O mercado clandestino de dados de cartões de crédito roubados sempre operou como um ambiente volátil e altamente enganoso, no qual até atores experientes acabam, com frequência, vítimas de golpes, exit schemes e serviços comprometidos.
Nos últimos anos, esse cenário ficou ainda mais instável, impulsionado pela maior pressão das autoridades, pela desconfiança interna entre criminosos e pela rápida rotatividade dos marketplaces.
Como consequência, os threat actors têm sido cada vez mais forçados a adotar abordagens mais estruturadas para identificar fornecedores confiáveis e reduzir riscos em suas próprias operações ilícitas.
Um guia encontrado em um fórum underground por analistas da Flare mostra como os próprios criminosos navegam pelo mundo instável dos marketplaces de credit card, ou CC.
O documento, intitulado “The Underground Guide to Legit CC Shops: Cutting Through the Bullshit”, apresenta uma visão organizada de como esses atores tentam diminuir riscos em um ecossistema marcado por golpes, infiltração policial e operações de curta duração.
A análise do material revela mais do que conselhos práticos.
O guia descreve uma metodologia para avaliar carding shops, práticas de operational security e estratégias de sourcing, documentando de forma clara como os fraudadores de hoje pensam sobre confiança, confiabilidade e sobrevivência.
Embora algumas partes pareçam promover serviços específicos, o que sugere possível interesse direto do autor, o documento ainda oferece uma visão valiosa sobre o funcionamento interno da economia do carding e sobre os padrões que esses grupos vêm adotando para continuar operando.
Um dos aspectos mais marcantes do guia é a forma como ele transforma o carding, de uma fraude oportunista, em uma disciplina orientada por processo.
Em vez de explicar como usar cartões roubados, o texto enfatiza como avaliar fornecedores.
Essa mudança reflete uma evolução mais ampla nos mercados underground, onde o principal risco deixou de ser apenas a falha operacional e passou a incluir também a possibilidade de ser enganado por outros criminosos ou de interagir com uma infraestrutura comprometida.
O autor insiste repetidamente que legitimidade não é definida por marca ou visibilidade, mas por sobrevivência.
Em outras palavras, uma loja “de verdade” é aquela que continua operando ao longo do tempo, apesar de ações policiais, golpes e instabilidade interna.
Isso acompanha tendências já observadas nas economias clandestinas, nas quais a vida útil dos marketplaces se tornou cada vez mais imprevisível, obrigando os atores a adotar práticas contínuas de verificação.
O guia deixa claro que o que separa uma loja “legítima” das demais não é o branding nem o tempo de atividade, mas a qualidade dos dados roubados que ela entrega.
Referências a “fresh bins”, em que BIN significa Bank Identifiable Number, e a baixas taxas de decline apontam diretamente para a origem desses dados, seja em infecções por infostealer, campanhas de phishing ou breaches em point-of-sale.
Nesse ecossistema, a reputação não é construída com promessas, mas com a entrega consistente de cartões que realmente funcionam.
Lojas que não conseguem manter fontes confiáveis de dados são rapidamente expostas, enquanto aquelas com acesso constante a novas compromiações ganham destaque.
A transparência é outro tema recorrente.
O guia destaca a importância de modelos claros de precificação, inventário em tempo real e sistemas funcionais de suporte, incluindo ticketing e escrow.
Essas características se aproximam bastante das de plataformas legítimas de e-commerce, mostrando como as principais carding shops passaram a adotar práticas de negócio desenhadas para gerar confiança e reduzir atrito.
Igualmente importante é o papel da validação da comunidade.
O guia desconsidera depoimentos publicados dentro da própria loja por não serem confiáveis e orienta os usuários a buscar discussões em fóruns fechados ou apenas por convite.
Isso reflete uma fragmentação mais ampla do cenário underground, em que a confiança está cada vez mais ligada a ambientes controlados e a reputações consolidadas ao longo do tempo.
Os atores são incentivados a observar discussões contínuas e histórico de presença, em vez de se basear em elogios isolados.
O documento também revela uma forte percepção das pressões adversárias.
A ênfase em infraestrutura security-first, como mirror domains, proteção contra DDoS e ausência de mecanismos de rastreamento, sugere que os operadores estão se defendendo tanto do monitoramento das autoridades quanto da concorrência criminosa.
Na prática, esses marketplaces funcionam não apenas como plataformas de distribuição, mas como ambientes endurecidos para garantir continuidade operacional.
Além dos princípios gerais, o guia apresenta um protocolo de avaliação passo a passo que ajuda a entender como os threat actors fazem due diligence.
Verificações técnicas, como idade do domínio, privacidade no WHOIS e configuração de SSL, aparecem como requisitos básicos.
Embora sejam checagens relativamente simples, elas mostram uma tentativa de aplicar análise estruturada a uma decisão que historicamente dependia apenas de confiança.
O guia também destaca a importância de identificar infraestrutura espelho e pontos de acesso alternativos, observando que operações consolidadas raramente dependem de um único domínio.
Isso reflete uma leitura prática da instabilidade dos serviços underground, onde takedowns e interrupções são comuns.
A existência de múltiplos pontos de acesso é tratada como sinal de maturidade operacional e resiliência.
A coleta de inteligência social tem papel igualmente relevante.
Em vez de confiar em interações diretas com vendedores, os usuários são orientados a analisar discussões em fóruns, acompanhar o histórico dos vendors e identificar padrões de comportamento ao longo do tempo.
A atenção se volta especialmente para campanhas coordenadas de endosso, como múltiplas avaliações positivas vindas de contas recém-criadas, uma tática frequentemente associada a golpes.
Outro componente crítico do guia é o foco em operational security.
As recomendações, embora apresentadas no contexto do carding, se assemelham bastante a práticas observadas em uma ampla gama de atividades cibercriminosas.
Os usuários são aconselhados a evitar conexões diretas, utilizar serviços de proxy alinhados à geografia do alvo e isolar seus ambientes por meio de sistemas dedicados ou máquinas virtuais.
A discussão sobre uso de criptomoedas chama atenção.
O guia desestimula fortemente transações diretas a partir de plataformas reguladas e defende o uso de carteiras intermediárias e ativos com foco em privacidade, como Monero.
Isso reflete uma percepção crescente entre threat actors sobre as capacidades de blockchain analysis e sobre os riscos associados a fluxos financeiros rastreáveis.
Em conjunto, essas recomendações de OPSEC mostram uma mudança importante: os atores já não dependem apenas de ferramentas para escapar da detecção e passaram a adotar estratégias em camadas para reduzir a exposição em toda a cadeia operacional.
Esse nível de disciplina indica que até criminosos de nível intermediário estão incorporando práticas antes associadas a grupos mais sofisticados.
O guia também classifica as carding shops em diferentes modelos operacionais, incluindo grandes plataformas automatizadas e grupos menores, com curadoria de vendors.
Essa segmentação mostra a diversificação da economia underground, em que diferentes atores priorizam escala, acessibilidade ou qualidade, de acordo com seus objetivos.
As plataformas automatizadas são descritas como ambientes altamente eficientes, muitas vezes com ferramentas integradas e compra instantânea.
Essas operações lembram marketplaces legítimos em estrutura e funcionalidade, permitindo que usuários adquiram e testem dados em escala rapidamente.
Já os grupos boutique de vendors priorizam exclusividade, qualidade superior e acesso controlado, normalmente com sistemas baseados em convite e relacionamentos de longo prazo.
Apesar da estrutura, o guia não está livre de viés.
A inclusão de uma recomendação direta para uma plataforma específica sugere que o autor pode ter interesse em promover determinados serviços.
Esse é um padrão comum em comunidades underground, nas quais conteúdos informativos muitas vezes servem como veículo para publicidade sutil ou atividade de afiliados.
Esses endossos devem ser vistos com cautela.
Ainda assim, isso não invalida as percepções mais amplas trazidas pelo documento.
Pelo contrário, evidencia a complexa relação entre compartilhamento de informações e interesses comerciais nos ecossistemas cibercriminosos.
Do ponto de vista defensivo, o guia oferece inteligência valiosa sobre como threat actors avaliam risco e tomam decisões operacionais.
A ênfase em verificação, validação pela comunidade e segurança em camadas demonstra um nível de maturidade que dificulta esforços tradicionais de interrupção.
Em vez de depender de um único ponto de falha, os atores estão cada vez mais incorporando redundância e adaptabilidade aos seus fluxos.
No fim, o documento funciona ao mesmo tempo como playbook e sinal.
Ele mostra que o ecossistema de carding se tornou mais estruturado, mais cauteloso e mais resiliente.
Para os defensores, entender essa dinâmica é fundamental para antecipar como esses mercados devem evoluir e onde ainda podem existir oportunidades de disrupção.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...