O ciclo da fraude transacional

Pensando em uma fraude de transação, seja ela financeira, cartão de crédito, débito, internet banking, programas de pontuação ou na saúde em consultas, exames, internações, ou outros tipos de transações que envolvam algum tipo de benefício que vale a pena fraudar, o processo até a sua efetivação tem uma sequência e muita gente envolvida.

A fraude pode ter início no porteiro do prédio que recebe correspondência com os cartões dos moradores, no funcionário do banco que ajuda um idoso, no atendimento do contact center com acesso a informações confidenciais, no posto de gasolina com uma “maquininha” de cartões alterada, em um telefonema malicioso solicitando dados e assim vai, já vimos todas essas e muitas outras.

Dentro do contexto do roubo de informações, o que mais dificulta é que não podemos atuar nos equipamentos e costumes dos nossos clientes, onde abrem brechas que não podemos evitar, somente prevenir.

Nas organizações, financeiras ou não, muito se tem feito e investido para proteção, desde ações proativas de segurança bem como a procura por entender o cliente e assim agir na prevenção de possíveis mudanças no comportamento que poderiam apontar para uma fraude.

Mas ainda falta a visão do todo e a integração de várias áreas em busca de fechar todas as portas.

ATORES

A fraude tem início com os ATORES, que podem ser hackers, funcionários, colaboradores, ou pessoas envolvidas com o ambiente.

Temos a tendência a pensar que sempre seremos vítimas de hackers, mas é muito mais comum a fraude interna com vazamento das informações ou roubo de dados dos nossos clientes que são induzidos ao erro.

MOTIVAÇÃO

Quando pensamos em MOTIVAÇÃO, podemos elencar várias:

  • Vingança
  • Insatisfação
  • Dinheiro
  • Aliciamento
  • Facilidade
  • Negligência exposta
  • Muitas outras

AÇÃO

Tendo os ATORES e MOTIVADOS, se gera a AÇÃO.

A maioria dos ataques tecnológicos não ocorrem por quem criou o “vírus” pois é só comprar na deep web e na dark web, mesmo no caso de uma fraude que teve início por pessoal interno ou por roubo dos dados induzindo o usuário ao erro, não são efetivadas por quem roubou, elas ocorrem porque existem fatores externos que levam o ATOR a roubar a informação ou plantar algo no sistema e depois repassar a terceiros, esses sim “especialistas em fraudar”.

Vamos tomar como exemplo extremo a baixa remuneração de um atendente de contact center, junto com um tratamento inadequado pela organização e um aliciamento, foi aberta uma brecha para um acesso à informação sigilosa, pode parecer estranho, mas já presenciamos algumas.

Ou uma outra forma em que foi ofertado a um motorista de táxi o uso de uma máquina de cartão modificada pagando a ele o triplo que ele iria receber pela captura dos dados de quem usasse, um acesso por onde menos se espera.

Hoje, temos a captura de dados dos cartões sem contato em bolsos e bolsas dos portadores por equipamentos enquanto você anda em um shopping ou rua, esse é o exemplo das novas tecnologias de NFC onde se transaciona somente por aproximação. 

VULNERABILIDADES

De posse das informações começam os ataques às VULNERABILIDADES.

Todas as empresas têm um arsenal de ferramentas para proteger o perímetro, a maioria das áreas de Segurança de Informação (SI) atuam de forma eficiente, aqui falamos em tecnologia. 

Mesmo assim sabemos que algo vai falhar, veja não estou dizendo que pode falhar e sim que vai falhar, afinal sempre estamos frente a algo novo, como novas tecnologias sendo implantadas, ou novos sistemas sendo criados e nem sempre testados corretamente com relação a VULNERABILIDADES, bem como sistemas legados com brechas de segurança.

É nesse momento que tem início a busca pela oportunidade, pequenas transações fraudulentas que passam despercebidas ou são desconsideradas pelo baixo impacto, anomalias sistêmicas que não são levadas a sério, em geral são ações de baixa exposição apenas para testar as proteções.

ATAQUE

Estando certos de que a vulnerabilidade existe, começa o ATAQUE, que pode ser rápido para tirar o maior lucro possível até que seja bloqueado ou lento e constante, imperceptível no curto prazo.

Dentro do quadro acima temos várias áreas da empresa que devem trabalhar em conjunto, Diretoria, RH, Tecnologia da Informação (TI), Segurança de Informação (SI) e Prevenção a Desvios, Perdas e Fraudes e podemos incluir Compliance também.

Muitas vezes tudo começa com a sensibilização da Diretoria em investir na segurança, no treinamento dos colaboradores e clientes, no apoio as áreas de SI, Prevenção e Compliance.

É muito comum ver empresas conviverem com um nível “aceitável” de fraude “mensal” pois é mais barato(?) para a Diretoria do que investir na proteção, isso pode parecer “surreal”, mas é mais comum que se imagina, aqui temos um exemplo real:

Fomos chamados a fazer uma avaliação e palestra em uma empresa que sofria uma fraude mensal em torno de R$ 10 mil a R$ 20 mil, às vezes até um pouco mais, fizemos uma proposta para parar esse “gotejamento”, mas não fui levado à sério.

Passado um ano, essa empresa anunciou no mercado que estaria transferindo (vendendo) sua carteira de clientes para uma empresa maior.

ATAQUE – nesse momento sofreu um ataque que levou a uma perda por volta de R$ 2 milhões, quando fomos chamados novamente para barrar a fraude.

Recentemente estávamos desenvolvendo um trabalho onde uma fraude de R$ 70 mil mensal era aceitável, mas já estavam tomando R$ 140 mil e mesmo assim internamente havia discussões que prolongavam o início do trabalho de prevenção.

Para quem gosta de um bom filme que no caso é sobre o “Panamá Papers” (NETFLIX), alguns pontos comentados acima ocorrem:

  • Um ATOR interno MOTIVADO
  • Os proprietários (DIRETORIA) do escritório de advogados Mossack Fonseca admitindo que deviam ter investido mais em tecnologia de segurança
  • A AÇÃO do roubo de informações em razão das VULNERABILIDADES
  • E o ATAQUE feito pelo jornal alemão Süddeutsche Zeitung 

Mas voltando ao foco de fraude transacionais, em várias organizações percebemos que a identificação da fraude acaba sendo reativa, somente se dão conta quando o cliente reclama.

Apoio a Segurança da informação e Prevenção a Desvios, Perdas e Fraudes

Hoje, com o “aquecimento” do tema as organizações estão atuando com duas frentes: a de Segurança da Informação (SI) e a de Prevenção a Desvios, Perdas e Fraudes. 

Mesmo a área de SI acaba sendo dividida em duas, pessoas mais ligadas a TI e outras ligadas ao negócio.

A be.MAV nesse contexto passou a atuar em duas frentes:

  • Apoio tecnológico a SI com soluções que fogem do conceito de perímetro
  • Prevenção contra transações fraudulentas

No apoio a SI:

Proteção contra ciberataques através do perfil do comportamento dos serviços que estão rodando, dessa forma se um serviço começa a ter um processamento que foge do usual, alertas são dados. 

Quando isso ocorre é porque as defesas do perímetro não foram suficientes.

Proteção através da criptografia dos dados sensíveis podendo atuar em conjunto com as regras de acesso da gestão de identidade.

Nesse caso também podemos dizer que as defesas de perímetro falharam ou estamos lidando com problemas internos.

Essa solução também é efetiva no caso de LGPD (Lei Geral de Proteção dos Dados).

Conversão do legado a um custo justo onde o no novo código são verificadas as vulnerabilidades além da eliminação de código morto.

Então, sabendo que de alguma forma todas as proteções poderão ser sobrepujadas, entramos com a Prevenção a Desperdícios, Perdas e Fraudes, no nosso caso focado nas características do negócio e no comportamento do cliente.

Muitas organizações, principalmente as que detectam uma fraude de forma reativa, necessitam do apoio da Tecnologia da Informação (TI), portanto, em razão da carga de trabalho dessa área, implementar barreiras de regras de negócio nem sempre ocorrem em tempo.

Apoio a área de Prevenção a Desvios, Perdas de Fraudes

Considerando isso e com foco a dar velocidade a esses profissionais para atuar rapidamente sem necessitar de ajuda da TI, a be.MAV oferece:

Motor de regras para processar lotes de transações – muitas organizações alegam não ter fraudes, mas por atuarem de forma reativa, quando a fraude aparece, não há mais o que fazer, isso sem contar as fraudes que passam desapercebidas. 

Por outro lado, as áreas que têm a função de prevenção, não tem uma visão clara do comportamento do cliente e, portanto, não estão preparadas.

Utilizando um processamento de lotes por períodos definidos e implantando regras lógicas de comportamento dos usuários, é possível começar a entender e perceber se desvios estão ocorrendo.

Recentemente, fizemos um trabalho na área da saúde, focado em perdas e desvios, processamos lotes de transações efetivadas e constatamos vários casos do uso indevido pelo portador, médicos e clínicas.

Motor de regras para processar transações em “near real time”existem transações que podem ser negadas a posterior ou tipos de negócios em que é aceitável perder na primeira transação e efetivar o bloqueio das fraudulentas que vierem a posterior.

Aqui atuamos com nosso motor processando regras de proteção e identificando uma transação em desacordo, com um escore alto de possibilidade de fraude, nesse caso damos um alerta conforme a estratégia do cliente.

Grandes bancos com alto volume de transações atuarem dessa maneira, enviando um SMS para o cliente e agindo quando esse o cliente acusar desconhecer a transação.

Motor de regras atuando junto com o autorizador – nesse caso em tempo de liberação da transação, nosso motor vai processar todas as regras e o perfil do usuário e estabelecer um escore de criticidade, ficando por conta do autorizador liberar ou não a transação.

Essa é uma situação que se encaixa perfeitamente no caso de Internet Banking, transações de alto valor ou situações onde é 100% claro ser uma fraude.

Marco Vidalsócio fundador da be.MAV, veja aqui o perfil no LinkedIn.

Especialista em Tecnologia da Informação, em 2009 foi atuar na ASG onde se envolveu com meios de pagamento e prevenção a fraudes, participando depois da Startup Zelox junto com o CPqD focada em prevenção a desperdícios, perdas e fraudes, o que deu origem em 2014 a be.MAV, mantendo a parceria com o CPqD.

Quer saber mais, estamos à sua disposição.