A Check Point alerta para a necessidade de um esforço global para aumentar o conhecimento e a educação em torno da prevenção de fraudes. Todos os anos, as organizações perdem bilhões de dólares devido à fraude, em grande parte porque não compreendem as táticas que os fraudadores utilizam e quais as estratégias de prevenção que devem ser implementadas.
Miguel Hernandez y Lopez, gerente de Engenharia de Segurança e membro do gabinete do CTO da Check Point Software, explica a seguir o que está acontecendo no mundo da fraude cibernética e aponta como as organizações podem adotar iniciativas mais eficazes de combate. Sua primeira abordagem é mostrar os tipos de fraudes corporativas e suas tendências atuais:
1. Fraude cibernética. Os ataques cibernéticos estão aumentando e os cibercriminosos usam técnicas como phishing, malware ou ransomware para roubar informações confidenciais ou interromper operações comerciais.
2. Fraude interna. Isto envolve atividades fraudulentas por parte de funcionários de uma empresa, incluindo roubo, falsificação de documentos ou apropriação indevida.
3. Fraude em faturas. Isso envolve o envio de faturas falsas a uma empresa na esperança de que ela pague cobranças falsas sem perceber.
4. Fraude do CEO. É aqui que os fraudadores se passam por CEO de uma empresa ou outro executivo sênior para induzir um funcionário a transferir fundos ou compartilhar informações confidenciais. É o golpe BEC (Business Email Compromise) ou Fraude do CEO.
5. Fraude de devolução. Isto é particularmente prevalente no setor varejista, onde as pessoas abusam da política de devolução para obter ganhos financeiros.
6. Fraude na folha de pagamento. Isso pode ocorrer quando os funcionários manipulam o sistema de folha de pagamento para receber mais remuneração que o devido.
“É essencial que as empresas atualizem constantemente as suas medidas e políticas de segurança, eduquem os funcionários sobre potenciais fraudes e implementem controles internos robustos para prevenir fraudes”, ressalta Miguel Hernandez y Lopez. “A fraude é cara, podendo o seu custo ser substancial às empresas, tanto financeiramente como em termos de reputação.”
Como as fraudes, existem ainda as várias formas de perdas financeiras às organizações. As perdas financeiras diretas podem atingir cifras milionárias, dependendo da escala do negócio e da fraude; há também custos de investigação e recuperação. Após a fraude, uma empresa precisa conduzir investigações e tentar recuperar os fundos perdidos. Esses processos podem ser demorados e onerosos.
Além disso, existem custos legais que, dependendo da gravidade da fraude, podem igualmente ser significativos. Se a empresa sofrer um grande prejuízo poderá optar por processar o fraudador, aumentando as despesas.
Outra forma de perda refere-se às multas regulatórias. Em alguns casos, especialmente aqueles que envolvem violações de dados, uma empresa pode enfrentar pesadas multas de órgãos reguladores por não proteger informações confidenciais.
Embora não sejam perdas diretamente financeiras, há os casos de danos à reputação de uma empresa que podem resultar na perda de clientes, na diminuição das vendas e na queda dos preços das ações, o que contribui indiretamente para a perda financeira global.
Por último, Lopez destaca que, após um incidente de fraude, as organizações poderão registrar um aumento nos prêmios de seguro. De acordo com a Association of Certified Fraud Examiners Occupational Fraud 2022, em seu “Um Relatório às Nações”, as organizações perdem aproximadamente 5% da receita devido à fraude a cada ano, com a perda média por caso totalizando valores superiores a US$ 1,78 milhão.
Impacto da IA no futuro da fraude corporativa
De acordo com Miguel Hernandez y Lopez, a IA generativa pode desempenhar um papel significativo, tanto positiva como negativamente, quando se trata de fraude corporativa.
Em termos de prevenção e detecção de fraudes, a IA pode processar enormes volumes de dados, identificar padrões e detectar anomalias com mais rapidez e precisão que os analistas. Ao utilizar algoritmos sofisticados e metodologias de aprendizagem automática, a IA generativa pode identificar potenciais atividades fraudulentas antes que se tornem prejudiciais.
Por outro lado, segundo o gerente, o uso indevido de IA generativa poderia aumentar potencialmente os cenários de fraude sofisticados. Por exemplo, se pensarmos nas deepfakes nos quais a IA generativa pode criar áudios, vídeos ou textos hiper-realistas que são virtualmente indistinguíveis do conteúdo real. Golpistas ou fraudadores podem usar esses deepfakes para fraudes, para criar identidades falsas ou espalhar desinformação que prejudica as empresas.
Embora a IA generativa forneça ferramentas e capacidades que as organizações podem aproveitar para a prevenção de fraudes, ela também requer melhorias nas medidas de segurança para evitar o uso indevido. Será necessária a ajuda dos órgãos reguladores, da educação e de um quadro jurídico sólido para garantir que o impacto da IA generativa permaneça positivo.
Diante de tudo isso, Lopez reforça que a sensibilização e conscientização dos usuário é crucial para a prevenção da fraude, e as razões disso são as seguintes:
Fator humano. Frequentemente, o erro humano ou a ignorância possibilitam a fraude. Ao aumentar a conscientização do usuário, constrói-se a mais robusta linha de defesa contra fraudes.
Ataques de phishing. Em uma época em que as ameaças cibernéticas, como o phishing, podem levar a riscos de segurança significativos, os usuários que estão cientes destas ameaças não são tão propensos a cair nelas como os seus pares.
Detecção precoce. Usuários conscientes podem identificar atividades suspeitas, anomalias ou alterações em sistemas ou transações que possam indicar uma potencial ameaça ou fraude. Eles podem escalar isso mais cedo, permitindo resposta e mitigação mais rápidas.
Mitigação de ameaças internas. Os funcionários que compreendem os sinais de fraude estão mais bem equipados para detectar e denunciar possíveis ameaças internas.
Conformidade regulatória. A conscientização do usuário ajuda as organizações a permanecerem em conformidade com as regulamentações que, muitas vezes, exigem treinamento e conscientização do usuário como parte de seus requisitos.
Cultura de segurança. Treinar os usuários em torno da conscientização sobre segurança cibernética cria uma cultura de segurança dentro da organização, onde cada membro, e não apenas a equipe de TI ou de segurança, tem um papel fundamental na prevenção de fraudes.
Em essência, os usuários que estão bem informados sobre os riscos de fraude e as formas de identificar e responder à fraude, bem como o impacto potencial, acrescentam uma valiosa camada de proteção na organização.