Fraude com cartão de crédito também é um negócio — eles também têm sua própria cadeia de suprimentos e equipes de QC

• Uma história interessante contada por um funcionário da Stripe conectando três temas

→ doações para caridade

→ cadeia de suprimentos para fraude com cartão de crédito

→ infraestrutura financeira global

• Fraudadores de cartão de crédito têm um ecossistema muito sofisticado e especializado

→ existem até departamentos de controle de qualidade que competem por infraestrutura dedicada e velocidade de resposta

• A maioria dos cartões roubados não é usada pelos ladrões/hackers, mas vendida nesse mercado

→ isso torna possível a especialização do trabalho

→ nesse mercado, também há padrões de qualidade gerenciados com avaliações por estrelas etc. para garantir a qualidade do produto

• Essa “qualidade” significa “o comprador realmente consegue sacar dinheiro usando este cartão?”

→ isso é garantido antes da venda (ou depois) por meio do chamado “card testing”

• A utilidade desses cartões diminui com o tempo (porque o cartão é cancelado ou bloqueado)

→ os ladrões executam uma “transação de teste” logo antes da venda para mostrar que esses cartões merecem um preço alto

→ esse teste é importante porque, se uma tentativa de “fraude com cartão” usando um cartão comprado ilegalmente falhar, o comprador pode desperdiçar outros recursos escassos que usou para adquirir esse cartão

• Empresas legítimas e instituições de caridade são usadas para “card testing em larga escala” (centenas de milhares de pessoas de uma vez) → os fraudadores não levam nada diretamente daqui

→ eles só precisam confirmar que o cartão processa pagamentos bem, porque assim conseguem vender por mais dinheiro no mercado

• Instituições de caridade respondem por 11% de todas as tentativas de teste de cartão

→ outros setores ficam muito abaixo disso (mais de 3 vezes menos que religião/educação/seguros etc.)

• Por que os fraudadores miram primeiro as instituições de caridade?

→ uma das razões é que (exceto grandes instituições com equipe dedicada de pagamentos,)

→ muitas organizações de caridade não imaginam que alguém possa explorá-las ilegalmente justamente ao doar dinheiro para elas

• Para e-commerces, soluções anti-fraud são essenciais, mas instituições de caridade não têm fôlego para isso

• Mas esse teste de cartão é realmente ruim para as instituições de caridade

• esses pagamentos são estornados quando o titular do cartão contesta, e a organização sofre desvantagens no setor financeiro por ter permitido que isso acontecesse

• no pior cenário, por não conseguir bloquear esse card testing repetido, pode até se tornar impossível aceitar doações por cartão

• isso é um desastre para pequenas instituições cuja captação depende totalmente de doações online via cartão

• Durante a pandemia, os ataques de teste de cartão cresceram rapidamente

• No meu caso, na Ásia onde moro, houve um salto de 56% acima do esperado em toda a rede da Stripe

• Então, o que pequenas instituições de caridade podem fazer sobre isso?

• A Stripe tem a responsabilidade de protegê-las e fez várias coisas para impedir isso

→ continua trabalhando no backend para reconhecer ataques de card testing

→ é possível intervir com mais força no frontend, mas pequenas organizações não têm recursos para implementar isso

→ (em instituições de caridade comuns, geralmente não há desenvolvedores na equipe)

• Por isso, a Stripe implementou um modelo de mitigação no Stripe Checkout

→ bloquear completamente pagamentos com cartão por causa de um ataque prejudica a instituição de caridade

→ então, quando um ataque acontece, ela insere algo como um CAPTCHA. Isso é extremamente eficaz.

→ normalmente, durante um ataque, apenas 1,6% passam no CAPTCHA

→ como ele não é exibido para todos, mas só para usuários identificados como atacantes, quase nenhum usuário legítimo chega a vê-lo