A fraude nos pagamentos já não funciona como um conjunto de esquemas distintos geridos por agentes de ameaças individuais.
É cada vez mais sustentado por um ecossistema de apoio industrial: infraestrutura construída especificamente, pacotes de ferramentas e serviços profissionalizados que permitem aos agentes de ameaças maximizar a produção de fraudes, ao mesmo tempo que minimizam a habilidade e o esforço necessários para executar ataques.
De acordo com o Recorded Future's Relatório anual de inteligência sobre fraudes em pagamentos: 2025esta industrialização foi impulsionada por avanços técnicos e serviços de apoio cada vez mais profissionalizados.
A cadeia de suprimentos do e-skimmer Magecart é o exemplo mais claro. Kits completos de e-skimmer e ofertas de Malware como serviço (MaaS) tornaram o comprometimento em grande escala de sites de comércio eletrônico acessível a agentes de ameaças menos capazes tecnicamente.
O kit “Sniffer by Fleras”, responsável por 26% de todas as infecções por e-skimmer observadas em 2025, inclui um portal baseado na web para geração de scripts maliciosos e um servidor de gerenciamento de dados roubados. O resultado foram mais de 10.500 infecções únicas de Magecart ativas em algum momento durante o ano, provavelmente comprometendo mais de 23 milhões de transações.
Além disso, o e-skimmer “AcceptCar”, descoberto no segundo semestre de 2025, ilustra o quanto o modelo de serviço amadureceu. Os operadores cuidam da instalação e operação em sites de comércio eletrônico comprometidos; em troca, os agentes da ameaça pagam 50% dos lucros das vendas de dados de cartão ou 70% da ingestão de dados brutos. Usando serviços como o AcceptCar, os agentes de ameaças fraudulentas podem participar de operações de comprometimento em grande escala sem possuir ou gerenciar qualquer infraestrutura subjacente.
Figura 1: Gráfico de linhas mostrando infecções do e-skimmer Magecart em 2025, por diferentes grupos, kits e técnicas. (Fonte: Futuro Gravado)
Operações fraudulentas de compra refletem uma dinâmica semelhante. Inteligência registrada de fraudes em pagamentos futuros identificou mais de 3.600 contas de comerciantes fraudulentas em 2025, um aumento de 2,5x em relação a 2024, abrangendo pelo menos 40 países e 230 adquirentes.
Padrões recorrentes nos dados de registro de comerciantes indicam que os operadores de golpes padronizaram seus fluxos de trabalho de aquisição de comerciantes, sustentando infraestruturas de pagamentos fraudulentas em grande escala por meio de processos repetíveis e de baixo atrito.
O teste de cartão opera na mesma lógica de economia de serviço. Os serviços de teste de cartões baseados em telegrama validaram pelo menos 27 milhões de registros de cartões em 2025 por meio de geração de cartões públicos e canais de teste que qualquer agente de ameaça pode acessar.
Entre os serviços de verificação da dark web, mais de 1.350 contas de comerciantes legítimas foram utilizadas de forma abusiva para testes de cartões, sendo que 94% não foram observadas antes de 2025, sugerindo uma rotação sistemática para se manter à frente da deteção.
Figura 2: Gráfico que ilustra a cadeia de ataques fraudulentos de compra. (Fonte: Futuro Gravado)
O ecossistema está concentrado a montante
Notavelmente, cada um desses vetores de ataque industrializados fica a montante da transação fraudulenta. Infecções por e-skimmer e comerciantes fraudulentos comprometem os dados do cartão durante compras online. O teste do cartão valida os dados roubados antes de serem monetizados.
“Os resultados da fraude são visíveis, mas os caminhos que os permitem muitas vezes não o são.”
Esta escala industrializada através destes vetores de ataque requer padronização, e a padronização produz padrões detectáveis.
Quando 26% das infecções por e-skimmer remontam a um único kit, quando os operadores fraudulentos reutilizam padrões de registro de comerciantes em centenas de adquirentes, quando os testadores de cartão alternam entre fluxos de trabalho de ataque BIN previsíveis, a convergência que torna a fraude escalonável também a torna mapeável. À medida que essa padronização se aprofunda, um único indicador de comprometimento atinge ainda mais o cenário de ameaças.
Essa padronização cria algo concreto: uma janela.
As infecções do Magecart são ativas e identificáveis antes que os dados do cartão roubado sejam coletados.
Os comerciantes fraudulentos geralmente exibem sinais detectáveis, incluindo registro recente de domínio, rotação de comerciantes e incompatibilidades de código de categoria de comerciante.
A atividade de teste do cartão revela quando é provável que ocorra uma tentativa de monetização.
Cada etapa representa uma oportunidade de agir antes que a fraude seja registrada como uma perda financeira.
O monitoramento de transações analisa o final errado do ciclo de vida
Os modelos de monitoramento de transações e fraude comportamental são criados para detectar anomalias no ponto de pagamento, como padrões de gastos incomuns, velocidade e inconsistências geográficas. Fazem aquilo para que foram concebidos, mas não fornecem visibilidade das fases cada vez mais industrializadas e de pré-monetização que foram construídas para evitar a detecção por estes processos tradicionais.
Os golpes de compra são explicitamente projetados para contornar os controles baseados em transações, manipulando os titulares do cartão para que eles próprios autorizem a transação fraudulenta, fazendo com que o pagamento pareça legítimo por natureza.
Os testadores de cartão percorrem novos comerciantes especificamente porque os comerciantes testadores históricos são sinalizados (94% dos comerciantes testadores identificados em 2025 não foram observados anteriormente). Uma abordagem de detecção construída em torno de sinais de transação sempre funcionará com informações que chegam depois que a infraestrutura upstream já tiver feito seu trabalho.
À medida que o ecossistema upstream se industrializa, o volume de actividade que a monitorização de transacções não consegue ver cresceu. Com as detecções de golpes de compra mais do que quadruplicando ano após ano e as infecções Magecart provavelmente comprometendo mais de 23 milhões de transações somente em 2025, o custo desse ponto cego aumenta.
A manutenção de uma postura eficaz em matéria de fraude exigirá cada vez mais que as instituições financeiras complementem a monitorização reativa das contas com defesas proativas e baseadas em inteligência.
Como a inteligência registrada sobre fraudes em pagamentos futuros aborda isso
Inteligência registrada de fraudes em pagamentos futuros monitora cada um dos estágios upstream discutidos nesta postagem.
Com monitoramento diário de sites infectados pelo Magecart e dados de comerciantes enriquecidos que se integram ao monitoramento de transações, o Payment Fraud Intelligence pode permitir a detecção de comerciantes de alto risco meses antes dos dados de cartões roubados aparecerem para venda.
Além disso, o conjunto de dados de comerciantes fraudulentos pode identificar contas de comerciantes fraudulentas e seus domínios associados antes que os clientes sejam fraudados e antes que os dados do cartão downstream cheguem aos mercados criminosos.
O monitoramento do comerciante testador apresenta a atividade de teste de cartão como um sinal precoce de quais portfólios estão sendo direcionados antes de qualquer tentativa de monetização.
Como o Payment Fraud Intelligence monitora as fontes, os kits e a infraestrutura que os agentes de ameaças têm padronizado cada vez mais, um único indicador identificado pode revelar a exposição em um portfólio em grande escala.
De acordo com dados da Recorded Future, 75% dos cartões comprometidos são identificados antes da ocorrência de fraude, e 90% dos ativos de cartões comprometidos são identificados horas após uma violação.
A janela de pré-monetização não irá diminuir à medida que o ecossistema da fraude amadurece – na verdade, os dados do relatório sugerem que irá alargar-se à medida que a normalização se aprofunda. As instituições financeiras com visibilidade nessa janela podem agir antes que ocorram perdas. Aqueles sem ele continuarão a responder após o fato.
Ler o completo Relatório anual de inteligência sobre fraudes em pagamentos: 2025 para explorar as descobertas deste ano em profundidade.
