No mundo da tecnologia, o modelo de negócios "como serviço" está crescendo rapidamente, e os grupos criminosos seguiram o exemplo, oferecendo ransomware como serviço e malware como serviço, entre outras opções. As empresas de teste de cartões não são diferentes. Eles atendem aos cibercriminosos que compram números de cartões de crédito roubados na dark web, vendendo acesso a softwares automatizados para testar quais cartões comprometidos ainda são válidos e possuem fundos disponíveis.

Em um caso recente descoberto pelo Departamento de Justiça dos EUA, o serviço de teste de cartões Try2Check — descrito como o "padrão ouro" das plataformas ilegais de verificação de cartões de crédito — oferecia um menu com diferentes transações de teste. O serviço executaria então milhões de tentativas de pré-autorização nos cartões roubados, que têm menos probabilidade de acionar as regras de fraude ou de serem detectadas pelos titulares legítimos dos cartões. A aprovação confirma que o cartão é válido. Uma vez que os dados do cartão comprometidos são vendidos, seus novos "proprietários" podem usar essas informações para fazer compras fraudulentas.

Em maio, o Departamento de Justiça identificou o suposto mentor do Try2Check, acusando-o de fraude com dispositivos de acesso, invasão de computadores e lavagem de dinheiro. A plataforma realizava dezenas de milhões de verificações por ano, rendendo ao réu — que permanece foragido — pelo menos 18 milhões de dólares em bitcoin.

Mesmo com a acusação e o fechamento de um importante serviço de testes como o Try2Check, a atividade de testes continua sendo um pilar inevitável e crucial no ciclo de vida das fraudes cibernéticas com cartões de pagamento. Milhões de transações de teste são realizadas todos os anos, e os criminosos continuam a adaptar suas técnicas à medida que o ecossistema de pagamentos evolui.

Compreender os padrões e detectá-los rapidamente são essenciais para interromper o ciclo de testes de cartões.

Na Mastercard, a equipe de Cibersegurança e Inteligência monitora vulnerabilidades e ameaças e consegue detectar essa atividade de teste em tempo real — como um grande influxo de solicitações de autorização para valores baixos em um curto período de tempo. A equipe alerta os bancos emissores caso seus cartões pareçam estar envolvidos em um esquema de testes, e o Mastercard Safety Net, que monitora as transações em nível de rede global, consegue detectar ataques de teste em larga escala imediatamente e rejeitar as transações.

A equipe também entra em contato com os bancos dos comerciantes, que podem alertar seus clientes de que seus negócios estão sendo usados para testes. À medida que a tecnologia avança e os criminosos aprimoram suas táticas, a equipe da Mastercard impulsiona novas ideias e expande constantemente suas capacidades para detectar e prevenir fraudes.

Para os titulares de cartões, a vigilância é fundamental. Você provavelmente já consulta seus extratos mensais, mas os clientes de mobile banking podem verificar suas contas com um simples toque. Entre em contato com seu banco se você vir uma cobrança que não reconhece, por menor que seja — ou, neste caso, principalmente se for pequena.