MRC 2020: o que muda em fraudes e pagamentos após a pandemia

Colaboraram para este resumo:

Bianca Ricci, gerente de Inteligência de Produtos da ClearSale
Jaqueline Teixeira, gerente de Soluções da ClearSale
Maria Lígia de Lima, analista de Comunicação da ClearSale
Tamyris Marconi, analista de Soluções da ClearSale

Aconteceu no mês passado a edição virtual do MRC 2020, o maior evento do mundo voltado à gestão de risco, prevenção e combate a fraudes. Após o cancelamento da versão presencial, que aconteceria em Las Vegas (EUA), a organização decidiu realizar, por causa da pandemia do novo coronavírus, uma programação totalmente online para abordar as mudanças decorrentes da mudança drástica de cenário em todo o mundo após a proliferação do vírus.

Assim como o que foi visto em todos os setores do mercado, a gestão de risco e o combate a fraudes também precisaram se adaptar rapidamente, gerando brechas de segurança e consequentes oportunidades aos fraudadores. Com isso, saber como agir a partir de agora será essencial para empresas que desejam se manter sempre longe dos olhos atentos dos criminosos de ambientes digitais.

Considerando a relevância do momento e a importância em colaborar para tornar o mercado mais seguro e confiável, a ClearSale acompanhou o evento e traz agora um resumo das novidades que foram abordadas. Confira!

O ano em que tudo mudou

Quando 2020 chegou, o novo coronavírus ainda era um problema apenas para a China. Naquele momento, que hoje já parece tão distante, muito se falava sobre o que esperar para o futuro dos pagamentos em ambientes digitais, mas o fato é que 2020 foi um ano no qual tudo mudou.

Após a proliferação do novo coronavírus se tornar descontrolada e a pandemia ser oficialmente declarada, a rotina de todas as pessoas e em todas as partes do mundo foi brutalmente afetada. Com isso, tudo o que se esperava para os próximos anos foi acelerado para um ritmo até então inimaginável, no que os especialistas que falaram no MRC chamaram de ‘4 anos em 1’.

Estudos apresentados no MRC, e que já consideram o período de pandemia, indicam que até 2023 serão mais de 30 bilhões de dispositivos móveis em circulação no mundo (mais de 3 por pessoa), com cada vez mais pagamentos digitais sendo realizados e com cada vez mais pessoas consumindo no online.

Atuamente, já são 18 bilhões de dispositivos móveis em circulação no mundo, centenas de milhões de novos consumidores no online, novas especificidades nos padrões de comportamento de compra, novas necessidades, queda na utilização do dinheiro em espécie, alta nos pagamentos digitais e mais de R$ 100 bilhões de prejuízos em fraudes previstos até 2023.

Com isso, a necessidade de adaptação rápida se tornou fundamental inclusive para o aprimoramento de soluções antifraude. Afinal de contas, segundo dados divulgados no evento, são cerca de 66% das compras de bons clientes sendo negadas todos os dias por conta de suspeitas de fraude, o que deve ser tratado pelo mercado como inaceitável. Para se ter uma ideia, a média de aprovação com a qual a ClearSale costuma trabalhar ultrapassa os 95%.

Um dos motivos apontados para esse alto índice de reprovações indevidas é o fato de que muitas empresas que oferecem soluções antifraude não entenderam algumas mudanças de padrões durante o período de pandemia. Ou seja, o que antes poderia representar um sinal de ataque, como diversas compras feitas em diferentes lojas virtuais por uma pessoa que não costuma comprar no online, por exemplo, com a pandemia passou a ser muito mais comum.

É evidente que os fraudadores tentam se aproveitar deste tipo de cenário, mas cabe aos fornecedores de soluções antifraude o pronto entendimento das mudanças, a rápida adaptação e a busca pelo equilíbrio em cada nicho atendido. Novos segmentos passaram a ser comprados e vendidos pelo online, hábitos que antes poderiam indicar padrões de ataque passam a ser mais comuns, e nada disso pode ficar fora do radar das soluções de combate a fraudes.

Segurança da informação

Um ponto bastante abordado no MRC 2020, inclusive em palestras de destaque (keynote speakers) foi a segurança da informação. Como um dos nichos que mais foi impactado pela pandemia, especialistas em ataques na internet trouxeram apresentações mostrando como fraudadores se aproveitam das mudanças repentinas para encontrar brechas de segurança.

Assim que a pandemia foi declarada e a circulação de pessoas nas ruas ficou restrita, a vida passou a acontecer praticamente toda em ambientes digitais, principalmente nas empresas, que se viram obrigadas a colocar seus colaboradores em regime de home office sem que houvesse um tempo de preparação e de adaptação, além do total desconhecimento do impacto que isso teria na segurança da informação.

Com isso, hackers passaram a ter mais facilidade para invadir dispositivos usados para fins corporativos. Uso pouco seguro de e-mails, senhas fracas, reuniões online... tudo passou a ser mais vulnerável quando saiu do ambiente controlado das empresas e foi para as casas das pessoas. Dessa forma, possíveis portas de entrada para invasões de criminosos da web ficaram escancaradas.

Assim que conseguem acessar estes dispositivos, fraudadores conseguem dados e informações sensíveis, roubam arquivos e cometem diversos tipos de crimes, inclusive o de cobrar um valor das empresas pelo ‘resgate’ das informações. Dados apresentados em palestras mostram que empresas americanas perdem atualmente cerca de US$ 8 milhões por dia somente com este tipo de crime. São cerca de 300% de aumento deste tipo de prejuízo durante o período de pandemia, o que escancara a necessidade de realizar um trabalho sério e eficiente contra os cibercriminosos.

Falando mais especificamente do Brasil, a pandemia é o maior período de ataques de phishing e malware de toda a história. No início da crise, o Google chegou a identificar aproximadamente 18 milhões de e-mails por dia com algum tipo de malware ou phishing.

Durante a pandemia, 40% das empresas brasileiras já detectaram aumento de ataques digitais em suas estruturas. Além disso, quase metade das empresas nacionais não adotam medidas de segurança digital, e cerca de 15% das companhias brasileiras que já estabeleceram medidas de segurança digital não obrigam os profissionais a cumpri-las.

Obviamente, criminosos digitais sabem dessas brechas importantes de segurança e vivem a vida para explorá-las. Vale ressaltar que o Brasil lidera o ranking de países latino-americanos com trabalhadores sem proteção no celular.

Roubo de contas (account takeover)

Os problemas de segurança da informação apresentados por especialistas e peritos no MRC 2020 fizeram explodir também o número de roubos de contas em ambientes digitais em todo o mundo. Vale lembrar que o roubo de conta é a ação de se obter, ilegalmente, acesso às contas sensíveis das pessoas (como e-mails e contas bancárias, por exemplo) e, por meio de alterações nas credenciais de login, fazer com que a vítima fique sem acesso às próprias contas e informações. Em outras palavras, é uma invasão seguida de roubo.

Os palestrantes do MRC 2020 mostraram como cibercriminosos se aproveitam de desatenções simples para conseguir cometer seus crimes sem muita resistência. Dados apresentados no evento mostram que 91% das pessoas sabem que é ruim usar a mesma senha em diversas contas, mas 66% delas ainda assim disseram que têm este hábito ruim.

Cerca de 53% dizem que não mudaram as suas senhas no último ano, e 47% dos respondentes dizem que usam a mesma senha em contas pessoais e profissionais, o que, obviamente, cria brechas para a ação de fraudadores. Somente no último ano, foram mais de 15 bilhões de dados sensíveis expostos na internet.

As palestras mostraram como é fácil para um criminoso encontrar maneiras de roubar dados restritos. Um exemplo utilizado foi o uso de contas antigas, já que 28% dos consumidores alegam já ter abandonado alguma conta na internet. Para os fraudadores, além de ser mais fácil acessar contas que estão abandonadas, é interessante usá-las para se passar por alguém confiável.

Quando uma pessoa ou instituição se torna vítima de um roubo de conta, a rapidez na identificação do problema é fundamental para que as consequências negativas possam ser amenizadas.

Hoje, existem algumas ferramentas que usam grandes bases de dados para detectar e alertar pessoas, muitas vezes gratuitamente, sobre vazamentos de dados ou tentativas suspeitas de acesso a contas particulares e restritas. Além disso, tecnologias de biometria e segundo fator de autenticação tendem a ser cada vez mais usadas por empresa para autenticar usuários e dificultar a ação de cibercriminosos.

No entanto, o mais importante ainda é a adoção de boas práticas de prevenção que, na maioria das vezes, nem são tão mirabolantes, mas possuem um efeito bastante assertivo para manter os olhos atentos dos cibercriminosos sempre distantes. Dentre essas ações, uso de senhas fortes, de programas antivírus nos dispositivos e cuidados para fornecer dados sensíveis a terceiros seguem como as mais simples e eficientes.

Deep Web

Conhecida como a versão mais profunda e obscura da internet, a Deep Web foi colocada como ponto de atenção por praticamente todos os peritos de segurança que falaram no MRC 2020. Nela, circulam informações ilegais e é onde a prática de crimes mais acontece.

A Deep Web é a parte mais restrita da internet, e não é facilmente acessível. Não basta procurar no Google e ser direcionado para ela. Existem alguns passos para tal coisa: uso de softwares, configurações de rede e até mesmo hardwares específicos dependendo do nível em que o acesso pretende ser feito.

Infelizmente, é muito provável que quase todos os fraudadores frequentem essa camada da internet. Eles adquirem os números de cartões de crédito, contas sensíveis e também criam seus e-commerces para vender os produtos adquiridos através da fraude. Com acesso a esta vasta quantidade de informação, os fraudadores podem escolher os dados que são melhores para a sua atuação, facilitando ainda mais o processo da fraude. Na Deep Web eles criam um ecossistema no qual não há problema em fazer isso.

Dos 15 bilhões de dados expostos na internet citados anteriormente, grande parte está nesta camada obscura da internet, e provavelmente as vítimas dessa exposição só vão saber que os dados delas estão lá quando começarem a sofrer prejuízos e investigar o que acontece.

Segundo os especialistas do MRC 2020, são apenas 9 minutos, em média, entre os dados sensíveis caírem na Deep Web e as fraudes começarem a acontecer. Por isso, a prevenção é o mais importante. A adoção das boas práticas de segurança citadas anteriormente costumam ser bastante efetivas para evitar este tipo de exposição também.

Fake Reviews

Um ponto bem interessante abordado no MRC 2020 é quase uma consequência dos problemas de segurança da informação e roubo de contas anteriormente citados aqui: as fake reviews.

Já muito comuns em vendas relacionadas ao turismo, as revisões e opiniões de usuários têm ganhado cada vez mais importância em outros setores do mercado também, e já são consideradas como argumento de vendas em muitos casos.

Afinal de contas, as pessoas tendem a confiar quando vêem parentes e amigos recomendando algum produto ou serviço, e as revisões de usuários já são tão importantes quanto este tipo de sugestão, de acordo com pesquisas apresentadas por palestrantes.

É um fator tão importante atualmente que 91% dos consumidores dizem conferir este tipo de relato antes de uma decisão de compra, enquanto 84% deles dizem confiar no que lêem. Além disso, cada pessoa tende a ler de 1 a 6 revisões.

Obviamente, como tudo o que passa a ter destaque, tal fato também chama a atenção de fraudadores. Segundo o que foi trazido ao MRC 2020, já existem fraudes nessas revisões (fake reviews). A grosso modo, existem revisões falsas e compradas, apenas com relatos positivos e mentirosos, e também as revisões ruins que são ocultadas.

Estudos de peritos da internet mostram que cerca de 52% das pessoas não confiam totalmente nas revisões de usuários nos EUA, o que se torna ainda mais preocupante quando se coloca nessa equação o fato de que 40% das pessoas alegam que não comprariam de novo se descobrissem que estão em um ambiente com revisões e avaliações falsas.

E isso tudo passa por um valor cada vez mais essencial nas relações de consumo: a confiança. As marcas precisam mostrar a sua confiabilidade e credibilidade para que fique clara a seriedade das revisões e avaliações. Aliás, há ai uma boa oportunidade para aproveitar feedbacks ruins como ponto de partida para melhorias.

As revisões e avaliações precisam ser tratadas como coisas sérias que são, e, como tudo o que envolve a confiança entre empresas e consumidores hoje em dia, precisa ter credibilidade. Postar revisões falsas ou retirar avaliações negativas do ar são praticamente as mesas coisas que cometer uma fraude, e este mindset nunca pode fugir do ‘radar’ das marcas.

Fraudes em Gift Cards

Outro ponto muito interessante abordado no MRC 2020 foi a fraude em Gift Cards (mais conhecidos no Brasil como vale-presente). Apesar de ser muito mais rentável nos EUA do que no Brasil atualmente, a modalidade deve despertar a atenção de soluções antifraude no mundo todo, principalmente pela relevância das cifras que elas já apresentam ao comércio.

Somente nos EUA, os Gift Cards movimentam cerca de US$ 160 bilhões por ano ao comércio, com cerca de 93% da população já tendo oferecido ou recebido um Gift Card de alguém. Estes números, aliás, com a pandemia, só tendem a aumentar, uma vez que é mais conveniente e pode facilmente ser comprado e enviado ao destinatário de forma totalmente digital.

Mas, como já visto aqui, se é rentável, automaticamente seduz fraudadores. E neste ponto os Gifts Cards apresentam alguns riscos consideráveis, uma vez que são poucos dados e vínculos para entender o perfil de quem está comprando legitimamente e separá-lo do perfil de quem está tentando fraudar esta modalidade de comércio.

Fraudadores costumam comprar Gift Cards de alto valor para revende-los em mercados paralelos por preços menores. Ou seja, a pessoa que fará uso do Gift Card muito provavelmente será um consumidor legítimo que pode nem imaginar como ele foi adquirido por quem o presentou. Aliás, pode ser que quem o presenteou nem saiba que aquele Gift Card é produto de uma fraude.

Ou seja, a fraude nos Gift Cards precisa ser identificada exclusivamente no momento da aquisição, e não no uso. Para fazer isso, empresas fornecedoras de soluções antifraude dos EUA têm monitorado cada compra com um olhar mais atento, considerando fraudes em programas de cashback e afiliados como possíveis modelos de aplicação.

Com isso, alguns padrões começam a ser identificados. Como exemplo, foi citado no MRC que compras fraudulentas de Gift Cards costumam envolver altos valores e diversas compras diferentes. Afinal de contas, uma compra como essa, que tem caráter de presentear outrem, pode levantar suspeitas quando é feita em grandes quantidades e em valores muito acima de uma determinada média de mercado para cada segmento.

De qualquer forma, o importante é que há um trabalho cada vez mais atento para evitar fraudes nessa modalidade, o que é até natural para especialistas que falaram sobre isso no MRC 2020. Segundo eles, como a fraude no e-commerce, por exemplo, é cada vez mais contida pelas soluções antifraude, cabe aos fraudadores a busca por outras vulnerabilidades, como essas que encontraram no segmento de Gift Cards nos EUA.