fraudes contra cartões de pagamento do país. Se um cartão de pagamento perdido ou roubado for usado de forma ilegal, a responsabilidade recai sobre a operadora do cartão. No entanto, o sistema ainda não é perfeito, pois os bancos não são incentivados a implementar medidas extras para proteger seus usuários. Talvez seja por isso que o Brasil tenha uma adesão de cartão de crédito per capita tão baixa”, afirma Marijus Briedis, CTO na NordVPN.
Os preços dos cartões de pagamento brasileiros descobertos variaram de R$ 5,43 a R$ 48,89. Embora a grande maioria (125.244) dos cartões de pagamento custasse R$ 48,89, o preço médio de todos os cartões encontrados foi de 36,02 reais.
Os cartões mais caros foram encontrados no Japão (preço médio R$ 29.229,40 reais), enquanto os cartões mais baratos na dark web pertenciam a Honduras (preço médio inferior a R$ 6,13 reais).
“Os preços dos cartões dependem principalmente da demanda. Quanto maior a demanda, mais dinheiro os criminosos podem cobrar por determinados dados que tentam vender. Nesse caso, a demanda se correlaciona diretamente com a facilidade de roubar dinheiro de um cartão e quanto dinheiro pode ser roubado. É por isso que os cartões mais caros vêm de países com maior qualidade de vida ou medidas de segurança bancária mais pobres”, diz Marijus Briedis.
Um total de 227.353 cartões de pagamento encontrados hackeados pertenciam a brasileiros. O país mais afetado foram os EUA, com 1.561.739 dos 4.481.379 cartões de pagamento encontrados à venda. A segunda nação mais afetada foi a Austrália, com 419.806 cartões descobertos à venda na dark web.
Sabendo que o uso de cartão de crédito é considerado uma atividade de risco, de acordo com o artigo 927 do Código Civil, 227 mil é um número alto. A razão para isso pode ser as leis no Brasil, que preveem que as operadoras de cartão são responsáveis pela segurança dos seus cartões de pagamento. Se um cartão de pagamento perdido ou roubado for usado de forma ilegal, a responsabilidade, na maioria dos casos, recai sobre a operadora do cartão.
“A maneira mais comum pela qual esses cartões de pagamento acabam à venda é o ataque de força bruta. Isso significa que os criminosos basicamente tentam adivinhar o número do cartão e o CVV. Os primeiros 6-8 dígitos são os números de identificação do emissor do cartão. Isso deixa os hackers com 7-9 números para adivinhar, pois o 16º dígito é uma soma de verificação e é usado apenas para determinar se algum erro foi cometido ao inserir os números”, explica Briedis.
Para se protegerem, recomenda-se que os usuários fiquem atentos e revisem seu extrato mensal regularmente para garantir que não ocorreram transações suspeitas. Também é importante prestar atenção às medidas de segurança implementadas ao escolher um banco.
“O exemplo brasileiro mostra que os bancos não envolvidos na prevenção de fraudes com cartões de pagamento não ajudam os usuários a ficarem seguros, porque os bancos podem usar ferramentas como detecção de fraudes para rastrear tentativas de pagamento para eliminar ataques fraudulentos. Sistemas de senhas mais fortes também são um grande passo para a prevenção de fraudes com cartões, mas felizmente a autenticação multifatorial está se tornando o padrão mínimo”, conclui Briedis da NordVPN.
Os dados foram compilados em parceria com pesquisadores independentes especializados em pesquisa de incidentes de segurança cibernética. Eles avaliaram um banco de dados que continha os dados de 4.478.908 cartões no total, incluindo detalhes sobre o tipo de cartão (crédito ou débito), banco emissor e se era reembolsável. Os dados que a NordVPN recebeu dos pesquisadores terceirizados não continham nenhuma informação relacionada a um indivíduo identificado ou identificável (como nomes, informações de contato ou outras informações pessoais).