Blog Attacks

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

May 15, 2026 • 6 min read

Mike Kutlu Author

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Pontos-chave

Os bots de teste de cartão rodam rapidamente credenciais de pagamento roubadas nas páginas de pagamento. O objetivo é testar muitos cartões até um completar uma transação fraudulenta.
Ao contrário dos bots clássicos de teste, os baseados em agentes de IA podem raciocinar e usar browsers furtivos para evitar deteção.
Detetar agentes de IA maliciosos exige cruzar sinais de rede, de browser e sobretudo comportamentais com a atividade na página.
Existem ferramentas especializadas (como cside ou DataDome) que monitorizam o runtime do browser e sinais de impressão digital para ajudar as organizações a parar este vetor mais cedo.

O que é teste de cartão com IA?

Definição de teste de cartão com IA

O teste de cartão com IA é o uso de automação orientada por IA para verificar se credenciais roubadas são válidas contra fluxos reais de checkout. Ao contrário dos bots de carding que usam chamadas API simples ou pedidos HTTP, os agentes de teste com IA usam sessões de browser reais com JavaScript, interação com formulários e comportamento de checkout semelhante ao humano.

Uma operação de teste costuma seguir etapas:

Obter um lote de credenciais roubadas (fugas de dados, mercados na dark web ou geração algorítmica)
Encontrar um site cujo checkout permita validar com valores baixos ou zero: donativos, trials e compras de mínimo baixo são alvos comuns
Correr sessões automatizadas contra o checkout até haver validação bem-sucedida
Usar cartões validados para fraude de maior valor ou vendê-los como «verificados» no mercado criminoso

Os testers com IA acrescentam sofisticação comportamental: variam o ritmo das transações, simulam navegação antes do checkout e adaptam-se a respostas antifraude para evitar alertas.

Como detetar teste de cartão conduzido por agentes de IA

Camadas de deteção de teste de cartão com IA

Detetar este vetor exige fingerprinting avançado além de medidas específicas de deteção de agentes de IA.

Detetar agentes de IA

Sinais de rede, browser e comportamento: primeiro perceber se a sessão é conduzida por um agente de IA. Isto implica indicadores ao nível da rede (proxy, impressão TLS), artefactos de browser de frameworks de automação e padrões de interação com a página.

Detalhamos sinais concretos que a cside usa em o nosso guia para bloquear agentes de IA no seu site.

Identificar comportamento fraudulento de agentes (teste de cartão)

Cruze deteção de agente com atividade na página. Depois de saber que é um agente de IA, o passo seguinte é inferir intenção de teste de cartão. O preenchimento de formulários é um sinal forte: sete números de cartão em pouco tempo ou dez CVV no mesmo cartão não é comportamento humano normal. Agentes de IA podem raciocinar e não seguir padrões lineares, o que complica o rate limiting.

Quando esses sinais se combinam com VPN detetada ou ambiente de impressão digital incoerente, o quadro fica claro.

Numa ferramenta de fornecedor, como a deteção de agentes de IA da cside, muitos sinais alimentam um score de risco. Isto ajuda a marcar sessões suspeitas de teste de cartão e a decidir enforcement (bloqueio ou lista negra).

Exemplo: como decorre um ataque de teste de cartão com IA

Imagine uma empresa de comércio eletrónico de médio porte em eletrónica de consumo, cerca de 50.000 transações por mês, checkout padrão.

Escolha do alvo. Checkout de convidado, cartões-presente de baixo valor (a partir de 5 USD) e respostas claras de sucesso ou falha nas tentativas de pagamento.
Infraestrutura. O atacante provisiona uma frota de agentes de IA com um framework de automação de browser. Cada agente corre em Chromium real com IP residencial único e impressão digital aleatória. Carrega 10.000 números roubados.
A campanha de teste. Em 48 horas os agentes navegam, colocam um cartão-presente de 5 USD no carrinho e inserem um número roubado no checkout. Cartões válidos são marcados como «ativos». Falhas rodam IP e impressão digital. Cerca de 200 cartões por hora, com espaçamento para evitar limiares de velocidade.
O dano. De 10.000 cartões testados, 600 validam. Esses cartões «verificados» revendem-se com prémio ou usam-se noutros sites para compras de maior valor.

Porque é que a deteção tradicional falha contra testers com IA

A antifraude clássica apoia-se em regras de velocidade, reputação de IP, impressão digital de dispositivo e correspondência de user-agent. Os agentes de teste com IA contornam tudo isto.

Regras de velocidade: espaçam transações para não disparar limiares.
Reputação de IP: rodam redes de proxies residenciais com histórico limpo.
Impressão digital: apresentam uma impressão nova e credível por sessão.
User-agent e cabeçalhos: correm em sessões de browser real com cabeçalhos padrão indistinguíveis do tráfego legítimo de Chrome.

a cside viu que ferramentas de deteção tradicionais falharam agentes de IA em 8 de 10 testes controlados.

O custo em fraude do teste de cartão

Custo em fraude do teste de cartão com IA

Segundo a Visa, ataques de enumeração (o termo da rede para teste de cartão) causam 1,1 mil milhões de USD em perdas anuais com fraude, e 33% das contas enumeradas sofrem fraude nos cinco dias após compromisso.

O Acquirer Monitoring Program (VAMP) da Visa inclui um rácio de enumeração dedicado. Acima de 20% das transações marcadas como enumeração, o comerciante entra no programa. Com mais de 300.000 tentativas marcadas num mês e ≥20% do volume, a Visa pode classificar o caso como «excessivo».
O programa Excessive Fraud Merchant (EFM) da Mastercard monitoriza o rácio fraude/vendas CNP. Acima de 0,50% em transações CNP, as coimas começam nos 500 USD no segundo mês e escalam. O Excessive Chargeback Program (ECP) acrescenta outra camada: mais de 100 chargebacks a 150 pontos base ou mais num único mês dispara inscrição.

Uma única campanha de teste pode levar um comerciante conforme a um programa de monitorização. Sair exige três meses consecutivos limpos enquanto as coimas se acumulam.

Estratégias de enforcement contra teste de cartão conduzido por agentes de IA

Quando consegue marcar sessões suspeitas de teste de cartão, precisa de uma estratégia que equilibre deter a fraude com a minimização da fricção para clientes legítimos.

Desafio antes do formulário de pagamento. Sessões com risco elevado devem passar por verificação antes dos campos de pagamento, não depois. CAPTCHA comportamental com interação humana genuína acrescenta uma camada que agentes de IA não resolvem sem se denunciarem. É o ponto de intervenção de maior impacto porque para a tentativa antes de enviar dados de cartão.
Lista negra do visitante. Se houver suspeita num dispositivo, pode bloqueá-lo para evitar repetição.
Correlação e bloqueio entre sessões. Operações de teste usam muitas sessões na mesma infraestrutura. Correlação que agrupa clusters de impressão digital, ritmos semelhantes e percursos de checkout parecidos deteta campanhas que análise sessão a sessão falharia. Ao identificar um cluster, aplique enforcement a toda a operação em vez de reagir sessão a sessão.

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Table of Contents

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O teste de cartão com IA usa automação no browser orientada por IA para validar credenciais de pagamento roubadas contra fluxos reais de checkout. Ao contrário dos bots de carding que usam pedidos HTTP ou scripts simples, os testers com IA correm em browsers reais, imitam comportamento humano, variam o ritmo e adaptam-se às respostas antifraude. São muito mais difíceis de detetar só com ferramentas antifraude tradicionais do lado do servidor.

Os testers com IA usam redes de proxies residenciais com boa reputação de IP e espaçam transações para evitar limiares de velocidade. Rodam sessões por diferentes endereços IP, impressões digitais do dispositivo e instâncias de browser. Controlos pensados para bots rápidos com IPs maus conhecidos falham muitas vezes operações de teste com IA bem configuradas.

Sinais-chave incluem rodar rapidamente números de cartão (vários em pouco tempo), tentativas repetidas de CVV no mesmo cartão e padrões de navegação ou digitação pouco humanos. Agentes de IA podem raciocinar e evitar padrões lineares, mas o timing de cliques e as sequências de interação com formulários ainda os denunciam. Combinados com VPN detetada ou inconsistências de impressão digital, o score de risco sobe muito.

Aplique um desafio (CAPTCHA comportamental, passo 3DS) quando os sinais forem elevados mas não definitivos, porque a sessão pode ser um checkout legítimo muito rápido. Aplique bloqueio duro com sinais de alta confiança e coordenação (mesmo cluster de impressão digital que sessões já sinalizadas, adaptação a controlos). Resposta gradual reduz falsos positivos em checkouts legítimos rápidos.

Testes bem-sucedidos que geram transações originam chargebacks quando o titular contesta. Chargebacks custam o valor da transação, taxas e tempo operacional. Taxas elevadas disparam programas de monitorização como o VAMP da Visa (com rácio de enumeração) e o EFM da Mastercard, com coimas crescentes e risco de restrição no processamento. A Visa estima que a enumeração cause 1,1 mil milhões de USD por ano em perdas com fraude.

O Acquirer Monitoring Program (VAMP) da Visa inclui um rácio de enumeração que sinaliza comerciantes quando mais de 20% das transações são identificadas como teste de cartão. O programa Excessive Fraud Merchant (EFM) da Mastercard monitoriza o rácio fraude/vendas CNP com um limiar de 0,50%. Ambos impõem coimas escalonadas e exigem três meses consecutivos com fraude reduzida para sair do programa.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.

cside nomeada SourceForge Spring 2026 Top Performer em segurança do lado do cliente

A cside foi nomeada SourceForge Spring 2026 Top Performer, sinal de confiança dos utilizadores em segurança do lado do cliente.

Como Detectar Agentes de IA no Seu Website | Guia Completo

Este guia aborda a deteção de agentes de IA através de sinais de identidade, rede, navegador e comportamento. Veja métodos gratuitos como análise de logs de servidor e ferramentas especializadas.

cside copreside a segurança antifraude do navegador no W3C

Simon Wijckmans é agora copresidente do AFCG do W3C enquanto a cside ajuda a definir sinais privados contra fraude com IA.

O que é Mastercard First-Party Trust? Como reduz chargebacks

Mastercard First-Party Trust desvia disputas de fraude amigável antes que se tornem chargebacks formais. Veja como funciona o quadro de evidência.

Mastercard First Party Trust: melhore os rácios EFM e ECP com device fingerprinting

O programa First Party Trust da Mastercard usa device fingerprinting para deflectir disputas de friendly fraud antes que inflacionem os seus rácios EFM e ECP.

Comparação de Ferramentas para PCI DSS 6.4.3 e 11.6.1 | Funcionalidades, Preços

Compare ferramentas de conformidade com PCI DSS 6.4.3 e 11.6.1. Funcionalidades, preços e avaliações de cside, Feroot, Cloudflare e Reflectiz lado a lado.

Fraude amigável em viagens e hotelaria: o playbook 2026

Comerciantes de viagens e hotelaria enfrentam as disputas por fraude amigável de maior valor. Como CE 3.0 e evidência na camada de navegador reequilibram a taxa de vitórias.