Por Gabriel Glisson
Como resultado dos esforços de pesquisa e geração de conteúdo, que também fazem parte das atividades do time de Digital Engineering do AllowMe (empresa da Tempest que ajuda as organizações a protegerem as identidades digitais de seus legítimos clientes através de uma plataforma completa de prevenção a fraudes), foi desenvolvido um e-book que mostra o panorama do mercado brasileiro no ambiente de comércio eletrônico.
Neste estudo, Gabriel Glisson, Analista de Segurança da Informação do AllowMe, traz os principais tipos de fraudes que ocorrem no e-commerce e explica como aplicar a chamada Tríade da Prevenção à Fraude – Detecção, Aprendizado, Prevenção – tão importante para definir as estratégias que serão utilizadas no mundo dos negócios.
Um breve resumo sobre e-commerce no Brasil
No início da década de 90, com a popularização da internet a todo vapor nos EUA, surgiram as primeiras empresas de e-commerce (comércio eletrônico) no mundo. Duas delas, Amazon e eBay, foram além e propuseram uma nova experiência unindo o mundo físico e o digital. Essas empresas têm como objetivo colocar o consumidor em evidência, não sendo mais necessário que ele vá até uma loja física para adquirir um produto, ou seja, a mercadoria, por meio do comércio eletrônico, irá até o cliente, propagando, assim, uma nova experiência de compra para o usuário.
No Brasil, um dos primeiros relatos de e-commerce (comércio eletrônico) foi a Booknet. Fundada por Jack London em 1995, tendo como carro chefe a venda de livros, garantido entregas em até 72 horas e com a possibilidade de pagamento na entrega. Em 1999 foi adquirida pelo Submarino, que hoje faz parte do grupo B2W (Business To World), líder de market share no Brasil, conforme ilustra a figura.
Falando um pouco de números
A pandemia estimulou a criação de novos hábitos, principalmente, devido ao distanciamento social e a necessidade de Home Office e EAD. Assim, a necessidade de adequar o ambiente de vivência para um ambiente que possibilitasse a realização dessas tarefas, gerou uma alta demanda por utensílios, exemplos: mesas, cadeiras e computadores. No entanto, a impossibilidade de ir até uma loja física, ajudou o e-commerce no Brasil a alcançar a marca histórica de mais de R$ 87 bi em vendas em 2020. Como analisamos abaixo, foi um crescimento de 41% em relação a 2019 e 490% em comparação a 2010.
O aumento de pedidos foi justamente um dos principais responsáveis por esse crescimento. Só em 2020 foram 194 milhões de pedidos realizados. Crescimento de 31% em relação a 2019 e 385% comparando-o com 2010, como demonstrado no gráfico:
Não somente os pedidos ajudaram nesse crescimento, mas o ticket médio também aumentou em comparação aos anos anteriores e chegou ao recorde de R$ 452,00. Percebe-se que o comportamento de ascendência dessas duas variáveis é inédito nos últimos 10 anos:
Os segmentos com maiores crescimento em faturamento são:
Saber como o usuário chega até as lojas de segmentos é um passo importante para planejar a quantidade de esforço necessário para evitar contas de suportes “fake”, no qual os fraudadores estão criando contas se passando por funcionários das empresas. Esse é um exemplo de fraude muito atuante no mercado e que anda fazendo diversas vítimas. Possivelmente, um dos motivos do “sucesso” deste tipo de fraude é a descentralização dos canais de atendimento. No gráfico a seguir, visualizamos que hoje, em média 15% dos usuários utilizam as redes sociais para chegar até as lojas e 6% via e-mail marketing (utilização do e-mail como ferramenta de marketing direto). Se realizarmos a soma entre rede social mais e-mail marketing chegamos em 21%, muito próximo ao site de buscas, que gira em torno de 23%.
Tipo de autores e seus objetivos
Os números falam por si, o sucesso das vendas já é realidade, a tendência é manter esse crescimento exponencial positivo. Infelizmente, as tentativas de fraudes costumam ser diretamente proporcionais a esse crescimento. Ressalto, que estou falando de tentativas, já a efetivação delas depende de cada um de nós, tanto pessoas que trabalham para prevenir quanto para usuários dos e-commerces, sendo que esse último grupo engloba a todos nós.
Fazendo um paralelo com os últimos tempos que estamos vivendo, foi solicitado à população diversas ações visando evitar uma super demanda por leitos de UTIs nos hospitais. Segue alguns exemplos: isolamento social, higienização das mãos, limpeza de objetos, uso de máscaras, entre outros. Isso tudo se chama Prevenção. São tarefas simples, mas que se demonstram bastante efetivas no combate ao COVID-19.
Levando esse exemplo em consideração, é de extrema importância comunicar e educar os usuários, levando informações de como se prevenir de fraudes e ter um canal de atendimento direto para esse tipo de assunto. Não podemos ter medo de “assustar” os usuários com isso, pelo contrário, os usuários se sentem mais seguros quando uma plataforma se preocupa com a segurança deles. A falta de ação poderá ser considerada omissão e “manchar” a imagem da plataforma, prejuízo pior do que somente um chargeback (estorno).
Mas afinal, o que é uma fraude? Ao pé da letra, fraude é qualquer ato ardiloso, enganoso, de má-fé, com o intuito de lesar ou ludibriar outrem. Também é possível resumir da seguinte forma: obtenção de vantagem sobre uma vítima, podendo utilizar-se de diversos artifícios para lograr êxito.
A seguir, listamos os principais tipos de fraudes que ocorrem em e-commerces:
-
Fraude do cartão
Um dos golpes mais comuns e antigos. As credenciais do cartão de crédito são compradas na Deep web (área da Internet que possui pouca regulamentação) e as mercadorias são enviadas a agentes de fretes, dificultando a identificação do comprador do produto em questão.
Em alguns casos, proxies de internet são usados para mascarar o IP de forma internacional e esconder a origem desse tipo de ação. O proxy é um servidor que atua como intermediário entre os clientes e outros servidores, e é útil para o fraudador manter o seu anonimato.
-
Account takeover (ATO – Roubo de Conta)
Nesse caso, o golpe ocorre quando os fraudadores se apossam das credenciais de login de um cliente legítimo e aproveitam os cartões de crédito armazenados para realizar compras. Normalmente, ocorre troca de dados cadastrais, logo após o fraudador conseguir realizar o login com sucesso, seja alterando o telefone para não alarmar o dono da conta ou o endereço de entrega das mercadorias.
-
Triangulação
Assim como ilustra a figura ao lado, a ação envolve três partes: o fraudador, o comprador legítimo desavisado e a loja idônea. Uma loja online é criada pelo fraudador, em uma plataforma legítima, oferecendo produtos de alta demanda a preços extremamente baixos. A loja coleta o pagamento pelas mercadorias que vende.
O lojista fraudador usa dados de cartões roubados e nomes coletados em pedidos em sua loja “real” para comprar produtos na loja idônea e enviá-los aos clientes.
-
Mallory
Mallory, é um personagem muito utilizado nas explicações de criptografia, representa um atacante ativo em uma comunicação. Ele pode e deseja intervir, ativamente, na comunicação para forjar mensagens ou alterar dados.
Nessa modalidade, os fraudadores criam ordens nas quais o faturamento e o envio correspondem ao endereço vinculado ao cartão de crédito. O objetivo é interceptar o pacote de uma das seguintes maneiras: entrando em contato com o remetente para redirecionar o pacote para um endereço onde eles possam receber os bens oriundos de fraudes, ou, ainda, há casos em que o fraudador vive próximo ao endereço de cobrança do titular do cartão. Desse modo, ele espera pela entrega e oferece para assinar o pacote, pois o proprietário não está disponível.
-
Falsidade ideológica
Os fraudadores assumem a identidade de outra pessoa, criam cartões de crédito em nome da vítima e, assim, realizam as compras. Mesmo parecendo algo mais difícil de ocorrer, na verdade, trata-se de uma modalidade que vem crescendo bastante, acompanhando as constantes ondas de vazamentos de dados.
-
Teste do cartão
Um golpe que testa as informações adquiridas, via deep web, de um cartão de crédito. Os fraudadores dão preferência para os sites que revelam uma resposta diferente para cada tipo de declínio. Por exemplo, quando um cartão é recusado devido a uma data de vencimento incorreta, uma resposta diferente é fornecida. Desse modo, os fraudadores sabem que precisam apenas encontrar a data de vencimento. Isso geralmente é feito de forma mais automatizada, e as tentativas de transação acontecem rapidamente e com um baixo valor, pois o foco aqui é validar o cartão e não receber o produto. Pode ocorrer em conjunto com o Account takeover, utilizando contas já “consagradas” nas plataformas, para não levantar suspeitas.
-
Auto fraude
Muito recorrente nas plataformas. Na Auto fraude um comprador online faz uma compra e, em pouco tempo, emite um estorno alegando que o seu cartão de crédito foi roubado. O retorno do dinheiro geralmente ocorre depois que as mercadorias já foram entregues.
-
Fraude familiar
Nesse caso, o fraudador pode ser um filho, esposa, primo ou alguém do convívio. Normalmente ocorre quando a vítima deixa os cartões em um local de fácil acesso. O fraudador, sem a vítima perceber, tira uma foto para poder utilizá-lo em futuras compras sem o consentimento da mesma.
-
Enumeração de contas
Essa é bastante semelhante com o teste do cartão e o ATO, só que, dessa vez, os “insumos” adquiridos são as contas (usuário + senha). O objetivo desse tipo de fraude é utilizar os dados adquiridos/vazados para localizar contas em outras plataformas, visando os usuários que reutilizam senhas. Os fraudadores, por meios automatizados, começam a realizar tentativas de logins em diversas plataformas, tabulando os retornos positivos e negativos, podendo comercializá-los ou utilizá-los.
-
Simetria
Os fraudadores criam lojas nas plataformas e anunciam produtos que não possuem. Após isso, realizam a criação de cadastros de compradores e em posse de cartões roubados começam a fazer compras em suas lojas. Como fazem todo o procedimento de “envio” do produto e o recebimento, acabam recebendo o valor quase que integral desses produtos inexistentes, pagando somente as taxas das plataformas, facilitando a lavagem de dinheiro.
-
Cadastro descartável.
Fraudadores realizam cadastros de pessoas que não existem, aproveitando-se da falta de verificação do onboarding. Com um cadastro feito, ele poderá praticar diversos tipos de fraude já citados acima, exemplos: poderá utilizar esse cadastro no teste de cartão (6), Simetria (10), Mallory (4), Fraude do cartão (1).
-
Falso comprovante de pagamento.
O fraudador faz o pedido no site, não paga, entra em contato com o vendedor(a) e informa que já realizou o pagamento e anexa um comprovante falso na conversa. Paralelo a isso, o vendedor(a) recebe um e-mail, também falso e muito parecido com o layout do e-commerce, informando que o pagamento do pedido X foi efetuado com sucesso e que é para ele(a) enviar o produto ao comprador(a).
Tríade da Prevenção à Fraude
Quem já ouviu a frase “não há fraudes no meu e-commerce” ou até mesmo “o meu negócio é muito pequeno, os fraudadores estão interessados nos “peixes” grandes”. Infelizmente, essas são afirmações que podem levar a um prejuízo enorme. Como já vimos, há diversos tipos de fraudes. Portanto, sempre que possível devemos nos perguntar: Será mesmo que não estamos “tomando” fraude, ou será que estamos olhando direito?
A Detecção é parte fundamental no processo de mitigação do risco, é a partir dessa etapa que será possível identificar os tipos de autores e as vulnerabilidades presentes na sua plataforma.
O Aprendizado será essencial para registrar o comportamento dos fraudadores e entender os seus modus operandi facilitando, assim, a detecção, fornecendo insumos para a prevenção. Entender o perfil do seu usuário é fundamental para facilitarmos a vida do bom usuário e dificultamos a vida do usuário ruim (fraudador), melhorando a experiência e aumentando a segurança. Isso é de extrema importância para evitar fricções.
A imagem ao lado ilustra como funciona a tríade de prevenção à fraude.
Após detectar as ameaças e aprender com ela, chegou a hora da prevenção. É nesse momento em que serão definidas as estratégias que serão utilizadas para minimizar os impactos e dificultar ao máximo a ação dos fraudadores.
Portanto, olhar para os comportamentos anômalos (detecção), registrar esse comportamento (aprendizado) e começar a definir as estratégias que serão utilizadas para combater os vetores de ataque, é um ótimo caminho inicial para obter um bom resultado no processo de prevenção.
Quer saber como aplicar a tríade da prevenção a fraude para mitigar esses 12 perfis? Clique aqui e baixe o E-book completo.
https://conteudo.allowme.cloud/e-book_fraudes-nos-e-commerces-visao-brasil
Referências
EBIT | Nielsen. [S. l.], 30 nov. 2022. Disponível em: www.ebit.com.br. Acesso em: 30 nov. 2022.
KONDUTO | BoaVista. [S. l.], 30 nov. 2022. Disponível em: blog.konduto.com.br. Acesso em: 30 nov. 2022.