Com a crescente adoção do internet banking e a popularização massiva do comércio eletrônico, os criminosos cibernéticos estão agindo de forma cada vez mais organizada para fraudar empresas e enganar os consumidores finais.
Não é novidade para ninguém que o crime cibernético está se tornando cada vez mais organizado, com direito a estruturas hierárquicas que lembram empresas tradicionais. Um ótimo exemplo disso é o fenômeno do ransomware-como-serviço (ransomware-as-a-service ou RaaS, no original em inglês). Estamos falando de sindicatos gigantescos que desenvolvem malwares de sequestro digital e o “licenciam” para terceiros realizarem seus próprios ataques, dividindo os lucros de um eventual confisco bem-sucedido. Dessa forma, até quem não possui conhecimentos técnicos pode sequestrar dados de um alvo.
Pois bem: saiba que o mesmo modelo está sendo replicado para fraudes e causando prejuízos astronômicos para os setores financeiro e varejista. Golpistas estão se reunindo em organizações estruturadas e oferecendo serviços de fraude sob demanda para criminosos “novatos” que não possuem experiência ou recursos o suficiente para lucrar o suficiente com scams. Geralmente, tais quadrilhas operam com sede física em regiões e territórios de difícil acesso aos órgãos da lei, tornando sua prisão uma tarefa desafiadora.
É a ascensão dos grupos de fraude-como-serviço (fraud-as-a-service ou FaaS). Flexíveis, esses sindicatos aceitam “encomendas” diversas e muitas vezes até mesmo oferecem testes gratuitos ou políticas de “sua satisfação ou seu dinheiro de volta”. Embora suas operações contem com recursos de ponta para garantir a segurança de seus integrantes, é fácil encontrá-los e contratar seus serviços: basta se aventurar por fóruns e comunidades específicas de cibercrime na dark web.
Um negócio de baixo investimento e alto retorno
Antes de mais nada, é importante ressaltar que cometer fraudes é um negócio de baixo investimento, pouco (ou nenhum) risco e alta lucratividade para os criminosos cibernéticos. Estudos revelam que a porcentagem de retorno sobre o investimento (ROI) de uma campanha fraudulenta pode chegar a absurdos 900%. Afinal, o custo inicial para adquirir um banco de dados com 1 milhão de credenciais é de apenas R$ 1 mil; com o uso de bots, mesmo se apenas mil logins forem válidos e for possível extrair R$ 10 de cada uma dessas contas, ele conseguirá, no fim do dia, R$ 10 mil.
Vale ressaltar que estamos imaginando um cenário “desfavorável” — a taxa de acerto costuma ser bem maior do que essa, tal como o “ticket médio” de uma identidade digital comprometida. Além disso, por conta da transformação digital acelerada que estamos vivendo, é crescente o número de internautas que adotaram o comércio eletrônico para realizar compras e o internet banking para efetuar transações financeiras.
Junte a falta de familiaridade do usuário final com tais tecnologias e a ausência de bons recursos de proteção de dados de muitas lojas virtuais ou fintechs e você tem o cenário perfeito para scammers. Levando todos esses pontos em consideração, não é de se espantar que a fraude-como-serviço, embora já existisse há anos, registrou um aumento súbito de atividade ao longo dos últimos três anos, já sendo considerada por especialistas como uma das modalidades de cibercrime mais preocupantes da atualidade.
Quem perde mais?
Para piorar o cenário, é interessante notar que, embora as fraudes financeiras causem danos tanto para o usuário final quanto para as empresas, as corporações geralmente são as que mais sofrem prejuízos financeiros com tais atividades maliciosas. Imagine uma compra fraudulenta feita em uma loja virtual — o varejista terá que arcar com as despesas do produto perdido, com a contestação da transação junto à instituição financeira (geralmente, a emissora do cartão de crédito/débito) e com os chargebacks no fim do mês.
Quando imaginamos uma operação fraudulenta em grande escala (que pode ocorrer a qualquer momento ou de forma sazonal, como na Black Friday), a situação torna-se ainda mais desesperadora.
Estratégias para sufocar o crime organizado
Felizmente, existem algumas estratégias que você pode adotar para minimizar os riscos de ser vítima das gangues de FaaS. A primeira delas é limitar a velocidade de checkouts e as tentativas de entrada de dados. A maioria das operações fraudulentas empregam bots, que são claramente mais ágeis do que um ser humano na hora de carregar um carrinho de compras e tentar invadir contas através de tentativa e erro.
Com tais limitações, fica mais fácil bloquear compras feitas por tais robôs e, consequentemente, detectar um ataque de FaaS — implementando tal medida, será fácil desestimular um criminoso cibernético.
Também é crucial trabalhar com a mesma mentalidade zero trust (jamais confiar, sempre verificar) que já é utilizada internamente por muitas empresas para autenticar seus usuários para proteger a identidade digital de seus clientes. Neste aspecto, a inteligência artificial pode ser uma grande aliada: aposte em análises comportamentais e verificações automatizadas para validar se um cliente conhecido está fazendo uma compra de um valor compatível com seu perfil, a partir de qual tipo de dispositivo e de qual localização geográfica.
Por fim, investir em monitoramento de marca também é importante. Hoje em dia, diversas plataformas já oferecem serviços que vasculham menções sobre sua loja ou instituição bancária na dark web, adiantando planos de grupos criminosos para uma campanha direcionada. Com tal inteligência em mãos, fica mais fácil garantir que seus consumidores não caiam em phishing ou reforçar sua infraestrutura anti-bot.
–
A Agility oferece uma solução gerenciada completa de Gestão Avançada de Ameaças, saiba mais em: https://somosagility.com.br/xaas/gestao-avancada-de-ameacas/