Paygilant Archives - Protiviti

A Operação Singular 2, deflagrada pela Polícia Federal (PF) na semana passada, tem entre seus principais alvos fraudadores focados em crimes financeiros, como roubo de dados e clonagem de cartão de crédito. Além de danos morais e financeiros às vítimas, estima-se que esse tipo de fraude – o cartão de crédito clonado – seja responsável por um prejuízo anual de R$ 125 milhões ao comércio e às instituições bancárias.

A clonagem de cartões de crédito não é um crime trivial, e envolve organizações com grande abrangência nacional e técnicas avançadas para o roubo de dados. Por conta disso, é necessário ter bastante atenção para manter os dados bancários seguros e evitar ter um cartão, seja ele físico ou virtual, clonado. Abaixo estão algumas recomendações do consultor de Inteligência de Ameaças da Protiviti, Juan Riquelme Marin Santos.

Sete dicas para evitar ter o cartão de crédito clonado


Use cartões virtuais: hoje, a maior parte dos bancos e operadoras de cartão de crédito permite que seus clientes gerem cartões virtuais temporários e permanentes para compras online. Este recurso garante maior segurança nas negociações, mesmo em sites grandes e conhecidos. O cartão virtual temporário pode ser sempre a melhor opção, já que esta função permite que o cartão se extinga pouco depois da realização da compra.

Evite utilizar cartões em pequenos estabelecimentos: algumas quadrilhas usam sistemas para roubar dados de cartões em máquinas de pagamento. Segundo o especialista, pequenos estabelecimentos e vendedores ambulantes são os mais propícios a carregar este tipo de sistema em suas maquininhas. Nestes locais, uma opção é pagar com o Pix.

Cubra o teclado para digitar a senha: essa dica não é nova, mas não deixa de ser bastante útil. É possível que quadrilhas instalem câmeras de forma estratégica em estabelecimentos, incluindo bancos e caixas 24 horas, para capturar a digitação de senhas. Portanto, é importante dificultar a visualização de suas senhas, incluindo em caixas eletrônicos para evitar ter o cartão de crédito clonado.

Não entregue o cartão para terceiros: é comum que o lojista peça o cartão em casos em que a transação não é aprovada de primeira. Essa prática pode permitir que os dados do cartão sejam capturados por uma câmera, permitindo o roubo de dados. Também é possível que a transação seja levada para uma máquina mais distante da visão do cliente, o que também pode permitir o roubo de dados bancários.

Não acredite em ligações do banco alegando fraudes: desde meados da semana passada, o banco Itaú tem veiculado uma propaganda alertando sobre o golpe do portador. Caso alguém entre em contato com você alegando ser funcionário do banco, não faça nada do que for pedido e, em hipótese alguma, entregue seu cartão para alguém que se apresente como portador do banco, mesmo que o cartão esteja picotado.

Saiba em quais momentos sua senha poderá ser exigida: sua senha só será exigida em caixas eletrônicos, em compras físicas, na maquininha de cartão, e para confirmar transações bancárias pelo aplicativo do seu banco, como uma transferência pelo Pix. Qualquer caso diferente disso, deve ser encarado com atenção, porque pode ser golpe.

Fique de olho na fatura: os bancos permitem que seus clientes acompanhem suas transações em tempo real. Essa dica não é sobre evitar uma clonagem, mas como descobrir de maneira mais rápida caso uma fraude seja realizada. Caso verifique qualquer compra estranha ou que não se lembre, entre em contato com o banco imediatamente e informe que não reconhece determinada compra, informando data, valor e local em que ela foi realizada

* Juan Riquelme Marin Santos, consultor de Inteligência de Ameaças da Protiviti

Fonte: Canal Tech

A biometria comportamental é um modelo altamente disruptivo para a detecção e rompimento de fraudes em plataformas digitais. Ao detectar fraudes em tempo real, milissegundos após o login do usuário, este sistema permite tomada de decisão em tempo real para bloqueio de transações e de usuários. E esta característica, além de melhorar sensivelmente os modelos antifraude das organizações, também tem o potencial de reduzir os gastos totais com mecanismos de proteção.

Grande parte das empresas utiliza modelos transacionais para a detecção de fraude, ou seja, modelos que coletam dados de uma transação que são avaliados em bureaus, modelos de regra de decisão ou de aprendizado de máquina e retornam uma pontuação de risco. Geralmente estas soluções são cobradas por transação. E os valores não são baixos. Há empresas que gastam dezenas de milhões de Reais por ano para garantir a segurança dos seus processos, enviando todas as operações para avaliação. E é neste momento que a biometria comportamental pode fazer a diferença na redução dos custos

Por ser uma solução de assinatura anual e fixa, atuando durante a navegação do usuário, ou seja, antes da transação ser realizada, a pontuação de riscos em tempo real permite que, ao se chegar na transação, aquela sessão já tenha sido identificada em seu grau de risco de fraude. Logo, sessões com baixo ou alto risco podem ser tratadas sem necessidade de envio para modelos transacionais, deixando apenas as sessões com pontuação pouco firme para a identificação da fraude.

Para exemplificar, vamos supor que a biometria comportamental identifique claramente que há uma apropriação de cadastro, onde o fraudador consegue acesso a uma sessão de usuário, rapidamente altera dados de endereço, e-mail e executa uma transação de compra com o uso de robôs. Este comportamento será certamente detectado como alto risco de fraude e, por isso, a transação sequer precisaria ser endereçada para modelos transacionais, reduzindo gastos com essas plataformas.

Um outro exemplo seria o onboarding de novos clientes. Se o fraudador está usando um dispositivo com sistema de automação para cadastros em massa, acessa dezenas ou centenas de sessões nele e realiza os cadastros com uma fluência anormal na digitação das informações, a biometria comportamental irá provavelmente tratá-la como alto risco, não sendo necessário enviar os dados do cadastro para validação de veracidade. Além disso, por conta dos recentes vazamentos de dados, é bem provável que modelos transacionais aprovem o cadastro, pois o fraudador estaria usando informações roubadas.

Sendo assim, modelos de biometria comportamental para detecção de fraudes além de terem a capacidade de detectar fraudes em tempo real e com maior assertividade, também podem ser usados para redução dos gastos gerais das estruturas de antifraude das organizações.

* Rodrigo Castro é diretor executivo da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.

Sendo uma tecnologia que detecta as fraudes em tempo real, sem ser notada pelo usuário, com alta precisão e antecipação e em conformidade com a LGPD, a biometria comportamental deveria ser a primeira opção para empresas que buscam romper a fraude em suas plataformas digitais.

Porém, a falta de conhecimento sobre o assunto, bem como o desconhecimento sobre as empresas que prestam tal tipo de serviço, levam as empresas a escolherem os modelos tradicionais de prevenção de fraudes baseados na coleta e análise de dados pessoais dos usuários. Este artigo visa explicar melhor o que é a biometria comportamental e qual o potencial dela para os negócios.

No campo da avaliação de comportamento, existem 3 grandes blocos de solução:

Para todas essas soluções, é essencial o uso de modelos de aprendizado de máquina dinâmicos, que conseguem se adaptar ao longo do tempo. Tome como exemplo os dados biométricos.

Muitos celulares usam modelos de reconhecimento facial para liberação de uso. Os modelos dinâmicos devem aprender quando o usuário cortou o cabelo, se maquiou, colocou óculos, fez a barba e a sua dinâmica de envelhecimento. Modelos dinâmicos são fundamentais para trazer maior precisão e rapidez na autenticação.

Na analítica comportamental os modelos coletam e avaliam as atividades dos usuários durante as interações na web ou em aplicativos. Ou seja, esta tecnologia foca em “o que” o usuário está fazendo e não em “como” o usuário faz.

Se um cliente acessar de forma consistente o aplicativo móvel de um banco todas as manhãs para verificar seu saldo, mas uma noite acessar através de um laptop e fizer algo diferente de verificar o saldo, esse padrão de atividade será observado. Se o mesmo cliente geralmente transfere uma determinada quantia da conta corrente para a poupança no mesmo dia de cada mês, mas em um determinado mês inverte as contas, esse comportamento também é observado.

Já a biometria comportamental foca em como o usuário performa as suas atividades em um dispositivo. A biometria comportamental funciona compreendendo as interações dos usuários com seus dispositivos móveis e desktops, revelando qualquer atividade que se desvie dos padrões normais de uso. Por exemplo, se o celular de um usuário é roubado e o ladrão acessa o aplicativo bancário, a biometria comportamental irá detectar que a pessoa que está interagindo tem outro comportamento que não o padrão.

Assim, poderá bloquear o acesso ou magicamente pedir a confirmação de informações não previstas cotidianamente. A biometria comportamental traça uma identidade do usuário em segundo plano, sem qualquer fricção ou atividade complementar dele.

A prevenção da fraude é levada a outro patamar com a biometria comportamental, já que esta tecnologia permite a detecção do fraudador em tempo real, sem que haja qualquer fricção no processo para o usuário e com alto nível de precisão.

Rodrigo Castro, Diretor Executivo da Protiviti

Apesar da crise econômica dos últimos anos o e-commerce no Brasil segue em alta, conquistando fatia de mercado do comércio tradicional. Porém, à medida que este canal aumenta participação no mercado, cresce também a atratividade para ações ilícitas, como fraudes no e-commerce.

Segundo o Serasa Experian, as fraudes são a maior causa de fechamento de lojas virtuais no Brasil. Quando se fala em fraudes no e-commerce, o ambiente virtual é o tema comum, com assuntos recorrentes que tratam desde a invasão das lojas virtuais para roubo de dados, ataques para indisponibilidade do site, sequestro de banco de dados e fraudes nos meios de pagamento, com foco no cartão de crédito. A gestão de vulnerabilidades no ambiente de TI é importante, mas não é a única porta de saída para grandes perdas no comércio eletrônico. O fluxo comercial, desde o cadastro do consumidor final até o pós venda, pode conter fragilidades relevantes e que devem ser levadas em consideração.

Para identificar e conter processos fraudulentos, o monitoramento integrado de transações é uma ótima ferramenta. Este mecanismo avalia atividades do cliente durante todo o fluxo de compra, comparando-o com comportamentos estatísticamente normais para avaliar se a atividade realizada é suspeita. Além disso, pode-se criar listas restritivas com base em históricos comprovados de fraude, para identificar novos casos.

Vamos avaliar um caso de fraude em potencial. Um cliente antigo realiza uma alteração cadastral de endereço, email e telefone. Posteriormente, realiza uma compra relevante e paga via cartão de crédito. Um monitoramento de transações no meio de pagamento pode falhar na checagem deste pedido, mas um monitoramento integrado do cadastro e da compra, pode detectar um padrão suspeito e bloquear o envio do pedido.

Em projetos para canais de e-commerce, a Protiviti identificou um caso onde 1 cliente realizou 33 devoluções de compra no período de um ano. Os produtos eram jogos de videogame. Porém, houve casos de clientes que chegaram a mobiliar a própria casa, se aproveitando de fragilidades no processo de devolução de mobiliário, que normalmente não coleta o item enviado por conta de limitações logísticas. Com um monitoramento integrado de transações, tanto os novos pedidos como as solicitações de devolução poderiam ser bloqueadas para uma avaliação mais detalhada.

Os principais processos a serem integrados no monitoramento de transações são o cadastro, pedido de compra e o pós venda, contemplando o insucesso de entrega, solicitação de troca e devolução do item. O sistema pode utilizar-se de modelos estatísticos pré definidos ou aplicar tecnologias como inteligência artificial e big data. O monitoramento pode ser online ou por pacote de dados. Independente do grau de tecnologia e periodicidade, esta solução é de fundamental relevância para o comércio eletrônico.

* Rodrigo Castro é diretor executivo da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.

Apesar da crise econômica dos últimos anos o e-commerce no Brasil segue em alta, conquistando fatia de mercado do comércio tradicional. Porém, à medida que este canal aumenta participação no mercado, cresce também a atratividade para ações ilícitas. Como evitar fraudes na logística reversa do e-commerce?

Segundo o Serasa Experian, as fraudes são a maior causa de fechamento de lojas virtuais no Brasil. Quando se fala em fraudes no e-commerce, o ambiente virtual é o tema comum, com assuntos recorrentes que tratam desde a invasão das lojas virtuais para roubo de dados, ataques para indisponibilidade do site, sequestro de banco de dados e fraudes nos meios de pagamento, com foco no cartão de crédito. A gestão de vulnerabilidades no ambiente de TI é importante, mas não é a única porta de saída para grandes perdas no comércio eletrônico. O fluxo comercial, desde o cadastro do consumidor final até o pós venda, pode conter fragilidades relevantes e que devem ser levadas em consideração. Mas fraudes na logística reversa do e-commerce também são um risco a ser considerado.

O pós venda é um processo tipicamente frágil, onde grandes fraudes podem acontecer. Segundo reportagem do The Huffington Post, aproximadamente 9% das mercadorias compradas online são devolvidas pelos clientes. Dados da consultoria ICTS, com base em projetos realizados no Brasil, dão conta de devoluções da ordem de 3% a 10% do total de vendas. Este número pode variar de acordo com as características do produto e com o nível de controle da operação logística. Equipamentos eletrônicos, telefonia e informática têm índices mais baixos. São produtos “commoditizados”, cuja experiência de compra pode ser feita antes da aquisição. Vestuário, cuidados pessoais e móveis aparecem na outra ponta, devido a problemas de avaria no transporte e falta de padronização do item, que podem gerar insatisfação do consumidor. O índice de devolução apenas expõe o risco potencial de perdas da empresa.

Em projetos para canais de e-commerce, a Protiviti identificou um caso onde 1 cliente realizou 33 devoluções de compra no período de um ano. Os produtos eram jogos de videogame. Porém, houve casos de clientes que chegaram a mobiliar a própria casa, se aproveitando de fragilidades no processo de devolução de mobiliário, que normalmente não coleta o item enviado por conta de limitações logísticas.

Para identificar e conter processos de devolução fraudulentos na logística reversa do e-commerce, o monitoramento de transações é uma ótima ferramenta. Este mecanismo avalia não só o histórico de devoluções do cliente, mas outras métricas que podem trazer indícios de fraude. Endereços de e-mail com nomes aleatórios, um CPF registrado em vários endereços de entrega e vice versa, são variáveis a serem consideradas na análise do pedido de devolução. A partir da identificação e confirmação destes eventos, os elos da cadeia se tornam mais despertados para a implantação de mudanças nos processos, reduzindo as brechas para fraudes.

*Rodrigo Castro é diretor executivo da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.

Nos últimos anos, as empresas passaram por um processo de digitalização intenso dos canais de contato direto com o cliente, principalmente no comércio eletrônico e nos bancos. Muitas startups surgiram com soluções para problemas dos consumidores, o que facilitou muito as nossas vidas. E para facilitar a nossa vida, muitas dessas plataformas digitais buscam a melhor experiência do usuário, o que significa ir direto ao ponto, sem rodeios. Porém, na esteira dos clientes, também há os fraudadores que se aproveitam dessa simplicidade para perpetrar golpes e lesar as pessoas. Controlar os processos digitais pode afetar essa experiência?

Apesar de serem a vasta minoria, os criminosos causam grandes estragos quando encontram brechas.

E para evitar isto, algumas empresas criam etapas de segurança em seus processos digitais que podem diminuir a qualidade da experiência do usuário nas plataformas. Resta então a pergunta: será que estes controles realmente pioram a experiência do usuário?

Para começar este texto, quero citar 3 exemplos da vida real. O primeiro são os bancos de varejo. Quem ainda é cliente de agências físicas sabe que o processo de acessar as agências não é fácil.

O torniquete de entrada, o vigilante armado, as restrições de saque em grandes volumes são fricções que dificultam a experiência do cliente. Outro exemplo são as companhias aéreas. Pegar um vôo talvez seja um dos processos com maior fricção e com a pior experiência de usuário que existe. O processo de embarque é desgastante, com filas imensas e todo o processo de colocar a bagagem na esteira, retirar o laptop da mala, tirar vestimentas com metal e depois ter que colocar tudo de novo, para depois chegar no portão de embarque e aguardar longas filas novamente para mostrar o documento e embarcar.

Esses processos existem por conta de imposições regulatórias ou por riscos materializados nestas empresas em algum momento. É fato que alguns deles poderiam ser repensados, mas existem pelo propósito de evitar eventos severos aos clientes e às empresas que já passaram por inúmeras situações. De certa forma, estes controles também trazem conforto para o usuário que pode ter uma maior sensação de segurança e tranquilidade.

No caso das plataformas digitais, isto não é diferente. A experiência do usuário deve ser priorizada, mas não em detrimento da sua segurança e a da empresa. Logo, é importante que a fricção exista para evitar a materialização de danos por fraudes nos processos digitais. Mas, por serem relativamente novas, estas empresas passaram por poucos eventos de risco e, por isso, ainda não se protegeram adequadamente.

Aqui vão mais 2 exemplos ilustrativos, mas reais. Numa plataforma que permite o usuário ter uma carteira digital para pagamentos e recebimentos, a vinculação de um cartão de crédito é feita apenas pelo cadastro do número do cartão, código de segurança e data de vencimento. Todas essas informações estão disponíveis na via física do cartão de crédito de qualquer pessoa. Ou seja, basta ao fraudador ter acesso a um cartão de crédito qualquer, que ele pode cadastrá-lo e usá-lo.

Para inibir esse risco, bastaria solicitar uma ou duas informações adicionais que não estivessem no cartão, como o CPF do titular e o CEP de cobrança. No outro exemplo, uma plataforma de banco digital permite concluir uma transação qualquer sem solicitar a digitação de senha ao final do processo. Ou seja, se um celular é roubado desbloqueado e o fraudador consegue acesso ao aplicativo do banco, pode executar inúmeras transações sem qualquer problema.

Estes exemplos mostram como ainda os canais digitais estão expostos a riscos relativamente simples de serem mitigados, pela falsa dicotomia entre segurança e usabilidade. O usuário quer uma plataforma fácil e intuitiva, mas também quer ter segurança e tranquilidade ao lidar com o seu dinheiro e suas compras. Ser fraudado é um processo desgastante e que gera grande insatisfação. Por isso, é tempo das plataformas digitais repensarem seus mecanismos de gestão de riscos, entendendo que eles jogam a favor do usuário e não o contrário.

* Rodrigo Castro é diretor executivo da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.