O submundo da exploração de redes de cartões de crédito

 (chargebackstop.com)
3 pontos por GN⁺ 2023-08-03 | 1 comentários | Compartilhar no WhatsApp
  • O autor descobriu um ataque de teste de cartões na conta Stripe da empresa, com cobranças recusadas vindas de usuários com nomes gerados automaticamente e domínios de e-mail estranhos.
  • Problemas semelhantes foram relatados por outras pessoas no Twitter, indicando que se tratava de um problema comum.
  • O autor implementou o Stripe Radar e regras temporárias para bloquear transações após um certo número de falhas.
  • Os atacantes testavam principalmente até quatro cartões por minuto, do mesmo banco, da mesma fonte de recursos e dos Estados Unidos.
  • O autor encontrou canais no Telegram que compartilham parâmetros de cartões de crédito e ferramentas para gerar números de cartão válidos.
  • Presume-se que os atacantes façam parte de uma rede clandestina que inicia ataques manuais em servidores privados do Discord ou canais do Telegram.
  • Existem ferramentas online que automatizam o processo de executar listas de cartões geradas automaticamente por meio do Stripe Checkout.
  • O autor teve que lidar com as consequências do ataque, fazendo reembolsos e estornos e aceitando contestações de cobrança.
  • Bancos dos EUA aplicam verificações administrativas de forma flexível, permitindo transações mesmo com informações incorretas.
  • As formas de prevenção incluem regras personalizadas no Stripe Radar e a configuração de limites para tentativas de pagamento com falha.
  • O custo das atividades fraudulentas é arcado pelas empresas e, no fim, repassado aos clientes.
  • As redes de pagamento podem ser exploradas e, até que os bancos assumam mais responsabilidade, as empresas devem monitorar a taxa de falhas de cobrança e compartilhar estratégias de prevenção.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-08-03
Comentários do Hacker News
  • O autor usou o ChatGPT para escrever scripts de processamento de pagamentos mesmo sem ter habilidades técnicas.
  • Nos EUA, a fraude com cartão de crédito foi socializada de modo que o consumidor não é responsabilizado.
  • Bancos e processadoras de pagamento priorizam transações rápidas e fáceis, causando aumento de preços para as empresas.
  • A Visa oferece produtos como Rapid Dispute Resolution e Order Insight para evitar chargebacks.
  • Os EUA estão atrasados no setor bancário em comparação com outros países, por não terem medidas como Chip and PIN e transferências bancárias instantâneas.
  • A Stripe é criticada por terceirizar para os clientes os custos de prevenção de fraude deficiente e de gestão de risco.
  • A Cloudflare tem ferramentas para bloquear envios de formulários e impede ataques de forma eficaz.
  • A fraude com cartão de crédito é comum, e há atacantes que procuram e exploram vários padrões.
  • Recomenda-se que empresas realmente sérias sobre prevenção a fraudes treinem modelos personalizados de detecção de fraude.
  • A falta de medidas de segurança nos bancos dos EUA torna mais fácil para golpistas realizarem transações.