o submundo da fraude no - download.konduto.comdownload.konduto.com/konduto-submundo-da-fraude.pdfmas...

O submundoda fraude noe-commerce

O que vocêencontrará

Introdução

capítulo #1

O cenário do e-commerce:por que existe a fraude?

capítulo #2

As causas da fraude:por que é fácil fraudar?

capítulo #3

Como vazam os dados do cartão?

capítulo #4

O mercado da fraude

capítulo #5

Histórico dos antifraudes

capítulo #6

Futuro da análise de risco

capítulo #7

Sobre a Konduto

3

4

7

10

15

19

25

27

A fraude é um mal que, infelizmente, faz parte do dia a dia de um e-commerce. Atualmente, há criminosos com um alto

nível de especialização para tentar tirar vantagem de brechas de segurança em lojas virtuais dos mais diversos gêneros, causando prejuízos con-sideráveis a empreendedores do mundo inteiro. Estima-se que até 5% de todos os pedidos feitos com cartão de crédito em sites de compra e venda sejam de origem fraudulenta: sim, cerca de 1 a cada 20 compras podem ser feitas por criminosos e/ou pessoas mal-intencionadas.

Por lei, o consumidor está protegido caso tenha o cartão de crédito utilizado indevidamente e não reconheça determinada compra em sua fatura mensal. O problema recai sobre o empreendedor, que deve arcar com o prejuízo daquela operação, além de ficar sujeito a advertências, multas e sus-pensão por parte de adquirentes de cartão, caso a sua taxa de fraudes seja superior a 1%.

A fraude no e-commerce não é uma novidade e nem possui data para acabar: é uma briga entre gato e rato, entre lojistas tentando

defender o próprio patrimônio e garantir a margem de lucro e criminosos que estão sempre tentando driblar as proteções cibernéticas para poderem realizar seus golpes e obter “dinheiro fácil”. Mas a ferida causada pela fraude pode ser minimizada, e o sangramento financeiro causado por estes golpes pode ser estancado, a fim de garantir menos custos operacionais para o e-commerce.

Este é o intuito deste e-book: auxiliar a empreendedores dos mais diversos tamanhos e dos mais variados tipos. Nas próximas páginas, contaremos um pouco mais do cenário do e-com-merce, explicaremos por que este crime se torna cada vez mais comum na internet, os principais tipos de fraude, e também um histórico do combate a esses golpes.

Todo esse material foi produzido graças à experiência que nós da Konduto adquirimos ao longo de nossas carreiras em meios de pagamen-to, ciência da computação, inteligência artificial e publicidade online. Esperamos que você faça bom uso do conhecimento e das dicas que com-partilhamos nas páginas a seguir. Boa leitura!

http://www.konduto.com

O cenário doe-commerce:por que existea fraude?

Tecnologiainovadora parabarrar as fraudesno e-commerce

O cenáriO dO

e-commerce: por que

existe α frαude?

pág. 5


O cenáriO dO

e-commerce: por que

existe a fraude?

pág. 5

O Brasil possui o décimo maior mercado eletrônico do mundo, e a previsão da consultoria norte-americana eMarke-ter é que o setor cresça anualmente com taxas de dois dígitos até 2018, pelo menos. Cada vez mais, empresas

e consumidores migram suas atividades para a compra online, apesar do momento turbulento da economia nacional nos últimos anos.

Estima-se que, só em 2015, o e-commerce nacional tenha movimentado mais de R$ 40 bilhões. E boa parte dessa quantia passou pelo meio de pagamento preferido do consumi-dor brasileiro: o cartão de crédito (mais de 70% dos consumido-res virtuais preferem pagar com cartão), de acordo com levan-tamento divulgado pelo Moip, em parceria com a Keyscores.

São inúmeras as facilidades que o cliente tem ao utilizar o cartão, além de ser a forma mais segura para o consumidor realizar transações online: ele está totalmente protegido caso seja vítima de golpes – diferentemente do boleto bancário, em que os bancos não realizam o ressarci-mento no caso de pagamento de boletos falsos.

O lojista também tem uma série de vantagens quando realiza uma transação com cartão de crédito: a mais óbvia talvez seja a possibilidade do parcelamento (e o consu-midor brasileiro adora parcelar suas compras, o que fatalmen-te impacta positivamente as vendas), mas a mais importante talvez seja a instantaneidade da operação. O boleto bancário,

por sua vez, não garante que a compra será realizada: o cliente pode se esquecer de efetuar o pagamento dentro do prazo ou, então, desistir do negócio.

Mas há um “outro lado”, bastante relevante para o lojista que disponibiliza o cartão de crédito como forma de pagamento. Bancos, bandeiras e adquirentes não se responsa-bilizam pelo risco da operação: toda a responsabilidade é jogada sobre o dono do e-commerce. É a loja quem deve arcar com os custos de chargeback (contestação) em caso de fraude.

Vale ressaltar aqui que este fluxo é diferente quando se trata do “mundo físico” (ou nas transações de cartão presen-te). Neste contexto, quando o cliente vai à loja e digita a senha na maquininha para confirmar a compra, o banco se torna o responsável pela transação e pelo tombo, se necessário.

Por isso que não é raro ver grandes e-commerces tendo fortes dores de cabeça por não estarem devidamente protegidas contra fraudadores - mesmo sendo considerado “normal” um prejuízo de 1% em decorrência de chargebacks. Fora os custos de operação, que acabam aumentando mais do que o esperado.

Assim, cada vez mais, os e-commerces (sejam eles pequenos, médios, grandes ou gigantescos) devem buscar alternativas para se protegerem das fraudes sem que suas vendas online sejam afetadas. Afinal, a esta altura do século 21, “não vender pela internet” já não é mais uma solução viável.


O cenáriO dO

e-commerce: por que

existe a fraude?

pág. 6

As causasda fraude:por que éfácil fraudar?


as causas da fraude:

por que é fácil

fraudar?

pág. 8

V imos no capítulo anterior que o cenário do e-commerce é propício para o acontecimen-to da fraude em transações de cartão não-presente, uma vez que as grandes institui-ções financeiras que estão por trás das operações não assumem os riscos da tran-

sação. Toda a responsabilidade recai sobre os lojistas, que devem arcar com os prejuízos, com os custos de chargebacks (estornos) e com as dores de cabeça.

Mas há um agravante, ainda mais alarmante para o comércio eletrônico: fraudar é fácil – e, especialmente no Brasil, não é uma atividade tão “perigosa” assim.

Já destacamos em nosso blog um artigo assinado pelo jornalista norte-americano Brian Krebs, especialista em segurança da informação, escancarando como é fácil obter dados válidos de (muitos!) cartões de crédito.

Há sites, fóruns e grupos (inclusive em redes sociais) onde criminosos anunciam e negociam pacotes de cartões das mais variadas bandeiras e categorias, além de compartilharem “melhores práticas” para realizarem fraudes.

Em sites assim, é possível comprar por R$ 200 dados roubados de um cartão de crédito com limites que variam de R$ 2 mil até R$ 10 mil. Um fraudador consegue torrar essa quantia em questão de dias (ou horas) e ter um lucro absurdamente alto diante de um “investimento” bastante baixo.

https://blog.konduto.com/pt/2015/10/fast-food-de-fraude-no-ecommerce/

https://blog.konduto.com/pt/2015/10/fast-food-de-fraude-no-ecommerce/

https://blog.konduto.com/pt/2015/10/fast-food-de-fraude-no-ecommerce/%3Futm_source%3Dmkt%26utm_medium%3Debook%26utm_campaign%3Dunderground


as causas da fraude:

por que é fácil

fraudar?

pág. 9

E, pensando mais friamente ainda, chegamos a uma questão muito mais delicada e preocupante: por que os dados de cartões de crédito são vendidos por um valor tão baixo? A resposta é bem simples: porque é igualmente fácil obter essas informações, seja por negligência dos lojistas ou dos próprios portadores de cartões (por se tratar de um assunto bastante extenso, dedicamos o próximo capítulo inteiro a este tema).

Outro fator que dificulta a detecção da fraude é a autenticação do cliente. Hoje em dia, ainda é muito difícil (para não dizer impossível) garantir que quem está do outro lado da tela efetuando uma compra em sua loja virtual é, de fato, o dono do cartão de crédito cujos dados estão sendo digitados no checkout.

Já foi comprovado que soluções mais “óbvias”, como o 3D Secure, possuem uma péssima aceitação junto ao consumidor: mais da metade dos clientes desiste da compra quando vai efetuar um pagamento e um pop up do banco emissor do cartão surge na tela solicitando alguma

confirmação. Ao mesmo tempo, métodos mais “modernos” também são pouco utilizados ou até mesmo questionados.

Não há uma solução universal que garanta a au-tenticação do cliente do e-commerce, fato que beneficia - e muito - a vida dos fraudadores. Afinal, se não é nada fácil saber quem está realizando uma compra pela internet, mais difícil ainda é saber quem é o fraudador.

Além do “dinheiro fácil” que os golpes aos e-com-merces proporcionam, do cenário atrativo e da facilidade em cometer crimes deste gênero, há ainda outro chamariz igual-mente sedutor para o “submundo da fraude”: a ineficiência da Justiça brasileira contra delitos deste gênero.

A legislação nacional, na verdade, ainda engatinha no que diz respeito ao ambiente cibernético - e nem mesmo a sanção da Lei Carolina Dieckmann (12.737/2012), específica para delitos informáticos, foi eficiente e/ou rigorosa no combate à fraude ao e-commerce, apesar de a prática incorrer em crimes como estelionato, falsidade ideológica e muitas vezes forma-ção de quadrilha.

Resumindo: no Brasil, hoje em dia, a fraude ao e-commerce exige baixos custos, permite altos retornos e oferece poucos riscos. E não, nós não estamos fazendo apologia e in-centivando a prática da fraude: apenas comprovando como o cenário brasileiro é propício para esta atividade ilícita que, dia após dia, ameaça o comércio eletrônico do País.

no Brasil, hoje em dia, a fraudeao e-commerce exige baixos custos, permite altos retornose oferece poucos riscos.

como vazam os dadosdo cartão


como vazam os dados

dO cArtãO

pág. 11

N ove a cada dez vítimas de golpes no cartão de crédito já fizeram o seguinte comentário: “Clona-ram meu cartão de crédito, sa-canagem! Poxa, por que logo eu? E como fizeram isso?”

Esta pergunta possui várias respostas. O roubo de dados de cartão de crédito pode ser feito com diferentes estratégias, sejam elas muito simples ou extremamente complexas, em ataques feitos a pessoas “comuns” e até mesmo a um país inteiro.

Vamos explicar aqui um pouco mais sobre cada uma das respostas possíveis:

NegligêNcia do lojista

O armazenamento de números de cartões de crédito de clientes é algo muito mais comum do que deveria nos e-commerces.

Na maioria dos casos não é necessário armazenar tais informações, nem mesmo em casos de conciliação ou até de recorrência. Mesmo assim, sites insistem em manter todos esses dados dentro de casa, muitas vezes sem seguir nenhum tipo de protoloco de segurança. Há casos em que os dados de cartão de crédito de clientes ficam disponíveis em

planilhas ou arquivos de textos para todos os colabo-radores da empresa!

É aí que mora o perigo: não há muita com-plexidade para o roubo das informações. Basta uma pessoa mal intencionada para que dezenas, centenas, milhares de dados de cartões de créditos sejam es-cancarados pela internet.

E o Brasil é um dos países do mundo mais propensos a ocorrências deste tipo. De acordo com o relatório 2015 Cost of Data Breach, divulgado pela IBM e pelo Ponemon Institute, a nossa nação era a mais cotada, dentre as 12 que participaram do estudo, a ter um vazamento de dados em decorrência de falha humana, com um índice de 32%.


como vazam os dados

dO cArtãO

pág. 12

phishiNg

Trata-se de uma tentativa bastante comum de roubo de infor-mações pessoais, e somos expostos a elas várias vezes ao dia - seja como Pessoa Física ou Pessoa Jurídica. Phishing significa “pesca”, em inglês, e tem muito a ver com a maneira como o golpe é realizado: o criminoso lança uma isca (um e-mail, uma mensagem instantânea, um site) e fica à espera de que alguém na frente da tela do computador morda.

E nós sempre mordemos. Estas iscas, que são jogadas para milhões de usuá-

rios de e-mails, messengers, redes sociais ou sites de relacio-namento, muitas vezes se parecem com páginas e formulários de grandes e respeitadas instituições (e muitas vezes também são extremamente mal feitas). O usuário é levado a crer que está em um ambiente totalmente seguro e confiável e digita ali dados pessoais, bancários e até mesmo senhas; ou faz o do-wnload de uma série de arquivos maliciosos que compromete-rão a segurança daquela máquina.

Não se trata (tanto) de um descuido ou de “alguém que foi o culpado”. Para se ter uma ideia, 97% das pessoas não sabem identificar uma tentativa de phishing (fonte: Intel).

hackers: ataques de oportuNidade

Vamos pensar em uma metáfora. Imagine um corredor de hotel e um ladrão tentando encontrar alguma porta entreaber-ta para roubar os pertences de um hóspede. Ele checa todas as portas, uma por uma, e se depara com todas trancadas. Até que… o criminoso se encontra uma porta que ficou entrea-berta. E pior: o hóspede era tão descuidado que deixou uma mala com vários itens valiosos aberta sobre a cama.

Agora vamos transferir para o nosso contexto. Hackers estão sempre à procura de oportunidades

para realizar ataques virtuais, geralmente se utilizando de robôs para testar inúmeras vezes por dia a segurança de milhares de páginas e servidores ao redor do mundo.

O problema é quando alguma fragilidade é detecta-da por este hacker, que se depara com o cenário do típico que explicamos agora há pouco, da negligência do lojista. Vamos supor que o criminoso invada o sistema de uma loja que ar-mazena os dados de cartão de crédito de todos os clientes e não proteja tais informações da maneira adequada.

O estrago está feito. Segundo um estudo realizado pela Verizon, empresa

de telecomunicações norte-americana, 99% das empresas vítimas de ataques hackers já tinham conhecimento de falhas

97% das pessoas não sabem identificar uma tentativa de phishing


como vazam os dados

dO cArtãO

pág. 13

de segurança na rede corporativa de dados um ano antes de o golpe acontecer.

hackers: ataques “profissioNais”

Chamamos de “ataques de oportunidade” o tópico anterior porque há investidas muito mais sofisticadas, complexas e planejadas que já tiveram como alvo empresas gigantescas

– casos das varejistas norte-americanas Target e Home Depot, para citar apenas dois exemplos mais recentes.

No caso da Target, a empresa anunciou em dezem-bro de 2013 que dados de 40.000.000 de cartões de crédito roubados a partir de um vírus instalado nas máquinas de cartão da empresa. No total, estima-se que mais de 110 milhões de pessoas tenham sido afetadas (⅓ da população americana) por conta do vazamento de outros dados pessoais. A terceira maior varejista dos Estados Unidos entrou em crise e teve um prejuízo bilionário.

Não levou mais de um ano do ataque à Target para a Home Depot, que comercializa materiais de construção, também ser vítima de um vazamento enorme de dados de cartões de crédito. Em setembro de 2014, a companhia anun-ciou que 56 milhões de cartões haviam sido vazados. O golpe ocorreu de maneira muito semelhante, em um software ma-licioso instalado em um sistema da empresa.

Esses dois ataques, como muitos outros que estam-pam manchetes em noticiários de tempos em tempos, são muito mais precisos e “profissionais” do que simplesmente a

maioria das investidas oportunistas que acontecem diaria-mente. Mas há um nível ainda mais assustador de ataques cibernéticos.

hackers: “state-spoNsored attacks”

Sim, são ataques patrocinados por governos contra instituições enormes ou até mesmo outros países. E, por isso, são muito mais avançados e perigosos. Afinal, não é qualquer um que conseguiria realizar um ataque ao Google ou ao Governo dos Estados Unidos.

Um caso bastante emblemático ocorreu na metade de 2015, quando o Escritório Norte-Americano de Gestão de Pessoas foi vítima de um gravíssimo vazamento de dados de 18 milhões de pessoas, segundo o FBI. Os Estados Unidos acusaram a China de ter patrocinado o ataque hacker, e a resposta do governo do país oriental nunca foi muito clara. Os chineses rebateram os Estados Unidos alegando que também já haviam sido alvo de ataques cibernéticos no passado.

Nestes casos, dificilmente os dados de cartões de créditos serão o foco dos ataques: os hackers buscam infor-mações ainda mais valiosas, ultrassecretas, que sejam segredo de Estado. No entanto, não é descartado que informações pessoais de clientes ou cidadãos (dependendo do alvo das invasões) sejam roubadas também.

E como se proteger do vazamento de dados?Como vimos, é muito difícil estar 100% protegido do

vazamento de dados, já que há várias maneiras, de diferentes


como vazam os dados

dO cArtãO

pág. 14

complexidades, de isso acontecer. No entanto, no caso das empresas, há algumas “boas práticas” que podem – e devem

– ser seguidas. A primeira talvez já tenha ficado bastante óbvia ao

longo deste capítulo: armazene dados de cartões de crédito apenas se for realmente necessário para o seu negócio. Caso contrário, não há por que manter estas informações com você.

No entanto, se para o seu negócio for vital ter os dados de cartões dos clientes, trate essas informações como ultrassecretas: proteja-as de maneira que sejam criptografadas e restrinja o acesso aos dados e aos servidores que armazenam essas informações somente às pessoas que de fato precisem.

Fora isso, outra maneira básica de reforçar a prote-ção é seguir o padrão estabelecido por bancos e operadoras de cartão de crédito: a PCI DSS (Payment Card Industry - Data Security Standard). Agir de acordo com as normas estabele-cidas não garante 100% de segurança na operação, mas é um avanço considerável.

O PCI DSS é um guia para companhias que proces-sam, armazenam ou transmitem dados de cartões – e as

empresas e funcionários que trabalham sob este padrão devem realizar avaliações periodicamente para manter o certificado. São 12 requisitos básicos, estruturados em seis objetivos maiores:

• Desenvolver e manter uma rede de dados segura; • Proteger os dados dos portadores de cartões;• Manter um programa de gestão de vulnerabilidade;• Implementar medidas de controle de acessos; • Monitorar e testar as redes com regularidade; • Manter uma política de segurança da informação.

O que podemos concluir? São inegáveis os benefícios que a internet e o avanço da tecnologia de maneira geral permi-tiram para a sociedade nos últimos 20 anos. Bilhões de pessoas estão conectadas na grande rede de computadores com as mais diversas finalidades – inclusive criminosos e pessoas mal inten-cionadas, um dos principais ônus dessa evolução.

Infelizmente, é impossível alcançar um nível de segu-rança absoluta na rede – seja como internauta “pessoa física” ou profissionalmente. Para se ter uma ideia, é considerado “normal” no mercado uma taxa de fraude de 1% em e-commerces; faz parte do “risco” do negócio.

Podemos, porém, adotar comportamentos básicos que nos asseguram um nível razoável de proteção e evita que colo-quemos em risco a nossa segurança e do nosso cliente. É impor-tante “fazer a nossa parte”.

110 milhões de pessoas foram afetadas em vazamento de dadosna target, em 2013

O mercadoda fraude


o mercado da fraude

pág. 16

J á falamos anteriormente do cenário atual do e-commerce e dos meios de pagamento e de como o Brasil é uma terra bastante fértil para o surgimento de fraudadores. Também destrin-chamos os principais métodos utilizados por este tipo de criminosos para obter dados pes-

soais e bancários que serão utilizados para aplicar golpes em lojas virtuais.

Agora, vamos à ação! Neste capítulo, vamos explicar quais são os principais

tipos de golpes cometidos por estes criminosos, que realizam tais atividades diariamente - afinal, eles são fraudadores pro-fissionais e não compram produtos ou serviços para uso próprio, mas para a revenda. É o “mercado da fraude”.

testAdOres de cArtões

Um fraudador não obtém dados de apenas um cartão de crédito: na maioria dos casos compra-se por lotes, com in-formações de milhares de cartões - e nem todos ainda per-manecem válidos.

Para “otimizar” a operação fraudulenta, o criminoso verifica quais daqueles cartões estão bons para serem usados posteriormente em sites de compras, dos produtos mais caros que serão adquiridos (eletrônicos, roupas, joias etc). Assim, ele consegue peneirar a lista com milhares de itens e ficar somente com os cartões “quentes” em mãos, que de fato vão funcionar.

Na maioria dos casos, ele recorre a um software que realiza essas validações automaticamente em algum site de transações com ticket médio mais baixo. E neste caso não há escrúpulos: para se ter uma ideia, até sistemas de doações a instituições de caridade são vítimas de testadores, com rela-tiva frequência.

Pensando friamente, sem levar em consideração a questão humanitária importante nesses tipos de crime, pode-ríamos pensar que instituições de caridade não chegariam a ter prejuízo ao serem vítimas deste tipo de fraude - afinal, não teriam nenhum custo de operação ou de produto; elas apenas deixariam de receber as doações, certo?

Errado. Muito errado. Caso apresentem um número elevado de chargebacks, essas instituições de caridade podem receber multas e até serem descredenciadas das adquirentes de cartões de crédito!

fraude de produtos

Como explicamos no início deste capítulo, na maioria dos casos, fraudadores não compram produtos de ticket médio bastante alto para uso próprio. Eles adquirem tais mercadorias sob encomenda e ficam com o lucro (elevadíssimo) da transação.

Por exemplo: um fraudador recebe o pedido de um laptop ultramoderno que, nos maiores sites da internet, tem um preço de aproximadamente R$ 10.499,00. O criminoso, antes de iniciar o “trabalho”, acerta o negócio em R$ 5 mil - menos da metade do valor original, em uma oferta bastante tentadora, mas com pagamento antecipado.

Após receber os R$ 5 mil do acerto, o fraudador acessa o e-commerce, realiza a compra do produto utilizando um cartão de crédito com dados roubados e solicita que a entrega seja feita na casa da pessoa que encomendou o computador. Após a emissão da nota fiscal, comemora o “lucro fácil” da operação.

Um detalhe relevante: por mais profissional e sofisti-cada que seja a fraude, ela acontece na casa do criminoso. Fraudadores normalmente não têm depósito ou um local para estocarem adquiridos e pedem para a própria loja vítima de golpe entregar a compra na casa do destinatário - que pode estar ciente ou não da ilegalidade do negócio - ou de um laranja.

Neste tipo de fraude, os produtos mais visados pelos fraudadores são aqueles de maior ticket médio, pois poderão ser negociados por uma quantia bastante elevada.

fraude de passageNs

Outro golpe bastante comum envolve companhias aéreas ou companhias rodoviárias, utilizando cartões de créditos roubados para emitir bilhetes para dali a poucos dias (ou até mesmo horas). O fraudador, que pode se passar por um agente de viagens, negocia as passagens por um preço bastante tentador, muito abaixo do que é praticado para o mercado, exige o pagamento em uma transferência bancária e só então realiza a compra.

Por se tratar de bilhetes que serão utilizados em um curto espaço de tempo, as empresas não têm tempo hábil para detectar a fraude e cancelá-los. Nestes casos, o chargeback é quase inevitável.


o mercado da fraude

pág. 17

Em alguns cenários, as companhias podem ser ajudadas pelos bancos, que suspeitam da atividade pouco usual para determinado cliente e detectam o golpe, cancelan-do o cartão de crédito no mesmo instante. Mas não é sempre que essa operação é realizada rapidamente.

De todas as formas, não é raro ver muitos passa-geiros serem frustrados no balcão de check-in das compa-nhias aéreas nos aeroportos, por exemplo. Muitas das compras são feitas por pessoas de boa fé, que ficam tenta-das pelo ótimo preço oferecido no negócio e não suspeitam da atividade criminosa do suposto agente de viagens que emitiu aquelas passagens.

fraude de serviços

Além de transporte aéreo ou rodoviário, outros tipos de serviços também são alvos frequentes de fraudadores. Mas, neste cenário, na maioria das vezes, é o próprio criminoso quem usufruirá - desde táxis (comuns ou de luxo contratados a partir de aplica-tivos) até hospedagem de sites dos próprios criminosos.

Afinal, por que um fraudador usar do próprio dinhei-ro para contratar serviços utilizados na operação da fraude se é possível realizar pagamentos com cartões de créditos roubados, não é mesmo?

fraude de softwares e games

De alguns anos para cá, um tipo específico de fraude tem acontecido com muita frequência e chamado a atenção: trata-

se da fraude de “bens digitais”, como softwares, jogos e con-teúdos in-game (como por exemplo vidas, bônus,moedas fictí-cias, boosters, itens especiais e demais conteúdos que podem ser utilizados dentro dos games).

Também neste caso, os criminosos não realizam as fraudes para consumo próprio: os golpes são feitos visando ao lucro, evidentemente. Ou seja: eles fazem os downloads ou as compras desses produtos utilizando cartões de crédito e revendem as senhas ou chaves de acesso em algum market place virtual, por exemplo, ou fazem as negociações dentro de chats dos próprios jogos.

Este tipo de fraude é bastante complexo de ser evitado, uma vez que as empresas precisam decidir em tempo real se uma venda será aprovada ou reprovada. Não há como deixar os pedidos em uma fila de espera para uma revisão manual, pois prejudicaria (e muito) a experiência do bom cliente e a jogabilidade dos games, por exemplo. A tendência é que mais vendas sejam aprovadas, mas há o contraponto da má reputação junto às adquirentes de cartões de crédito.

Não há Negócio “à prova de fraude”.

Como vimos, todos os negócios que estão na internet estão sujeitos a serem vítimas de pessoas mal intencionadas - até mesmo instituições de caridade, por mais inacreditável que possa parecer. Independentemente de o e-commerce vender produtos com ticket médio mais baixo, há sempre o risco de um testador de cartão causar um estrago considerável em seu faturamento.


o mercado da fraude

pág. 18

histórico dosantifraudes


histórico dos

aNtifraudes

pág. 20

A pesar dos inúmeros benefícios de vender pela internet, o risco de golpes foi terra fértil para o surgi-mento de uma solução que certa-mente é desconhecida do grande público em geral, mas uma aliada

importantíssima dos e-commerces: o antifraude.No cenário de constante evolução da internet, essa

tecnologia jamais pode se dar ao luxo de “cruzar os braços”: o combate à fraude é uma guerra diária, que não tem previsão para acabar. Basta um pisão em falso ou um descuido para que toda uma estratégia de análise de risco se transforme em um prejuízo, às vezes, irrecuperável.

Ao longo dos anos, a constante evolução dos golpes virtuais exigiu que os antifraudes também se modernizassem. Confira, a seguir, as principais evolu-ções dessa tecnologia.

cruzameNto de dados

Historicamente, a atividade de análise de risco ficou fortemente atrelada à validação do CPF do cliente junto à Receita Federal ou do número do cartão de crédito em algum banco de dados. Isso não está, necessariamente, incorreto: era assim que a atividade era realizada no surgimento dos primeiros antifraudes, e até hoje essa checagem possui o seu valor. No entanto, muitos anos se passaram desde então: a internet evoluiu, o consumi-

dor evoluiu e a fraude no e-commerce evoluiu demais. E este método, por si só, se tornou ultrapassado.

O cruzamento de informações parte do princí-pio de que apenas o próprio cliente acertaria dados pes-soais como RG, CPF, endereço ou data de nascimento, por exemplo - e, se você errou alguma dessas informações, me desculpe: você não é o comprador verdadeiro e a transação não será aprovada. Só que isso já não é mais verdade: nossos dados não são mais sigilosos (infeliz-mente); a internet sabe muitas, muitas coisas sobre nós.

Por isso, realizar essa triangulação de infor-mações já deixou de ser a maneira mais moderna e mais precisa de detectar fraudes. Veja alguns exemplos de falsos positivos (pedidos “bons” que ficam parados para revisão sob suspeita de fraude) gerados por causa disso:

um criminoso sabe inserir informações em um

checkout da maneira que o e-commerce espera. um consumidor legítimo está

mais propenso ao erro

➊ Um cliente morando em outro Estado faz uma compra online e pede para o pedido ser entregue na casa da namorada. Como o IP do comprador detecta um Estado e o endereço de entrega fica em outro, a compra parece suspeita e vai para a revisão manual;

➋ O nome do destinatário (José F. das Couves) não bate com o nome do portador do cartão de crédito utiliza-do na transação (José das Couves). A compra é apro-vada pela operadora de cartão – afinal, o campo “nome” do formulário digital nunca é validado por ela –, mas o pedido fica em revisão ou é negado pelo antifraude porque os dados não conferem.

➌ Por desatenção, o cliente submeteu um pedido e cometeu um erro de digitação na hora de preencher o campo do CPF: em vez de incluir o número 123.456.789-00, o formulário enviado tinha o valor 123.456.798-08. Como este segundo CPF não confere com os registros na Receita Federal, a compra é negada.

Estas análises, além de arbitrárias sobre “o que é certo e o que é errado”, acabam desprezando um fator bas-tante importante: um bom fraudador tem mais chances de acertar esses dados do que um cliente legítimo. O criminoso sabe escrevê-los exatamente da maneira como o e-commerce espera, enquanto o comprador


histórico dos

aNtifraudes

pág. 21

está propenso a colocar mais (ou menos) informações do que o esperado ou cometer alguns erros.

fiNgerpriNts

Com o passar dos anos, o simples cruzamento de dados do comprador deixou de ser a única estratégia capaz de proteger e-commerces de fraudadores. Assim, nos Estados Unidos, algumas empresas passaram a utilizar uma tecnologia diferente: o fingerprint (ou “impressão digital”). Este método utiliza várias técnicas que com-param diferentes tipos de aparelhos utilizados para a realização de uma compra, partindo de um princípio bem simples: um golpista pode ter dezenas, centenas ou até milhares de identidades roubadas, mas nunca vai ter igual número de computadores.

Em linhas gerais, se várias vendas forem reali-zadas de uma mesma máquina, a suspeita sobre aquelas transações aumenta. Só que há um problema dentro desta técnica: o elevado número de falsos positivos, em decor-rência de computadores compartilhados (como em biblio-

nossos dados não são mais sigilosos; a internet

sabe muitas, muitas coisas sobre nós

tecas, escolas, universidades ou lan houses) ou muito simi-lares (no caso de grandes corporações, que possuem centenas de máquinas com as mesmas características: processador, sistema operacional, navegador de internet etc).

O fingerprint também não é um método 100% confiável para evitar a fraude no e-commerce – para se ter uma ideia, hoje em dia há inclusive emuladores capazes de driblar a proteção. No entanto, trata-se de umas tecnologia bastante eficaz para barrar fraudadores amadores ou, então, testadores de cartões.

motores de regras

Trata-se de uma técnica “complementar” ao fingerprint, e que até hoje é a base do funcionamento de muitos anti-fraudes. O motor de regras funciona a partir de uma con-figuração manual, na qual são inputadas várias informações condicionais para calibrar o modelo. Por exemplo:

• Se [valor da compra > R$ 4.999,99] [ação: enviar para revisão manual];

• Se [endereço de entrega é diferente de endereço de cobrança] [ação: cancelar].

O diferencial dos motores de regras está na quan-tidade de dados disponíveis para quem realiza essa configu-ração: quanto mais regras, mais completo é o antifraude. Se bem programado, o motor de regras se torna uma forma


histórico dos

aNtifraudes

pág. 22

bastante eficaz de realizar a análise de risco e, conse-quentemente, proteger a saúde financeira da empresa diante da ameaça da fraude.

Entretanto, é vital frisar: a inteligência por trás deste modelo é humana, fato que gera três ob-servações bastante relevantes:

• É necessário possuir um funcionário (ou uma equipe inteira) pilotando este motor de regras (o que implica em um custo mais alto);

• O antifraude só é eficaz se constantemente municiado de novas informações, e os colaboradores alocados na pilotagem do antifraude precisam estar sempre em constante atualização;

• O motor de regras é muito sensível: um erro ou uma interpretação equivocada de um dado pode comprometer toda a operação, barrando muitos pedidos legítimos ou expondo a empresa a muito mais fraudes.

machiNe learNiNg

O passo seguinte ao motor de regras é a automati-zação, o aprendizado de máquina (ou machine lear-ning, em inglês): um computador está por trás da


histórico dos

aNtifraudes

pág. 23


O cenáriO dO

e-commerce: por que

existe α frαude?

pág. 24

pilotagem do modelo, captando tendências em larga escala e gerando insights que poderiam ser muito sutis ou complexos demais para um ser humano detectar.

A máquina, todavia, não pode ser “abandonada” pela empresa, na falsa ilusão de que ela sempre funcionará sem a necessidade da intervenção humana. É preciso municiar o modelo constantemente, com novas informações de vendas, clientes e, principalmente, chargebacks.

É a partir desta retroalimentação que o modelo vai evoluindo, autoajustando-se e tornando a análise de risco cada vez mais eficiente. Pode parecer óbvio: se o algoritmo não receber o feedback de erros e acertos, ele nunca vai me-lhorar. Mas isso não é o que acontece, muitas vezes. A negli-gência corporativa pode tornar o modelo bastante eficaz em um sistema decorativo.

comportameNto de Navegação

O machine learning é uma tecnologia fantástica, mas ainda não é a última camada da análise de risco nos dias de hoje. O monitoramento da navegação do cliente no e-commerce é outra ferramenta bastante interessante para otimizar o combate à fraude; e, uma vez ligada ao aprendizado de máquina, o cenário se torna bastante positivo para o lojista, que fica municiado de uma “super ferramenta”.

Com o comportamento de navegação, o algoritmo é abastecido de muitas informações extremamente ricas para a detecção de uma fraude: quanto tempo em média um cliente legítimo navega em seu site e quantos produtos ele observa antes de proceder para o checkout? E um fraudador? Quantas páginas cada um deles visualiza? A página do produto adqui-rido foi acessado a partir de um site de busca ou o tráfego foi direto? Na hora de inserir os dados do cartão de crédito utili-zado para a compra, o consumidor digitou os números ou copiou e colou?

Todas essas informações são armazenadas e lidas pelo antifraude de machine learning: milhões de page views são capturados diariamente, e o computador consegue iden-tificar milhares de padrões de seus internautas. A detecção da fraudes atinge um novo patamar, muito mais precisa e baseada em dados.

A detecção de fraudes atinge um novo patamar, muito mais precisa e baseada em dados

futuroda análisede risco


futuro da aNálise

de riscO

pág. 26

T anto a fraude em si como as tecnologias antifraudes já atingiram níveis tecnológicos bastante avançados. Mas, se tivéssemos que apostar em projeções a médio-longo prazo, o combate a esse tipo de crime deve passar a ser feito na causa do problema, e não no

final do ciclo – que é onde a análise de risco acontece atual-mente. “Cortar o mal pela raiz”, com o perdão do clichê.

Ou seja: se quisermos acabar mesmo com os golpes online, será necessário evitar que o fraudador alcance a posição privilegiada dos dias de hoje. É lógico: se os dados de cartões de crédito não vazassem, não seria possível realizar este tipo de fraude; se os crimes fossem de fato punidos, também (supostamente). Mas vamos nos ater à questão tecnológica, nosso core de atuação.

Cortar a oferta de dados de cartão de crédito no mercado não é uma tarefa nada simples. É um desafio enorme, e empresas gigantes do mundo inteiro tentam desenvolver soluções capazes de proteger essas informações e manter o e-commerce muito mais seguro. Por exemplo: a Apple desen-volveu o ApplePay, que criptografa os dados do cartão; alguns bancos já lançaram uma espécie de cartão virtual, “descartá-vel” e válido para somente uma transação; a Gemalto produziu um cartão físico com um código de verificação (CVV) dinâmi-co, com uma espécie de token acoplado ao plástico…

As inovações que parecem mais precisas levam em consideração a tokenização ou a função de mão única (one way hash). Ambas têm a mesma finalidade, que já menciona-

mos aqui neste e-book: não armazenar os dados de cartão de crédito dos clientes - ou não de uma maneira tão exposta e passível de vazamento, como um arquivo .CSV disponível para toda a rede corporativa.

Outra tendência que vem sendo bastante estudada ultimamente é o 2FA, ou Segundo Fator de Autenticação – solicitando, por exemplo, uma confirmação via-SMS para o comprador após o envio do pedido. Esta tecnologia é bastan-te eficiente para barrar uma transação fraudulenta, mas que, ao mesmo tempo, pode ser um tanto incômoda para o cliente legítimo, que precisaria garantir que “é ele mesmo” quem está realizando aquela compra.

De qualquer maneira, uma coisa é certa: a fraude seguirá existindo, pelo menos a médio prazo. E o combate a ela deve continuar acontecendo, dia após dia, sem qualquer relaxamento por parte das empresas e das soluções disponí-veis no mercado.

S omos uma startup brasileira fundada em 2014 que criou um antifraude diferente de tudo o que já existia à época no mercado. A partir da nossa experiência com e-com-

merce, meios de pagamento, publicidade online e inteligência artificial, desenvolvemos uma tecnologia completamente ino-vadora para ajudar os e-commerces.

Partimos do princípio de que o comportamento de um usuário em um site dizer muito sobre o real interesse que ele tem em adquirir um produto ou serviço. Em muitos casos, para a análise de risco, a navegação de um internauta em uma página significa muito mais do que dados cadastrais, números de do-cumento ou um cartão de crédito.

Em menos de dois anos, alcançamos a marca mensal de 1 milhão de transações analisadas, 62,5 milhões de page views capturados (mais de 750 milhões anualmente) e ajudamos a melhorar a operação de centenas de clientes, das mais diver-sas indústrias. Nossa tecnologia comprovadamente reduziu o número de chargebacks e de falsos-positivos, ao mesmo tempo em que mais pedidos eram aprovados. Tudo isso com o preço de centavos por análise realizada e sem qualquer custo de inte-gração para o lojista. Ou seja: menos custos, menos fraudes e mais lucro!

Caso a sua empresa esteja sofrendo com um elevado número de fraudes, ou caso queira se prevenir e proteger a saúde financeira do seu e-commerce, entre em contato conosco! Mande um e-mail para [email protected] e nos conte o seu problema, que o nosso time comercial fará de tudo para te ajudar! So

br

e a

o submundo da fraude no - download.konduto.comdownload.konduto.com/konduto-submundo-da-fraude.pdfmas...

Documents