Cibercriminosos ambiciosos estão indo grande com FaaS - Fraude como serviço
Tabela de Conteúdos
- O que é fraude como serviço?
- O que torna o FaaS diferente da fraude comum?
- Como os comerciantes podem se proteger da FaaS?
- O que você precisa saber sobre Faas
- O que é a dark web?
Por mais tentador que possa ser imaginar fraudadores online como moradores de porões desajustados que recorrem a uma vida de crimes cibernéticos devido à falta de outras habilidades comercializáveis, isso simplesmente não é o caso.
Os fraudadores que estão constantemente encontrando vulnerabilidades ocultas, elaborando novos golpes e roubando bilhões por ano são inteligentes, sofisticados e organizados. Na verdade, a fraude online tornou-se um modelo de negócios próspero — “Fraude como serviço”, ou FaaS. Como funciona a FaaS na prática e o que os comerciantes podem fazer para se defender quando os fraudadores unem forças para lançar ataques organizados?
A fraude continua sendo um dos problemas mais persistentes e prejudiciais para os comerciantes de comércio eletrônico, e o custo continua subindo: Para cada dólar fraudulento gasto, o custo real para o comerciante é mais de três vezes maior, e para muitos comerciantes essa proporção aumentou em média 7% em 2020. Enquanto isso, as tentativas de fraude e as taxas de sucesso também estão aumentando.
Uma das razões pelas quais a fraude é tão cara é porque quase sempre resulta em chargebacks. Quando uma compra fraudulenta é contestada e concedida uma chargeback, o comerciante perde o custo da mercadoria, o valor da transação, as taxas de chargeback e o tempo e mão-de-obra que gastaram fazendo a venda e lidando com a disputa. O pior de tudo, cada chargeback conta contra a taxa de chargeback do comerciante. Uma taxa de chargeback excessiva pode levar processadores de pagamento e adquirentes a cortar laços com o comerciante, deixando-os incapazes de aceitar pagamentos com cartão sem concordar com as taxas exorbitantes cobradas pelos processadores de pagamento de “alto risco”.
Saber que os fraudadores estão organizando e otimizando seus esquemas pode fazer com que o problema pareça ainda mais assustador, mas lembre-se que conhecimento é poder. Quando você entende como os fraudadores operam, você pode estratégias contra eles de forma mais eficaz.
O que é fraude como serviço?
O que uma operação faas oferece é essencialmente um serviço fraudador para aluguel. Se um criminoso cibernético quiser assumir uma conta online, acessar números de cartão de crédito roubados ou lançar um ataque de botnet,eles não têm que aprender a phish, hack e programar bots por conta própria. Eles podem apenas entrar em contato com um provedor faas que vai lidar com todos os detalhes confusos para eles.
Comprar bots e credenciais de pagamento roubadas de outros criminosos cibernéticos não é novidade, mas o que torna o FaaS diferente é que ele foi projetado para funcionar como um negócio legítimo faria.
As organizações faas oferecem atendimento e suporte ao cliente, fornecem testes gratuitos e garantias de devoluções monetárias e se envolvem em pesquisa, desenvolvimento e treinamento em novas e mais eficazes formas de fraude. Os provedores de FaaS são tipicamente encontrados na dark web, operando fora depaíses e jurisdições que são menos propensos a desligá-los e processá-los. Onde quer que os indivíduos por trás deles residam, seu alcance é global, e eles muitas vezes cooperam uns com os outros para facilitar a conversão de dados digitais roubados em dinheiro duro.
Embora este tipo de negócio seja relativamente novo para o domínio dos pagamentos, você já pode estar familiarizado com alguns de seus antecessores. O mais comum são os falsos seguidores das redes sociais. Um indivíduo motivado pode criar milhares de contas falsas administradas por bots em qualquer plataforma de mídia social. Pelo preço certo, essas contas falsas podem segui-lo ou compartilhar suas postagens.
Há também hackers com acesso a botnets, um grande número de computadores infectados por um vírus que foi projetado para passar despercebido pelo usuário. Esses botnets podem ser contratados para realizar um ataque DDoS em um determinado site, desligando-o temporariamente. O FaaS é o próximo passo lógico, combinando esses modelos de negócios da dark web com a já comum compra e venda de informações de pagamento roubadas.
O que torna o FaaS diferente da fraude comum?
Os comerciantes que recebem fraudes nem sempre serão capazes de dizer se foram vítimas de um lobo solitário ou de uma sofisticada organização FaaS. Os métodos e ataques que eles usam não são diferentes ou únicos — embora os grupos FaaS sejam mais propensos a ter acesso aos métodos e softwares mais recentes e insidiosos.
O perigo real da FaaS é que, ao fornecer organização, consistência e acessibilidade a qualquer pessoa antiética o suficiente para contratá-los, cria uma infraestrutura e cultura que permite que a fraude cresça e se torne ainda mais lucrativa.
Não é difícil imaginar um cenário onde um pequeno comerciante com um produto único e altamente procurado de repente fica sobrecarregado por ataques faas em grande escala. Já vimos crises semelhantes acontecerem com consoles de videogame e placas gráficas de computador, onde indivíduos e equipes usaram programas sofisticados para comprar todo o estoque disponível desses produtos. Embora essas pessoas fossem cambistas em vez de fraudadores, não é difícil imaginar uma organização da FaaS fazendo basicamente a mesma coisa, mas desta vez com informações de pagamento roubadas.
Devido à sua perspectiva mais de longo prazo sobre fraude como um negócio, os provedores de FaaS geralmente são inteligentes e de alta tecnologia o suficiente para escolher seus clientes e alvos cuidadosamente e cobrir bem seus rastros. Na grande maioria dos incidentes, os comerciantes nunca terão uma boa maneira de descobrir se um grupo faas estava ou não por trás de qualquer instância de fraude.
Como os comerciantes podem se proteger da FaaS?
Como o FaaS usa os mesmos métodos, ferramentas e táticas que fraudes comuns — embora geralmente de forma mais eficiente e organizada — não há truques especiais para combatê-la. O que os comerciantes devem fazer diante dessa nova ameaça é usar as mesmas melhores práticas para prevenção de fraudes que sempre foram recomendadas, complementadas com ferramentas antifraude escolhidas e calibradas para se adequarem aos seus negócios.
Aqui estão alguns dos passos fáceis que os comerciantes podem tomar para reduzir a fraude:
- Proteja as contas dos clientes exigindo senhas fortes.
- Não autorize pagamentos sem um jogo AVS/CVV
- Cuidado com indicadores comuns de fraude (ou use uma ferramenta que faça isso automaticamente) e revise manualmente as ordens sinalizadas antes de processar
- Mantenha seu software de carrinho de compras (e outros programas que lidam com processos sensíveis) atualizados e corrigidos regularmente
Quando se trata de proteger contas de clientes, os requisitos típicos de senha são insuficientes. Embora muitos negócios online estejam ficando cada vez mais específicos sobre os tipos de caracteres que devem ser incluídos, o fator mais importante para a segurança da senha é o comprimento. Definir um mínimo de 10 ou 12 caracteres para senhas ajudará a evitar a quebra e desencorajar o reutilização da senha. Na verdade, dizer diretamente aos clientes durante a criação da conta para não reutilizar uma senha que eles usam para outro serviço provavelmente é uma boa ideia, mesmo que muitos clientes ignorem esse aviso.
A autenticação de dois fatores é outra maneira importante de proteger as contas dos clientes, e novos métodos de autenticação estão surgindo o tempo todo. Os comerciantes agora podem oferecer aos clientes a capacidade de se autenticar usando uma mensagem de texto, o aplicativo Google Authenticator ou informações biométricas, como uma impressão digital ou selfie.
Se as medidas antifraude falharem, como inevitavelmente falharão de tempos em tempos, e uma transação fraudulenta for processada, o titular do cartão real certamente entrará com um chargeback assim que perceber o que aconteceu. Quando a verdadeira fraude ocorreu, o comerciante não tem legitimidade para combater o chargeback e representar a transação. A única maneira de evitar o chargeback e evitar o aumento da sua taxa de chargeback é evitar que fraudes aconteçam em primeiro lugar.
O que você precisa saber sobre Faas
O FaaS é mais uma evolução no problema crescente da fraude do comércio eletrônico. Toda vez que comerciantes e empresas de cibersegurança aprendem a corrigir uma vulnerabilidade ou identificar um novo esquema de fraude, os fraudadores se desentenderam para descobrir como contornar as defesas mais atualizadas ou enganar os consumidores que pegaram em sabedoria o mais recente esquema de phishing.
A prevenção de fraudes é um dos pilares de qualquer forte estratégia de defesa de chargeback. Embora muitos chargebacks sejam eles mesmos fraudulentos por natureza e possam ser combatidos e espancados com as provas certas, os verdadeiros chargebacks de fraude têm uma base legítima e os comerciantes têm que tomar uma posição proativa para afastá-los. Empresas de gerenciamento de chargeback respeitáveis sempre trabalharão com comerciantes para avaliar seu perfil de risco de fraude e criar recomendações para ferramentas, práticas de prevenção e outras soluções que podem ajudá-los a evitar se tornarem vítimas de fraudadores, sindicatos faas sofisticados e tudo mais.
PERGUNTAS FREQÜENTES
O que é a dark web?
A dark web é um termo para sites que não se permitem ser indexados por mecanismos de busca e exigem que certos softwares ou credenciais acessem. Sites na dark web geralmente hospedam atividades ilegais, como marketplaces para números de cartões de crédito roubados.