Hackers brasileiros desenvolveram uma ferramenta baseada em IA, chamada CVV Finder, capaz de validar códigos de segurança de cartões de crédito em até cinco minutos. A abordagem distribui testes entre dezenas de plataformas de e-commerce simultaneamente, dificultando a detecção pelos sistemas antifraude convencionais.
A técnica representa uma evolução preocupante: ao dispersar as tentativas entre diferentes estabelecimentos, o validador evita acionar alertas que costumam disparar quando há padrões de fraude concentrados em um único ponto de venda. A promessa dos criminosos é transformar dados parciais — obtidos via vazamentos ou na dark web — em CVVs válidos em minutos, acelerando o passo entre dados e fraudes.
Estudos citados pelo setor indicam que o problema é relevante para o ecossistema financeiro brasileiro, com perdas que alcançaram cerca de R$ 10 bilhões em 2024. Além disso, o setor de bancos e cartões concentrou mais de metade das tentativas fraudulentas, com crescimento de aproximadamente 10% no período, segundo fontes da indústria.
Além do CVV Finder, há relatos de uso de IA para criar identidades sintéticas e deepfakes que podem atravessar verificações biométricas, ampliando o potencial de ataques em escala industrial. Dados de fontes do setor apontam que, hoje, 43% de todas as tentativas de fraude no setor financeiro já envolvem IA, com uma taxa de sucesso de 29%, superando métodos tradicionais.
Paralelamente à validação de cartões, o grupo Prilex tem explorado malware específico para bloquear pagamentos por aproximação (NFC). O ataque obriga clientes a inserir o cartão na máquina comprometida, onde o malware captura dados da tarja magnética — dados que deveriam estar protegidos — aumentando as oportunidades de fraude.
Para equipes de TI e segurança cibernética, o cenário impõe desafios severos: controles baseados em regras estáticas tornam-se rapidamente obsoletos diante da velocidade de evolução das técnicas de ataque movidas a IA. Medidas recomendadas incluem detecção em tempo real, aprendizagem de máquina defensiva e autenticação em várias camadas, como biometria e MFA, aliadas à conscientização contínua de usuários e funcionários.
Especialistas enfatizam a importância de iniciativas colaborativas entre bancos, processadoras e varejistas para compartilhar indicadores de ameaça, bem como a adoção de regulamentações mais rígidas de responsabilidade por vazamentos de dados. Enquanto os atacantes aperfeiçoam ferramentas com IA, o setor de cibersegurança precisa acelerar a evolução de defesas e ficar atento a ameaças ainda não identificadas.
