Ataques de Enumeração Automatizados: Uma Ameaça Crescente em Fraude Digital
Os atacantes estão utilizando cada vez mais a automação para realizar ataques de teste de cartões, empregando botnets e scripts para facilitar transações fraudulentas sem apresentação do cartão (CNP). Essa tendência alarmante resultou em perdas de fraude de $1,1 bilhão apenas no ano passado.
A Velocidade e Escala dos Ataques de Enumeração
Os ataques de enumeração são rápidos e operam em larga escala. Os cibercriminosos aproveitam tecnologias avançadas de automação, lançando milhares de ataques de botnets em questão de segundos. Essa capacidade supera as defesas cibernéticas tradicionais, tornando a detecção e prevenção extremamente desafiadoras.
A Evolução das Táticas Cibernéticas
Os criminosos cibernéticos refinam continuamente suas técnicas, incorporando métodos de automação de ponta que evitam detecções simples. Eles utilizam todas as novas tecnologias disponíveis, incluindo inteligência artificial generativa e modelos de linguagem de grande porte (LLMs), junto com ferramentas de automação tradicionais.
Christophe Van de Weyer, CEO da Telesign, enfatizou a crescente sofisticação desses fraudadores. "Eles são pioneiros em tecnologias como inteligência artificial generativa, aprimorando a qualidade e a escala de seus ataques," comentou ele. Van de Weyer acrescentou que os golpistas melhoraram suas táticas de engenharia social, frequentemente se passando por funcionários para manipular departamentos de TI a redefinir senhas e dispositivos MFA. Como resultado, a fraude global se transformou em uma indústria de $6 trilhões, superando o PIB de muitas nações.
Michael Jabbara, Vice-Presidente Sênior da VISA, destacou o aumento rápido nos ataques de enumeração, especialmente devido à digitalização do comércio e à proliferação do varejo online. Dados da VISA revelam que 33% das contas enumeradas experimentaram fraudes em apenas cinco dias após um atacante obter acesso às informações de pagamento.
A Mecânica dos Ataques de Enumeração
O que torna os ataques de enumeração particularmente perigosos é sua capacidade de submeter rapidamente combinações únicas de valores de pagamento — como números de contas principais (PAN), valores de verificação de cartão (CVV2), datas de validade e códigos postais — efetivamente quebrando transações CNP. Esses ataques geralmente visam sistemas que fornecem feedback ao usuário, permitindo que os atacantes saibam quando as tentativas geradas estão corretas.
A pesquisa da VISA mostra que os ataques de enumeração costumam explorar vulnerabilidades em plataformas de e-commerce, especialmente aquelas que carecem de robustas medidas de limitação de taxa ou verificação. A empresa recomenda que os comerciantes implementem CAPTCHA, monitorem transações por atividades incomuns e adotem criptografia forte e autenticação de múltiplos fatores para mitigar riscos.
O Papel da IA no Combate à Fraude
Em resposta à crescente sofisticação das táticas fraudulentas, a VISA lançou o Visa Account Attack Intelligence (VAAI) em 2019 para combater a onda de ataques de fraude em pagamentos. Esta solução se concentra na identificação de transações CNP usando uma abordagem de defesa unificada que integra informações sobre violações, cibersegurança e inteligência de pagamentos.
Atualmente, a VISA aprimora suas capacidades com o novo VAAI Score, impulsionado por inteligência artificial generativa, que avalia ataques de enumeração em tempo real. Cada transação recebe uma pontuação de risco, permitindo que os emissores tomem decisões informadas rapidamente, protegendo transações legítimas de clientes enquanto minimizam perdas financeiras. O VAAI Score é compartilhado via VisaNet, proporcionando aos comerciantes e parceiros insights imediatos sobre a probabilidade de transações fraudulentas.
O VAAI Score pode gerar uma avaliação de risco em 20 milissegundos após o processamento da transação, analisando mais de 182 atributos de risco para avaliar a probabilidade de fraude. Desenvolvido a partir da análise de mais de 15 bilhões de transações VisaNet, o score possui seis vezes mais características do que suas versões anteriores, aumentando significativamente suas capacidades de detecção de fraudes e potencialmente reduzindo falsos positivos em 85%. Ao integrar inteligência artificial generativa e aprendizado de máquina, o VAAI Score se adapta continuamente para identificar tentativas de atacantes de contornar medidas de segurança CNP.
A VISA investiu mais de $10 bilhões em tecnologias de IA e aprendizado de máquina para aprimorar a prevenção de fraudes e a segurança da rede, bloqueando com sucesso $40 bilhões em transações fraudulentas em um único ano.
O Desafio da Precisão e Velocidade em Tempo Real
Jabbara destacou a importância de avaliações de risco em tempo real, afirmando que a VisaNet se baseia em padrões da ISO para integração sem costura com parceiros e comerciantes na divulgação das pontuações VAAI. “Fornecemos o VAAI Score dentro da própria mensagem da transação,” explicou, permitindo que os clientes ajustem suas estratégias de gerenciamento de risco com base em suas necessidades operacionais específicas.
O campo da detecção de fraudes está evoluindo rapidamente, com Jabbara ressaltando a necessidade de as empresas avaliarem o risco de fraude ao longo de toda a jornada do cliente. A Telesign está utilizando IA e aprendizado de máquina para objetivos semelhantes.
“Na Telesign, nossa API de Inteligência fornece insights sobre riscos e padrões subjacentes,” disse Van de Weyer. "Identificamos sinais de alerta analisando a atividade telefônica, uso de e-mail, endereços IP e padrões de chamadas para ajudar a sinalizar números arriscados, informando nossas recomendações de risco e pontuações para processos de autenticação aprimorados."
Classificação
