O que é carding e como posso me prevenir?

Carding é uma forma de fraude de cartão de crédito em que ladrões usam cartões de crédito roubados para cobrar em cartões pré-pagos e vendê-los a terceiros. Os autores desse tipo de fraude são chamados de "carders". Como os cartões de crédito costumam ser cancelados rapidamente após serem perdidos, uma parte significativa do carding envolve testar as informações do cartão roubado para verificar se ele ainda funciona. Os ladrões testam as informações do cartão enviando solicitações de compra online, o que pode impactar os comerciantes.

Serei cobrado pela cardagem?

Todas as transações são cobradas com uma taxa por transação, incluindo o cartão. É possível trabalhar com seu parceiro bancário para reduzir ou eliminar essas taxas, mas a prevenção é o primeiro passo, e a maioria dos bancos permite apenas um ajuste de tolerância para o cartão.

Reagindo à atividade de cardagem.

Fraudes de cartão de crédito podem ser um problema significativo para comerciantes. Se você for vítima de fraude ou suspeitar de transações fraudulentas, tome as seguintes medidas:

1. Entre em contato com seu banco comercial e notifique-o sobre atividades fraudulentas.
2. Emita um cancelamento ou crédito referente a transações fraudulentas para evitar taxas de estorno do seu banco comercial.
3. Verifique a segurança das suas informações de login e senha internamente e no seu site.
4. No Gerenciador do PayPal , altere a senha da conta usada para processar transações. Após redefinir a senha da sua conta, você poderá redefini-la no seu servidor web. A senha do seu carrinho de compras ou do aplicativo deve corresponder à nova senha criada. Caso contrário, as transações falharão com um erro de Autenticação do Usuário/Código de Resultado 1.
5. Entre em contato com seu Provedor de Serviços de Internet (ISP) ou empresa de hospedagem para verificar se eles têm um registro dos endereços IP de origem das transações fraudulentas. Em seguida, solicite que sua conta restrinja o acesso a esses endereços IP.
6. Entre em contato com o suporte do Payflow para obter informações adicionais, incluindo o número do cartão de crédito, se necessário.
7. Registre uma reclamação no site ic3.gov .
8. Conclua uma verificação completa de vírus e malware em todos os sistemas envolvidos, incluindo seu site e computadores.
9. Se você estiver usando a mesma conta para processar transações e acessar o Gerenciador do PayPal, é altamente recomendável que você também configure uma nova conta de usuário da API do Payflow Pro no Gerenciador do PayPal. Configurar uma nova conta garante que alterações na sua senha do Gerenciador não impeçam o processamento das suas transações. Além disso, se um hacker comprometer a conta de usuário da API, ele não poderá acessar o Gerenciador e fazer alterações na sua conta.

Consulte o Guia de Serviços de Proteção contra Fraudes do Payflow para obter detalhes sobre como o PayPal pode ajudar você com seu gerenciamento de fraudes.

Detectando e prevenindo atividades de cardagem.

Sugerimos implementar um processo de revisão de pagamento em camadas, incluindo os seguintes recursos e atividades:

• Use um CAPTCHA - O CAPTCHA (teste de Turing público completamente automatizado para diferenciar computadores e humanos) emite desafios para garantir que scripts automatizados não enviem tentativas de pagamento.
• Respostas do AVS - O Sistema de Verificação de Endereço (AVS) compara o endereço de cobrança do comprador no momento da compra com o endereço registrado pela administradora do cartão de crédito. A administradora do cartão responderá imediatamente para informar se o endereço de cobrança corresponde. As respostas típicas são:
  • Y - Correspondência de endereço completo.
  • A - Somente correspondência de endereço.
  • Z - Somente o código postal fornecido corresponde.
  • N - Nenhuma informação corresponde. A administradora do cartão de crédito não interromperá uma transação se a resposta do AVS for N, a menos que o cartão tenha sido relatado como perdido ou roubado.

  O sistema AVS funciona apenas nos EUA, Canadá e Reino Unido. Cartões de crédito emitidos por países que não oferecem suporte ao AVS podem retornar as seguintes respostas:

  • U - AVS não suportado.
  • S - Sistema AVS indisponível.
  • G - Cartão global.

Consulte o Guia do desenvolvedor do Payflow para obter mais informações sobre AVSADDR e AVSZIP.

• Respostas do CSC - O sistema de Código de Segurança do Cartão (CSC) verifica o número de 3 ou 4 dígitos do cartão de crédito e o valida durante a autorização. As respostas típicas são:
  • Y - Correspondido.
  • N - Não corresponde.
  • X - Desconhecido ou nenhuma resposta.

Você só deve aceitar transações em que o CSC corresponda. Consulte o Guia do Desenvolvedor do Payflow para obter mais informações sobre CVV2MATCH.

• Verificações de geolocalização de IP - Fazer verificações de geolocalização de IP é uma maneira de comparar o IP de onde o usuário está acessando seu site com o endereço de cobrança fornecido ao finalizar a compra. Além de comparar o IP com o endereço de cobrança, você deve verificar se o usuário está acessando seu site usando um IP proxy. Um IP proxy é gerado por serviços gratuitos ou pagos que fazem parecer que o usuário está acessando seu site de um local diferente de onde ele está. Se o endereço de cobrança do usuário estiver em um estado (como Nebraska), mas o IP estiver em outro (como Flórida), ele pode estar viajando, mas isso não deve ser presumido. Esse tipo de incompatibilidade justifica uma análise mais detalhada das informações do usuário.
• Verificação do BIN do cartão de crédito - O Número de Identificação Bancária (BIN) são os seis primeiros dígitos de cada cartão de crédito e débito. Ele fornece informações sobre o tipo de cartão utilizado (Visa, MasterCard, American Express ou Discover). Também pode ser usado para encontrar o nome e a localização do banco emissor do cartão. Essas informações podem ser cruciais para detectar fraudes com cartões. Normalmente, você verá uma ampla dispersão de BINs de cartão. Por exemplo, você pode receber dois pagamentos mensais de cartões com BIN idêntico. Com a fraude com cartões, especialmente se as informações do cartão de crédito foram compradas online, você pode receber dez pagamentos de cartões com BIN idênticos em um ou dois dias. O rastreamento de BINs pode ajudar a identificar essa atividade.
• Identificação de máquina/impressão digital do dispositivo - Pode ser usada para identificar clientes problemáticos ou fraudulentos. Empresas terceirizadas de gerenciamento de fraudes geralmente oferecem essa opção para determinar se um usuário visita repetidamente o site de um comerciante usando diferentes atributos de pagamento (nomes, endereços, IPs, cartões de crédito, navegadores de computador, etc.) para mascarar sua identidade. Os fraudadores podem visitar seu site com frequência e fazer várias compras usando diferentes informações de pagamento, mas o dispositivo usado para fazer a compra será o mesmo.
• Verificações de velocidade no seu carrinho de compras - Esta sugestão se refere às verificações que você faz no seu site, não por meio dos filtros de fraude de velocidade do Payflow. Velocidade é o número ou a velocidade dos pagamentos efetuados em um determinado período, por exemplo, 10 pagamentos enviados pelo mesmo cliente com segundos ou minutos de diferença. Monitorar essa atividade é essencial. Mesmo em sites de doação, fazer pagamentos de baixo valor em rápida sucessão pode ser incomum para um usuário. A velocidade do pagamento pode ser monitorada por valor em dólar, IP do usuário, endereço de cobrança, BIN ou dispositivo.
• Velocidade da sessão do carrinho de compras - Refere-se ao número de vezes que um comprador pode tentar concluir um pedido em uma sessão do carrinho de compras. Ao limitar as tentativas em uma sessão de checkout, você tem visibilidade do número de recusas do carrinho de compras, o que pode ajudar a identificar uma possível situação de cartão.
• Autorização/captura - Se você estiver usando autorização/captura, revise as transações durante o período de autorização. Não capture os fundos se você acredita estar sendo alvo de atividade de carding. Se você já capturou os fundos, pode emitir um reembolso em vez de esperar por um estorno.