Escalada de ataques aumenta necessidade de proteção antifraude

ArtigoMITSloan_YssyA aceleração digital ampliou o espaço para ataques e vazamento de dados na internet. Apenas em julho, foram 322 mil tentativas de fraude no Brasil – uma a cada oito segundos

Autoria: Luiz Eduardo Kochhann

Em 2021, aconteceu uma tentativa de fraude a cada sete segundos no Brasil. Ao todo, foram 4,1 milhões de tentativas de fraude – um aumento de 16,8% na comparação com o ano anterior e um recorde na série histórica da pesquisa da Serasa Experian, iniciada em 2011.

O segmento de bancos e cartões bateu o próprio recorde negativo. Foram os principais focos dos golpistas, com 2,3 milhões de tentativas de fraude no ano passado, um aumento de 33,3% na comparação com o acumulado de 2020. Em seguida, apareceram as financeiras, com 746 mil tentativas, alta de 11,6%; e o varejo, com 306 mil tentativas e alta de 33,4%. Apenas o setor de telefonia apresentou uma retração substancial nos ataques, com 148 mil tentativas, queda de 44%.

O diretor de soluções de identidade e prevenção de fraudes da Serasa Experian, Jaison Reis, relaciona a ofensiva golpista aos avanços tecnológicos impulsionados pela pandemia. Para Reis, a digitalização de vários serviços e a consequente ampliação do número de transações online são “um prato cheio” para os fraudadores, que encontram novos caminhos para lesar empresas e consumidores.

Em 2022, a situação não é muito melhor. Apenas em julho, quando foi divulgado o último indicador, aconteceram 322.219 tentativas de fraude – uma a cada oito segundos. O principal alvo dos golpistas foram pessoas na faixa de 36 a 50 anos (36% das tentativas), público economicamente mais ativo e responsável por mais transações. Na sequência apareceram as pessoas com 26 a 35 anos (27,5% das tentativas) e com 51 a 60 anos (14%).

Entre as regiões brasileiras, a maior incidência está no Sudeste, onde ocorrem mais da metade (52,2%) das tentativas de fraude. Muito acima da segunda e terceira colocadas, respectivamente, as regiões Nordeste (17,6%) e Norte (6,1%). Conforme as estratégias golpistas se desenvolvem, a responsabilidade das empresas em criar mecanismos de defesa também cresce.

Sistema antifraudes: o papel das empresas

Uma vez presentes no ambiente digital, empresas de todos os portes e segmentos estão suscetíveis à presença e ação dos chamados bots. Existem os good bots, que são bots de rastreamento como o Googlebot e Bingbot, são desenvolvidos por empresas confiáveis para rastrear e indexar páginas em seus resultados de pesquisa, contribuindo para que seu site ganhe relevância em pesquisas orgânicas, garantindo que sua empresa seja encontrada por consumidores em potencial.

Além do exemplo de bots de rastreamento para indexação em redes de pesquisa, também existem outros good bots bastante conhecidos, como os bots de redes sociais (Facebook, Instagram), bots de monitoramento de sites (Pingdom, Hotjar), bots de monitoramento de links e performance web (SEMRushbot), entre outros.

A líder de pré-vendas de segurança cibernética da Yssy & Co., Josiane de Barros Silva, destaca que as tentativas de fraudes mais comuns direcionadas às empresas utilizam outro tipo de ameaças robotizadas: os chamados bad bots, que permitem aos golpistas distribuir uma grande massa de ataques simultâneos contra as organizações.

Alguns exemplos de bad bots utilizados em tentativas de fraude:

Account Takeover Bots (credential stuffing, credential cracking) – é o mais nefasto dos bots ruins. Account Takeover é uma forma de roubo de identidade em que os maus atores obtêm acesso ilegal às contas dos usuários. O Account Takeover pode ser executado usando vários tipos de ameaças automatizadas, predominantemente o preenchimento de credenciais (credential stuffing, do inglês) – que são tentativas de login em massa, usadas para verificar a validade de pares de nome de usuário/senha roubados; e a quebra de credenciais (credential cracking, do inglês) – que é a identificação de credenciais de login válidas tentando valores diferentes para nomes de usuário e/ou senhas.

O roubo de identidade não deve ser menosprezado, especialmente quando tentado em grande escala. As ramificações de um ataque bem-sucedido são de grande alcance para empresas e clientes. Ataques não mitigados também podem levar a quedas de energia e negação de serviço – que torna indisponível um determinado serviço, resultando na perda de negócios e custos de infraestrutura inflados, causando danos à marca, perda de receita, aumento de estornos e aumento nos custos de suporte ao cliente.

Carding and Card Cracking Bots – são bots que realizam fraudes financeiras, hoje uma das maiores ameaças aos segmentos do varejo, entretenimento, serviços financeiros e viagens. Qualquer site com um processador de pagamento corre o risco de fraude no cartão de crédito: bots ruins estão sendo usados para verificar números de cartões de crédito roubados, fazendo vários pequenos pagamentos (o chamado carding, do inglês) ou tentando identificar informações ausentes, como datas de validade e números CVV (o chamado card cracking, do inglês). Eles prejudicam diretamente a pontuação de fraude das empresas, bem como aumentam os custos de atendimento ao cliente para processar estornos fraudulentos.

Scalping Bots (Grinchbots, Ticketbots, Sneakerbots e outros) – scalping (do inglês), em poucas palavras, significa comprar produtos na internet a preço de varejo e revendê-los rapidamente por um preço mais alto em um mercado secundário, com um lucro que pode ser relativamente baixo ou muitas vezes 10 vezes maior. Eles estão assolando a internet há anos, mas apenas recentemente alcançaram a atenção da mídia devido ao seu aumento e segmentação de novos mercados durante a pandemia global.

Os scalpers têm como alvo lançamentos de tênis, shows e eventos esportivos altamente cobiçados há vários anos. Em 2020, eles aproveitaram o pânico causado pela pandemia para estocar commodities à medida que as compras online aumentavam em popularidade e os estoques dos varejistas estavam acabando nas primeiras semanas.

Além disso, durante o segundo semestre do ano, eles usaram a busca de inventário online (grinchbots, do inglês), tentando comprar itens antes que os humanos pudessem concluir seus pedidos. Esse tipo de golpe era muito utilizado apenas em datas comerciais como o Natal, porém hoje é realizado durante o ano todo, como por exemplo durante a Black Friday. Suas táticas são usadas por exemplo em um lançamento de uma nova geração de consoles de jogos, bem como GPUs e CPUs.

Isso resulta em um mercado de revenda altamente inflado para esses itens, que rendeu milhões para operadores de bots ruins em todo o mundo. Além de causar grande frustração para os compradores, prejudicando gravemente os negócios. Eles tornam os sites mais lentos, aumentam os custos de infraestrutura e prejudicam as taxas de conversão, bem como a reputação dos negócios.

Bots de ingressos (ticketbots, do inglês) – os bots de ingressos são softwares automatizados usados para comprar ingressos em massa. Na maioria dos mercados, mais de 40% de todas as reservas de passagens online agora são feitas por software automatizado, para serem revendidas posteriormente, apesar das leis terem sido aprovadas especificamente para lidar com a situação. Isso torna o scalping, e especificamente o scalping orientado por bot, uma grande preocupação para os vendedores.

Bots de tênis (sneakerbots, do inglês)  são aplicativos automatizados de comércio eletrônico projetados para comprar tênis novos e de edição extremamente limitada no momento em que são lançados, podendo até mesmo utilizar dados de pagamento (cartões) roubados.

A cadeia c-level deve estar ciente da criticidade deste tipo de ameaça e trabalhar em sintonia com a área de tecnologia da informação. “Muitas vezes, a responsabilidade da cadeia c-level é passada para equipes operacionais”, diz Silva. “Mas é mais fácil traçar uma estratégia de proteção unindo o conhecimento técnico com o conhecimento de quem tem uma visão global do negócio.”

Boas práticas na estratégia de segurança

Ter sistemas antifraude também se tornou decisivo para a política de segurança cibernética das corporações. Trata-se de mais uma camada de cuidados para garantir confiabilidade e segurança para usuários e clientes, evitando prejuízos financeiros e de reputação da marca.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) regulamenta o uso e o tratamento de dados pessoais pelos setores público e privado. Em vigor desde 2020, a LGPD criou uma série de obrigações para as empresas estabelecerem e acompanharem medidas físicas, técnicas e administrativas de proteção dos dados contra ações fraudulentas. Nessa conta, entra a exigência de comprovação das medidas e da sua eficácia, o que aumentou a conscientização sobre a necessidade de tomar cuidados.

Não por acaso, segundo uma pesquisa global sobre o tema, enquanto há uma tendência mundial de redução na intenção de ampliação do orçamento para a gestão de fraude, as empresas brasileiras continuam priorizando os investimentos na área. Aqui, 62% dos gestores entrevistados dizem querer aumentar os recursos destinados aos sistemas antifraude – foram ouvidas 900 empresas dos segmentos bancário, varejo eletrônico e telecomunicações, em 10 países.

As principais iniciativas adotadas pelas companhias nacionais são o uso de senhas nos seus sistemas (29%), de motores com regras antifraude (23%), padrões e histórico de transações e uso de códigos (ambos com 22%). No mundo, as soluções de detecção e proteção ainda abrangem medidas de segurança nos dispositivos (21%) e o uso de perguntas de segurança (20%).

“O desafio é encontrar no mercado soluções de proteção que tenham um aprendizado contínuo e um escopo de proteção à disponibilidade. Isso porque, a cada dia que passa, surgem novas técnicas para melhorar os ataques robotizados, que podem causar indisponibilidade dos sistemas”, explica Silva, da Yssy.

Além disso, ela sugere a implementação de um centro de operações de segurança nas organizações. Com uma equipe robusta, este setor é responsável por monitorar a ocorrência de fraudes através da análise de dados, evitando que as tentativas de ataque passem despercebidas.

Ou seja, os sistemas antifraude não incluem apenas um recurso ou ferramenta. A pesquisa da Serasa indica a necessidade de uma combinação das soluções disponíveis. Entre elas, o aumento das equipes de atendimento aos clientes e dos investimentos em inteligência artificial, analytics, machine learning e softwares especializados na detecção de fraudes.

A estratégia multicamadas visa, por exemplo, fortalecer o reconhecimento dos usuários durante transações digitais através de sistemas de verificação de endereço e tecnologias de biometria e reconhecimento facial. Tudo para diminuir a vulnerabilidade de empresas e consumidores e atrasar o tic-tac da máquina golpista – que, apenas no tempo de leitura dessa reportagem, realizou mais de 30 tentativas de fraude.

Autoria

Luiz Eduardo Kochhann

É colaborador da MIT Sloan Review Brasil.

FÓRUM: VETORES ESTRATÉGICOS DE CIBERSEGURANÇA – COPRODUÇÃO MITSMR + YSSY