Cibercrime sofisticado exige ambientes à prova de fraudes

David Capezza, diretor sênior de Payment Fraud Disruption da Visa, destaca em seu artigo o avanço dos golpes digitais em meios de pagamentos e traz uma lista de melhores práticas

Compartilhar:

*Por David Capezza

 

Os fraudadores cibernéticos estão mais ativos do que nunca devido ao boom no e-commerce desencadeado pela COVID-19. Em meados de março de 2020, as compras online nos EUA aumentaram 35% em relação a 2019 enquanto os pagamentos na internet com cartões cresceram 30% no último trimestre de 2020, impulsionados principalmente pelos gastos no varejo, conforme mostra o relatório financeiro  mais recente da Visa. Os cibercriminosos tentam fraudar compradores, pequenas empresas e grandes varejistas comprometendo credenciais de pagamento, colhendo dados e atacando sistemas online confiáveis. Segundo o Aite Group, as perdas de toda a indústria com fraudes em escala global decorrentes de transações com cartões no ambiente virtual devem subir de um total estimado de US$7,2 bilhões em 2020, para US$7,9 bilhões em 2021.

Além de aumentarem os volumes de pagamentos digitais e adotarem o comércio omnichannel, os varejistas precisam agir para que seus sistemas de pagamento contribuam efetivamente para os seus negócios, tornando-os isentos de fricção para os compradores e à prova de ataques de fraudadores.

O último relatório semestral da equipe de Payments Fraud Disruption (PFD) da Visa analisa as tendências de fraude e risco que afetam varejistas e consumidores, trazendo três tendências relacionadas ao e-commerce que surgiram em 2020:

Fraude na retirada de compras por drive-through

 

Embora esta seja uma tendência crescente, segundo o Adobe Analytics, em abril do ano passado, a demanda aumentou 208% em relação a 2019. Como os varejistas adotaram a retirada de compras por drive-through rapidamente para se adaptarem às mudanças nos hábitos de compra do consumidor durante a pandemia de COVID-19, certos elementos do modelo ficaram vulneráveis a fraudes.

Por exemplo, ao contrário dos pedidos online convencionais, uma transação com retirada por drive-through pode conter menos informações para embasar a avaliação de risco da transação. E, sem controles adequados, como verificação de identidade durante a retirada, esse componente também ficou exposto a atividades fraudulentas. Os bancos também tiveram que ajustar seus modelos de fraude a essa mudança relevante, o que gerou dificuldades para ambos os lados capturarem as atividades fraudulentas nesse canal.

Ataques de enumeração

 

Os ataques de enumeração não são novidade, mas continuam sendo uma das principais ameaças aos processos de pagamento dos varejistas em 2020. A enumeração é um teste automatizado, escalonável e programático de campos de pagamento comuns por meio de transações de e-commerce e tem por objetivo adivinhar o número da conta de pagamento, o CVV2 e/ou a data de validade.

Um método de fraude que se manifestou durante a pandemia surgiu quando os criminosos se adaptaram e começaram a criar e a usar ilicitamente nomes de varejistas relacionados à COVID-19 para conduzir ataques de enumeração. A equipe de PFD da Visa prevê que os ataques de enumeração continuarão sendo uma das principais ameaças em todas as regiões do mundo, com os cibercriminosos usando big data e ferramentas automatizadas para encontrar e explorar novas vulnerabilidades.

Novos eSkimmers

Os cibercriminosos estão usando técnicas cada vez mais avançadas para atacar plataformas de compras online, desenvolvendo novo malware para comprometer as plataformas dos varejistas e capturar as informações dos consumidores. A equipe de PFD da Visa identificou dois novos eSkimmers no segundo semestre de 2020.

Em junho, os pesquisadores de segurança identificaram uma nova variante de skimmer JavaScript com capacidade de se autodestruir no site de um varejista norte-americano. A exemplo do Pipka, descoberto e relatado pela Visa em novembro de 2019, este skimmer foi criado para roubar os detalhes de pagamento dos clientes durante o checkout. O malware funciona como o Pipka e consegue se remover do HTML de um site comprometido após ser executado, o que diminui as chances de ser detectado.

Em agosto, a equipe de PFD foi a primeira a identificar a “Baka”, nova variante de malware de skimming em JavaScript encontrada em vários sites de varejo em todo o mundo. Basicamente, o skimmer é carregado dinamicamente para não ser identificado em varreduras estáticas de malware e usa parâmetros de criptografia únicos para cada vítima a fim de ofuscar o código malicioso. O que torna seu design tão avançado é a forma como o skimmer evita ser detectado e analisado. O malware consegue sair sozinho da memória ao detectar a possibilidade de ser analisado dinamicamente pelas ferramentas dos desenvolvedores.

Os cibercriminosos continuarão inovando e evoluindo suas táticas ao desenvolverem eSkimmers para varejistas de e-commerce, e suas inovações serão uma ameaça persistente neste espaço. Isso é especialmente verdade no contexto da COVID-19, pois muitos varejistas tradicionais ainda não estão operando a pleno vapor devido a restrições e lockdowns impostos pelos governos.

Como ficar à frente dos fraudadores

Os golpistas estiveram altamente ativos durante a pandemia e ao longo de 2020 e estão se sofisticando a cada dia. Embora esses criminosos usem muitas técnicas de fraude comprovadamente eficientes, como ransomware, eSkimming e malware de POS, também adaptaram seus métodos e táticas às mudanças que a COVID-19 introduziu no cenário de e-commerce.

Entretanto, os varejistas têm várias maneiras de se antecipar e evitar a ação desses cibercriminosos, proteger seus lucros e salvaguardar os consumidores e os dados de pagamento dos seus clientes, começando com algumas estratégias simples de autenticação e segurança online:

 

● Monitorar atividades suspeitas – verificar os registros regularmente e receber alertas quando houver alterações no site. Treinar todos os funcionários em boas práticas de segurança para que eles saibam como agir ao identificarem atividades suspeitas ou encontrarem uma violação.

 

● Ter métodos de autenticação compatíveis com o cenário atual, adotando uma abordagem de múltiplas camadas. Você usa autenticação de dois fatores para os compradores, mas a tecnologia de análise por trás de sua plataforma de e-commerce avalia o risco adequadamente? Tecnologias emergentes, como aprendizado automático e modelos analíticos à base de inteligência artificial podem ajudar a identificar esses métodos de fraude precocemente.

 

● Considerar a contratação de um terceiro validado para armazenar, processar ou transmitir os dados dos portadores de cartão. Os criminosos costumam atacar sites de varejo que processam os dados de pagamento internamente.

 

● Ficar de olho nas atualizações nos padrões de segurança do setor, como os publicados pela Payment Card Industry ou o Center for Internet Security, e verificar se sua plataforma de e-commerce está de acordo com as novas diretrizes.

 

*David Capezza é diretor sênior de Payment Fraud Disruption da Visa

 

 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...