Algumas lojas a análise dos pedidos é focada no comportamento de navegação dos usuários no site, indicando a sua intenção de comprar ou fraudar. Recentemente temos visto um aumento nos casos de tentativas de fraude em que o nome e o CPF são válidos e correspondem aos dados da Receita, mas nosso algoritmo marca como comportamento suspeito.

Uma possibilidade é que o roubo ou vazamento de identidades tenha aumentado, mas nós tínhamos outra hipótese para testar.

Geração automática de CPFs

Diversos sites na internet geram números de CPF válidos. Um script gera um número aleatório e depois calcula o dígito verificador, fazendo com que o CPF passe nas validações lógicas dos formulários de cadastro. O número 123.456.789-09, por exemplo, é válido. Mas não pertence a ninguém.

Qual a chance de um script destes gerar um CPF válido e que, ao mesmo tempo, pertence a uma pessoa? Nós fizemos o teste.

Usando um script geramos 300 CPFs válidos completamente aleatórios. Depois, consultamos um por um no site da Receita Federal. Dos 300, 50 pertencem a uma pessoa. Ou seja, 1 em cada 6 CPFs gerados era de alguém!

Não é difícil presumir que, ao invés de se dar ao trabalho de roubar a identidade de uma pessoa, os fraudadores simplesmente geram CPFs aleatórios até que um deles pertença a alguém. O problema parece ser tão comum que a Receita tem até uma FAQ que trata sobre o uso indevido do CPF em compras pela internet.

Com as fraudes ficando mais sofisticadas, é importante olhar além dos dados cadastrais para avaliar o risco de um pedido. Isso pode variar desde consultas a birôs de crédito até o uso de ferramentas antifraude completas. A lição é que confiar somente nos dados do usuário já não é mais suficiente.