Quer evitar fraudes no e-commerce? Checar apenas nomes e CPF não é mais suficiente

Quer evitar fraudes no e-commerce? Checar apenas nomes e CPF não é mais suficiente

Duas das análises mais básicas que os e-commerces fazem quando suspeitam de um pedido são buscar o CPF do cliente no site da Receita Federal e colocar o endereço de entrega no Google Maps. Se o CPF bate com o nome e o endereço não fica no meio do nada, aquela venda já parece menos arriscada.

 

Na Konduto, a análise dos pedidos é focada no comportamento de navegação dos usuários no site, indicando a sua intenção de comprar ou fraudar. Recentemente temos visto um aumento nos casos de tentativas de fraude em que o nome e o CPF são válidos e correspondem aos dados da Receita, mas nosso algoritmo marca como comportamento suspeito.

 

Uma possibilidade é que o roubo ou vazamento de identidades tenha aumentado, mas nós tínhamos outra hipótese para testar.

 

GERAÇÃO AUTOMÁTICA DE CPF

 

Diversos sites na internet geram números de CPF válidos. Um script gera um número aleatório e depois calcula o dígito verificador, fazendo com que o CPF passe nas validações lógicas dos formulários de cadastro. O número 123.456.789-09, por exemplo, é válido. Mas não pertence a ninguém.

 

Qual a chance de um script destes gerar um CPF válido e que, ao mesmo tempo, pertence a uma pessoa? Nós fizemos o teste.

 

Usando um script geramos 300 CPFs válidos completamente aleatórios. Depois, consultamos um por um no site da Receita Federal. Dos 300, 50 pertencem a uma pessoa. Ou seja, 1 em cada 6 CPFs gerados era de alguém!

 

Não é difícil presumir que, ao invés de se dar ao trabalho de roubar a identidade de uma pessoa, os fraudadores simplesmente geram CPFs aleatórios até que um deles pertença a alguém. O problema parece ser tão comum que a Receita tem até uma FAQ que trata sobre o uso indevido do CPF em compras pela internet.

 

Com as fraudes ficando mais sofisticadas, é importante olhar além dos dados cadastrais para avaliar o risco de um pedido. Isso pode variar desde consultas a birôs de crédito até o uso de ferramentas antifraude completas. A lição é que confiar somente nos dados do usuário já não é mais suficiente.

 

Comentários