Tank · Code Alliance Developers
Termux Arsenalby Tank · Code Alliance

Leitura técnica · use o conhecimento de forma ética e autorizada

← estudos
Fraude & Antifraude12 min · intermediário · atualizado 2026-06-29

Fraude bancária: mecanismos, sinais e antifraude

Como funcionam os principais vetores (engenharia social, SIM swap, malware bancário, ATO) e quais sinais os sistemas antifraude monitoram para barrar.

🎧 audiobook · nível 1

Fraude bancária: mecanismos, sinais e antifraude

1/2
nível 1 · introdução acessívelnível 2 · em brevenível 3 · em breve

Conteúdo defensivo

Este artigo descreve como fraudes acontecem para que times de risco, engenharia e usuários consigam reconhecer e mitigar. Não há instruções operacionais para cometer fraude.

Vetores mais comuns

  1. Engenharia social por telefone (falso atendente, falso gerente).
  2. SIM swap — atacante porta o número da vítima e captura SMS de OTP.
  3. Malware bancário (Android RATs como Brata, Cerberus) com overlay e accessibility abuse.
  4. Account Takeover via credenciais vazadas + credential stuffing.
  5. Fraude de boleto / Pix copia-e-cola com clipboard hijacking.
  6. Engenharia reversa de apps mal protegidos para extrair tokens.

Sinais que sistemas antifraude observam

  • Device fingerprint novo + transação alta + horário atípico.
  • Velocity: várias transações pequenas em janela curta.
  • Geo impossível (login BR e Pix de IP europeu em 2 min).
  • Mudança recente de credenciais ou de chave Pix antes de transação.
  • Comportamento de digitação (cadência, swipe) anômalo — behavioral biometrics.
  • Reuso de device em múltiplas contas (mule farms).

Camadas de defesa no app

  • Root/jailbreak detection + Play Integrity / DeviceCheck.
  • Bloqueio de overlay e de Accessibility services não autorizados.
  • Pinning de certificado e ofuscação de strings sensíveis.
  • Limites dinâmicos: contato novo, valor alto → step-up auth biométrico.
  • Cooling period após troca de senha/dispositivo (24-48h sem transferências altas).

Modelagem de risco em produção

A maioria dos bancos usa ensembles (gradient boosting + redes profundas) sobre features de device, sessão, histórico e grafo (quem se relaciona com quem via PIX). O modelo não bloqueia sozinho — gera score, e regras de negócio decidem aprovar, desafiar (3DS, biometria, ligação) ou recusar.

Template OffSec · aplicar antes de rodar

Objetivo → Preparação → Execução → Evidência → Ética

→ guia do lab

Objetivo

Entender o ciclo de fraude (device, comportamento, pagamento) para reduzir falso-positivo do lado defensivo, sem operar do lado ofensivo em produção.

Pré-requisitos

  • Ambiente de sandbox de PSP (Stripe/Adyen/PagSeguro test mode)
  • Cartões de teste oficiais do PSP
  • Log de comportamento (mouse, touch, dwell) coletado em ambiente controlado

Passos

  1. Modele o perfil legítimo (baseline de device, horário, ticket médio)
  2. Injete transações-teste variando um atributo por vez
  3. Meça o score do antifraude e onde a decisão muda
  4. Documente feature-importance sem expor a lógica proprietária ao público
  5. Feche o loop: cada regra criada tem plano de revisão trimestral

Evidências a coletar

  • Planilha com transações-teste × score × decisão
  • Trilha de decisão do motor (rule fired, score final)
  • Chargebacks históricos correlacionados

Regra prática: se você não guardou evidência reprodutível, o achado não existe.

Guia prático (lab autorizado)

alvo · Ambiente sandbox do próprio PSP com cartões oficiais de teste

curl -X POST https://api.stripe.com/v1/payment_intents ... -d 'amount=100' -d 'payment_method=pm_card_visa'  # test mode key

verificar · Cruze o resultado do antifraude com o log bruto do gateway. Divergência = investigar antes de virar regra.

Checklist interativo

Checklist ético (marcar antes do primeiro comando)

Autorização, escopo, lab e proteção de dados. Sem 100%, não roda fora do lab.

0/5

Prática segura · Fraude & Antifraude

→ guia do lab

Monte um ambiente isolado antes de qualquer teste — use Docker (DVWA/juice-shop), uma VM host-only ou um alvo autorizado (HTB, TryHackMe, PortSwigger Academy).

Nunca aponte para alvo em produção. Se estiver no celular, use proot-distro + Debian para não sujar o Termux principal.