Frandes são um grande desafio para empresários. Você pode oferecer um produto muito procurado, conquistar clientes fiéis e manter um atendimento excelente, mas nada disso protege sua empresa de fraudadores que tentam invadir as contas dos usuários. As fraudes de violação de conta é uma das formas mais comuns de roubo de identidade, responsável por 53% de todas as fraudes em 2019. Esse tipo de fraude é um dos maiores riscos para as empresas. As fraudes de violação de contas custaram US$ 25,6 bilhões às empresas dos EUA em 2020, um aumento de 500% em relação a 2017, segundo a Juniper Research. Essas violações de conta podem prejudicar a reputação da empresa e a confiança de seus clientes.
Como o volume de dinheiro perdido por fraudes de violação de conta cresce a cada ano, as empresas online precisam de um plano para detectar e bloquear golpistas antes que eles ataquem. Confira aqui o que você precisa saber para detectar e evitar fraudes de violação de conta.
Neste artigo:
- O que é fraude de violação de conta (ATO)?
- Tipos de fraude de violação de contas
- Como a fraude de violação de contas prejudica as empresas
- Formas de detectar e evitar fraudes na violação de contas
O que é fraude de violação de conta (ATO)?
A fraude de violação de conta, também conhecida como comprometimento de conta, acontece quando um fraudador assume o controle da conta de um cliente legítimo para extrair dados da conta ou retirar dinheiro. Isso pode acontecer em qualquer tipo de conta online, das contas bancárias às contas de entrega de comida. Dependendo do tipo de conta comprometida, o fraudador pode usar as informações extraídas para se passar pelo cliente e abrir uma nova conta bancária, pedir um novo cartão de crédito, resgatar pontos de recompensa ou fazer pedidos em sites de compras ou entregas de restaurantes. Também pode usar os dados obtidos para acessar outras contas ou vender as informações da conta para outros golpistas.
Tipos de fraude de violação de contas
Um estudo de 2020 do Aite Group descobriu que 38% dos consumidores dizem ter sido vítimas recentemente de fraude de violação de conta. Esse tipo de fraude pode assumir diversas formas.
Phishing
Os golpes de phishing geralmente ocorrem por e-mail ou SMS. O cliente recebe uma mensagem solicitando doações ou dados pessoais, ou solicitando que clique num link ou anexo que instala malware automaticamente em seu dispositivo.Malware
Softwares mal-intencionados, conhecido como malwares, são softwares intrusivos feitos para danificar ou obter acesso não autorizado a um dispositivo. Um trojan é um tipo de malware que assume o controle do dispositivo de um usuário, permitindo que hackers interceptem informações, como dados de contas bancárias ou cartões de crédito. Os trojans bancários móveis são feitos especificamente para roubar contas bancárias, muitas vezes mostrando uma página falsa que imita o online banking real. Nessa página, o golpista obtém a conta do usuário e dados de acesso.Listas de credenciais
Usar listas de credenciais de usuário comprometidas ou roubadas para invadir uma conta é um tipo de ataque que pode ser chamado de repetição de violação. Como muitas pessoas usam as mesmas combinações de nome de usuário e senha para várias contas, descobrir credenciais para uma conta pode permitir que os hackers acessem várias contas.Hackeamento de credenciais
Tentar diferentes combinações de nome de usuário e senha até que uma seja desbloqueada é o hackeamento de credenciais ou ataque de força bruta. Os golpistas geralmente usam listas de senhas comuns criadas por bots para encontrar uma senha válida, ou usam bots para tentar diferentes combinações de caracteres aleatórios até descobrirem a senha de um usuário.Ataques de intermediário
Um ataque man-in-the-middle (MITM), ou intermediário, acontece quando o golpista encontra uma maneira de se posicionar entre o usuário e um aplicativo que ele está tentando acessar, como um site de comércio eletrônico ou aplicativo bancário móvel. Uma forma comum desse tipo de ataque é oferecer uma rede de wifi e roubar as credenciais de login, dados da conta e números de cartão de crédito de pessoas que tentam se conectar à rede.Sequestro de sessão
Assumir o controle da sessão quando um usuário entra em um serviço online é chamado sequestro de sessão. Por exemplo, se um usuário acessa sua conta numa loja online para fazer uma nova compra, o sequestrador pode roubar todos os dados de cartão de crédito necessários para fazer compras.Troca de chip
O golpista entra em contato com a operadora de celular e se passando pela vítima, convencendo um funcionário da central de atendimento a transferir o número de telefone da vítima para outro chip. Com o controle do número de telefone da vítima, o golpista consegue acessar dados bancários ou realizar transações que exijam autenticação por SMS.
Como a fraude de violação de contas prejudica as empresas
Qualquer tipo de fraude representa um sério risco para as empresas online, e a fraude de violação de conta não é exceção. De problemas com retenção de clientes a perdas financeiras, os golpes de violação de conta podem prejudicar sua empresa das seguintes maneiras:
Danos à reputação
A reputação da empresa pode ser gravemente prejudicada por uma violação de conta. Os clientes querem proteger seus dados pessoais, e ouvir sobre violação de contas nas redes sociais ou no noticiário, podem desistir de abrir uma conta na sua empresa. O dano à reputação acontece rapidamente, mas a recuperação leva muito mais tempo.
Problemas de retenção de clientes
A notícia de um hack também pode afetar os clientes existentes. Os que não foram afetados pela violação podem se assustar e fechar suas contas por precaução. Um inquérito global da Vodafone descobriu que 89% das empresas disseram que melhorar a segurança cibernética aumentaria a lealdade e a confiança do cliente.
Sanções pecuniárias
As perdas financeiras por fraude de violação de conta se multiplicam. Se um hacker fizer uma compra fraudulenta por meio da conta de um cliente, o proprietário da conta normalmente receberá um reembolso do emissor do cartão de crédito depois de contestar a compra. No entanto, a empresa que vendeu os produtos comprados perde essa receita, perde os produtos enviados ao fraudador e, normalmente, precisa pagar uma tarifa de estorno ao processador de pagamentos. Pode ficar ainda mais caro se a fraude continuar a acontecer. Se a empresa tiver uma proporção elevada de fraudes, pode ser colocada no programa de monitoramento de estornos da rede, pode ter de pagar tarifas de processamento de pagamento mais altas ou ser completamente banida por um processador de pagamentos.
Além das tarifas de estorno, o Regulamento Geral sobre a Proteção de Dados (GDPR) e outras leis de privacidade também podem resultar em multas por falha na proteção dos dados do cliente. Pelo GDPR, as multas são proporcionais ao caso, mas mesmo empresas que cometem infrações menos graves podem ser multadas em milhões de euros.
Formas de detectar e evitar fraudes na violação de contas
Para proteger sua empresa contra fraudes de violação de conta, a proatividade é essencial. É preciso tomar providências para detectar e bloquear golpistas antes que eles tenham a chance de executar uma violação. Como os diferentes tipos de fraude de violação de contas se manifestam de maneiras diferentes, é preciso manter a vigilância em termos de detecção e prevenção.
Opções para proteger sua empresa:
Monitorar alterações nas contas
Alguns tipos de fraude emitem sinais vermelhos, como alterações de dados de vários clientes ao mesmo tempo, atualização repentina de várias contas com os mesmos dados de cliente. Mas ataques sofisticados são mais sutis e exigem acompanhamento de padrões de comportamentos, como uma atualização de detalhes de um cliente seguida rapidamente por login em novo dispositivo, comprando em seguida produtos para um endereço de entrega que não estava listado anteriormente. Ferramentas de machine learning, como o Stripe Radar, usam dados para ajudar as empresas a distinguir golpistas de clientes reais, com capacidade de adaptação a novos padrões de fraude.
Algumas mudanças simples ajudam a detectar invasões de conta antes que o golpista possa causar danos reais: pedir aos usuários que confirmem sua identidade antes de fazer alterações nos dados da conta (com autenticação de dois fatores) e notificar os usuários imediatamente sobre qualquer alteração de conta.
Sinalizar divergência de dispositivos
Outro aspecto importante da detecção de fraudes envolve ficar atento a dispositivos suspeitos vinculados a contas de usuários. Por exemplo, várias contas vinculadas ao mesmo dispositivo ou contas com um número excepcionalmente alto de dispositivos com modelos "desconhecidos" devido a falsificação de dispositivos — fingindo ser um dispositivo diferente para ocultar sua verdadeira identidade ou enganar um sistema — são sinais de violações. Login com endereços IP de vários países também podem indicar atividade fora do normal. Com ferramentas de aprendizado de máquina, essas divergências podem ser detectadas cedo, economizando tempo e dinheiro das empresas no futuro.
Ferramentas de machine learning estão disponíveis para todas as contas da Stripe, promovendo crescimento e proteção antifraude. Para entender melhor como o Stripe Radar usa os dados de centenas de bilhões de dólares em pagamentos todos os anos para detectar e prevenir com precisão fraudes de violação de conta, saiba mais aqui.
O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.