Blog Attacks

Como Bloquear Agentes de Teste de Cartão com IA

Agentes de IA de teste de cartão sondam fluxos de pagamento com navegadores reais. Aprenda os sinais que os expõem antes de concluir uma transação.

Jun 13, 2026 • 9 min read

Mike Kutlu Client-Side Security Consultant

Capa escura do blog cside com fundo de pixels azuis e três marcas de verificação: por que regras de velocidade falham contra agentes de teste de cartão com IA, os sinais do navegador que os expõem e como bloquear o pagamento antes do checkout

O teste de cartão é a prática de verificar se credenciais de pagamento roubadas são válidas fazendo pequenas transações ou de baixo valor em sites reais de comerciantes. Os bots de carding tradicionais eram relativamente fáceis de detectar: eles se moviam rapidamente, faziam requisições idênticas em intervalos regulares e tinham impressões digitais que correspondiam a frameworks de automação conhecidos. Os agentes de teste de cartão alimentados por IA são diferentes. Eles se movem em velocidades humanas, variam seu comportamento e operam dentro de sessões de navegador reais.

O problema está piorando. Os frameworks de IA que permitem automação sofisticada de navegadores estão amplamente disponíveis, e a economia criminosa em torno de dados de pagamento roubados é bem organizada e bem financiada. A lacuna de visibilidade na camada do navegador que permite que agentes de IA legítimos passem despercebidos cria a mesma lacuna para os fraudulentos. Para uma visão mais ampla dos custos de fraude e dos programas de monitorização de redes de cartão como o VAMP da Visa, consulte Bots de teste de cartão de crédito com IA: como pará-los.

O que É o Teste de Cartão com IA?

Resposta rápida: O teste de cartão com IA é o uso de automação alimentada por IA para testar se credenciais de cartão de pagamento roubadas são válidas contra fluxos de pagamento reais de comerciantes. Ao contrário dos bots de carding tradicionais que operam via chamadas de API brutas ou requisições HTTP simples, os agentes de teste de cartão com IA usam sessões de navegador reais que executam JavaScript, interagem com elementos de formulário e imitam o comportamento humano no pagamento.

Uma operação de teste de cartão normalmente funciona em etapas:

Obter um lote de credenciais de cartão roubadas (de violações de dados, compradas em mercados da dark web ou geradas algoritmicamente)
Encontrar um site de comerciante com um fluxo de pagamento que possa validar cartões com cobranças pequenas ou sem cobranças: formulários de doação, cadastros de teste e compras de mínimo baixo são alvos comuns
Executar sessões automatizadas contra o pagamento, testando cada credencial até que uma validação bem-sucedida ocorra
Usar cartões validados para fraude de maior valor em outros sites ou vendê-los como "verificados" no mercado criminal

Os agentes de teste de cartão alimentados por IA adicionam uma camada de sofisticação comportamental: eles variam o tempo das transações, simulam atividade de navegação antes do checkout e ajustam o comportamento com base nas respostas das pontuações de fraude para evitar acionar a detecção.

Por Que a Detecção Tradicional Falha Contra Agentes de Teste de Cartão com IA

Resposta rápida: A detecção de fraude tradicional usa regras de velocidade, reputação de IP, impressão digital de dispositivos e correspondência de agente de usuário. Os agentes de teste de cartão com IA derrotam esses controles operando dentro de navegadores reais, variando seus tempos e comportamento, rotacionando IPs por proxies residenciais e usando adaptação baseada em IA às respostas dos sistemas de fraude.

Os modos de falha específicos:

As regras de velocidade detectam bots que atingem o mesmo endpoint repetidamente em velocidade de máquina. Os agentes de teste de cartão com IA desaceleram, introduzem atrasos e distribuem requisições entre sessões em padrões que evitam acionar os limites de velocidade.

A reputação de IP detecta IPs maliciosos conhecidos. Os agentes de teste de cartão usam redes proxy residenciais (endereços IP reais de consumidores sem histórico de fraude anterior). Esses IPs são limpos por todas as medidas de reputação padrão.

A impressão digital de dispositivos detecta impressões digitais recicladas. Os agentes de teste de cartão sofisticados usam automação de navegador que apresenta uma impressão digital fresca e realista por sessão, evitando os padrões de impressão digital reciclada que bots simples produzem.

A inspeção de agente de usuário e cabeçalhos detecta sistemas que não se preocupam em esconder sua automação. Os agentes de teste de cartão com IA usam sessões de navegador reais com cabeçalhos padrão e strings de agente de usuário indistinguíveis do tráfico legítimo do Chrome.

Os engenheiros da cside contornaram a detecção tradicional de bots em 81 de cada 100 cenários de teste. O resultado: as ferramentas de fraude do lado do servidor e os controles da camada de rede veem o que parece ser tráfego normal até que uma transação fraudulenta bem-sucedida seja concluída.

O que Denuncia os Agentes de Teste de Cartão com IA na Camada do Navegador

Resposta rápida: Mesmo agentes de teste de cartão com IA sofisticados não conseguem replicar perfeitamente todas as dimensões do comportamento humano do navegador simultaneamente. Dentro da sessão, a cside observa os sinais que os fluxos de pagamento executados por máquinas não conseguem suprimir completamente: micro-padrões de tempo, sequências de eventos de interação, características de impressão digital e linearidade do caminho de pagamento.

Os sinais de detecção específicos para o comportamento de teste de cartão:

Precisão do caminho de pagamento Clientes legítimos navegam antes de comprar. Eles leem descrições de produtos, comparam opções e às vezes abandonam e retornam. Os agentes de teste de cartão entram diretamente no checkout ou no formulário de baixo valor com navegação prévia mínima. A sessão tem uma estrutura transacional sem contexto de compra.

Padrões de interação com formulários O preenchimento humano de formulários em campos de pagamento tem comportamento característico: entrada mais lenta nos campos de número do cartão (lendo de um cartão físico ou digital), correção ocasional de erros de entrada, movimentos do cursor entre campos. O preenchimento de formulários executado por agentes tem precisão sistemática: tempo consistente de campo em campo, sem correções, sem deriva do cursor.

Distribuição da duração da sessão Um humano completando um pagamento leva uma quantidade variável, mas dentro do intervalo humano, de tempo. Um agente de teste de cartão completa o pagamento no tempo mínimo necessário para a tarefa, mais rápido do que qualquer humano, mas não tão rápido a ponto de acionar regras de velocidade simples.

Resposta comportamental à fricção Quando os sistemas de fraude retornam desafios (CAPTCHA, prompts 3DS, códigos de verificação), os agentes de teste de cartão com IA param e rotacionam para uma nova sessão ou aplicam resolução de CAPTCHA baseada em IA. Ambas as respostas são observáveis como padrões comportamentais. Uma sessão que encontra um desafio e então entra novamente imediatamente a partir de um estado limpo é um sinal.

Estado da impressão digital As sessões reais de consumidores têm impressões digitais moldadas pelo histórico de seus dispositivos. As sessões de teste de cartão usando frameworks de automação apresentam estados de impressão digital que correspondem aos padrões do framework em vez de ambientes de dispositivos vivenciados.

Painel de detecção de agentes de IA da cside

O que a cside Detecta que Ferramentas de Fraude Perdem: Um Cenário Concreto

Resposta rápida: Um agente de teste de cartão tem como alvo um formulário de doação de caridade: valores mínimos baixos, sem fluxo de carrinho, sem login necessário. Ele se origina de um IP residencial, apresenta um agente de usuário real do Chrome e passa pelas verificações básicas de fraude. Aqui está a análise passo a passo da sessão e os sinais da camada do navegador que o expõem.

O agente carrega a página de doação e espera exatamente 2,1 segundos antes de interagir com o campo de valor. Ele insere "1,00", depois se move para o campo de número do cartão em exatamente 0,3 segundos. A entrada do número do cartão leva 4,2 segundos sem pausas entre grupos de dígitos, sem eventos de backspace e sem reposicionamento do cursor. Os campos de vencimento e CVV são preenchidos em 0,9 segundos cada, com intervalos idênticos entre pressionamentos de teclas. O botão de enviar é clicado 0,4 segundos após o preenchimento do último campo.

A cside observa: tempo de preenchimento de formulário fora da variância humana em todos os campos de pagamento, zero eventos de correção em 14 sessões consecutivas do mesmo cluster de impressão digital e caminho de pagamento sem visitas a páginas anteriores. As ferramentas de fraude do lado do servidor veem um IP residencial limpo e uma transação abaixo do limite. A cside sinaliza a sessão como teste de cartão de alta confiança e bloqueia a tentativa de pagamento antes do envio.

Parando Agentes de Teste de Cartão Antes que a Transação Seja Concluída

Resposta rápida: A janela para parar a atividade de teste de cartão está na sessão do navegador antes que a transação seja concluída. As ferramentas de fraude do lado do servidor e os processadores de pagamento detectam fraude depois do fato. A detecção na camada do navegador oferece a janela pré-transação onde você pode aplicar desafios, abandonar a sessão ou bloquear a tentativa de pagamento.

Controles práticos:

Desafio na entrada do pagamento: As sessões que correspondem aos sinais comportamentais de teste de cartão devem encontrar um desafio antes de chegar ao formulário de pagamento, não depois. O CAPTCHA comportamental que requer interação humana (não apenas marcar uma caixa de seleção) adiciona fricção que os sistemas de IA não conseguem resolver perfeitamente sem detecção.
3DS2 para sessões sinalizadas: Para sessões com pontuações de risco comportamental elevadas, exija autenticação 3D Secure antes de concluir a transação. Isso adiciona proteção de responsabilidade e cria uma camada de verificação adicional.
Limitação de taxa nos envios de formulários de pagamento: Limite o número de envios de formulários de pagamento por sessão e por cluster de impressão digital. Isso detecta o teste em massa de credenciais mesmo quando as sessões individuais parecem normais.
Correlação entre sessões: As operações de teste de cartão executam muitas sessões a partir da mesma infraestrutura subjacente. A correlação de sessões que identifica padrões coordenados (clusters de impressão digital semelhantes, timing comportamental semelhante, caminhos de pagamento semelhantes) detecta operações que a análise de sessões individuais pode perder.

A cside exibe agentes nomeados e não nomeados em um painel em tempo real com detalhes no nível da sessão. Para detecção de teste de cartão especificamente, o painel mostra os sinais comportamentais que sinalizaram a sessão e os dados de correlação que a vinculam à atividade relacionada.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O teste de cartão com IA usa automação de navegador alimentada por IA para testar credenciais de pagamento roubadas contra fluxos de pagamento reais de comerciantes. Ao contrário dos bots de carding tradicionais que usam requisições HTTP ou scripts simples, os agentes de teste de cartão com IA operam dentro de navegadores reais, imitam o comportamento humano, variam seus tempos e se adaptam às respostas dos sistemas antifraude. Eles são significativamente mais difíceis de detectar com ferramentas de fraude tradicionais do lado do servidor.

Os agentes de teste de cartão com IA usam redes proxy residenciais com reputações de IP limpas e variam o tempo das transações para evitar os limites de velocidade. Eles rotacionam sessões entre diferentes endereços IP, impressões digitais de dispositivos e instâncias de navegador. Os controles tradicionais construídos para bots que se movem rápido e usam IPs maliciosos conhecidos não detectam operações de teste de cartão com IA bem configuradas.

Os sinais principais incluem a linearidade do caminho de pagamento sem contexto de compra anterior, a precisão do preenchimento de formulários sem padrões de correção humana, a duração da sessão mais rápida que o intervalo humano sem acionar regras de velocidade, as respostas comportamentais à fricção (rotação imediata de sessão após desafios) e as características de impressão digital que correspondem aos padrões dos frameworks de automação em vez de dispositivos de consumidores reais.

Aplique um desafio (CAPTCHA comportamental, prompt 3DS) quando os sinais comportamentais estiverem elevados mas não definitivos, pois a sessão pode ser um pagamento rápido legítimo. Aplique um bloqueio definitivo quando os sinais forem de alta confiança e a sessão mostrar características coordenadas (mesmo cluster de impressão digital que sessões previamente sinalizadas, adaptação comportamental aos controles antifraude). A resposta gradual reduz falsos positivos em pagamentos rápidos legítimos.

Testes de cartão bem-sucedidos que resultam em transações criam estornos quando o verdadeiro titular do cartão contesta a cobrança. Os estornos custam aos comerciantes o valor da transação, as taxas de estorno e o tempo de processamento operacional. Altas taxas de estorno também ativam os programas de monitoramento das redes de cartões que podem restringir o processamento de pagamentos. Detectar testes de cartão antes da conclusão da transação previne todos os custos posteriores.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Como Bloquear Agentes de Teste de Cartão com IA

Agentes de IA de teste de cartão sondam fluxos de pagamento com navegadores reais. Aprenda os sinais que os expõem antes de concluir uma transação.

Plataforma de segurança cside classificando múltiplas conexões de agentes de IA — detecção de agentes em nível de navegador e gerenciamento de confiança

Como escolher uma solução de detecção de agentes de IA

Um guia de compra em cinco etapas para CISOs que avaliam soluções de detecção de agentes de IA: arquitetura, classificação, perfis de fornecedores e metodologia de POC.

Capa do blog cside mostrando uma interface de navegador filtrando o tráfego de bots e agentes de IA em caminhos confiáveis e bloqueados

Melhores Plataformas de Gestão de Confiança de Bots e Agentes Comparadas (2026)

Forrester define a categoria. cside, DataDome, HUMAN Security, Kasada e Arkose Labs comparadas em camada de detecção, intenção e cobertura agêntica.

escudo de segurança cside a monitorizar o percurso do cursor do browser — deteção de agentes de IA na camada do browser

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.

DBSC versus fingerprint de dispositivo: o que a segurança de sessão do Chrome não cobre

O DBSC do Chrome impede o reuso de cookies roubados, mas é só Chrome, pós-login e sem identidade de dispositivo. Veja a fraude que ele deixa.

Detetar e bloquear o Perplexity Shopper no seu site — blog cside

Como bloquear o Perplexity Shopper no seu site

O Perplexity Shopper navega e compra em sites de retalho em nome de utilizadores Pro. Aprenda a detetar os seus sinais e a governar esse tráfego.

Ilustração de um pedido à API da Claude e de uma resposta devolvida que pertence a outro utilizador, marcada como «a resposta não corresponde ao pedido», entre os logótipos da Anthropic e da cside

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.

Uma janela de navegador a dissolver-se num fluxo de partículas de luz azul sobre um fundo escuro

A IA está a comprimir o ciclo de exploração: o zero-day desenvolvido por IA da Google e o que isso significa para os navegadores

A Google sinalizou um zero-day que acredita ter sido criado por IA. A verdadeira mudança não é o phishing, é a rapidez com que chega ao navegador.

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.