Prevenção de ataques de força-bruta

“Ataque de força bruta” é um método utilizado por potenciais fraudadores para obter informações válidas de pagamento com a intenção de comprar bens e serviços e não pagar pelos mesmos, prejudicando empresas e consumidores que possuem cartões de crédito.

Com dados válidos de cartões de crédito, fraudadores realizam compras pela internet, recebem os produtos comprados mas a conta vai para o dono do cartão de crédito utilizado. Isso é geralmente chamado de “clonagem de cartões de crédito” e acarreta grandes prejuízos.

E como isso funciona ?

Utilizando um computador conectado a internet, fraudadores utilizam scripts desenvolvidos em alguma linguagem de programação que realizam centenas de tentativas de pagamentos por minuto, até obterem uma resposta positiva do e-commerce vítima do ataque.

Isso pode levar a adquirente (ex: Cielo, Rede e outras) a bloquear o estabelecimento até que medidas preventivas sejam adotadas para evitar o acesso de páginas de pagamento por bots utilizados para gerar uma base de dados de cartões de créditos que foram clonados.

Como funciona com o gmxCheckout ?

O gmxCheckout está preparado para prevenir ataques de força-bruta para clientes que utilizam nossa API e para aqueles que usam as páginas de pagamento disponibilizada pela a nossa plataforma.

Caso você utilize as nossas páginas de pagamento dentro do próprio sistema, isso já está automaticamente ativado para você mas caso utilize a nossa API o processo é um pouco diferente.

Vendas via Página de Pagamento no sistema

Caso o fraudador faça mais que 3 tentativas de pagamento sem sucesso na última hora, o sistema solicitará que o cliente faça algo que somente uma pessoa poderia fazer, como identificar todas fotos com veículos dentre um conjunto, identificar palavras em imagens, dentre outras – saiba mais em https://pt.wikipedia.org/wiki/CAPTCHA.

Caso as tentativas com falha ultrapassarem o número 5 nos últimos 60 minutos o sistema não processará a transação.

Vendas via chamadas de API

Para os clientes que usam a nossa API, o processo tem mais detalhes então fique atento.

Mas antes de falar da regra de bloqueio, vamos apresentar para você uma funcionalidade importante. A validação de IPs de clientes.

No gmxCheckout, é possível aumentar o nível de segurança do seu estabelecimento restringindo os endereços IPs dos servidores que submetem as transações de vendas com cartão de crédito. Assim somente os seus servidores poderão tentar processar transações junto a gmxCheckout, evitando o problema de ataque de força-bruta.

Para isso, basta acessar “Configurações” -> “Dados da Empresa”, clicar na aba “Avançado” e selecionar “Valida o IP do Cliente para chamadas via API?” e clicar em “Salvar”.

Validação de IPs para chamadas via API

Mas mesmo que você não tenha feito isso ainda, para uma maior proteção do seu estabelecimento junto as adquirentes, se recebermos mais que 5 transações que forem negadas nos últimos 60 minutos, iremos impedir que as próximas vendas sejam processadas até que esse número caia. Isso ocorre a medida que o tempo passa, pois a janela de tempo é dinâmica.

Então, para que isso não ocorra e você não perca vendas, recomendamos que cadastre os endereços IP dos servidores que enviam as requisições para o gmxCheckout em “API / Integração”-> Liberação de IPs.

Liberação de IPs para API

Como já foi dito, se isso não for feito, as vendas poderão ser negadas se houver mais do que 5 transações com erro na última hora.

Caso o fraudador ultrapasse 5 tentativas sem sucesso nos últimos 60 minutos o sistema não processará a transação e retornará a mensagem de erro
“Ultrapassou o número de requisições 5 em 1 hora(s). Cadastre o IP origem em API/Integração -> Liberação de IPs.”

Com o cadastro do IP dos seus servidores suas transações não serão mais bloqueadas e isso pode ser um problema pois a sua proteção contra ataques de força-bruta não estará mais ativa.

Mas como faço para as duas proteções e sem o risco de perder vendas legítimas ?

É simples: tendo ativado a validação de IPs e cadastrado os IPs dos seus servidores, precisamos sua aplicação passe a nos enviar o endereço IP e o browser do cliente que preencheu os dados de venda utilizando os campos abaixo:

Se estiver gerando uma venda, inclua os campos venda.ipOrigem e venda.browser.

Se estiver gerando uma recorrência considere os campos recorrencia.ipOrigem e recorrencia.browser.

Dessa forma faremos a validação e o bloqueio considerando o IP de quem estiver fazendo o pagamento usando o cartão de crédito.

É isso por hoje. Se tiverem quaisquer dúvidas entrem em contato com o nosso suporte clicando em “Precisando de Ajuda?” ou enviem um e-mail para o nosso suporte em [email protected]

Para mais informações, estamos compartilhando o Comunicado da VISA sobre Ataques de força-bruta.

Boas vendas!