Fraude em pagamentos pode ameaçar as finanças empresariais e a privacidade do cliente, e combatê-la requer soluções defensivas que sejam tão sofisticadas e flexíveis quanto as táticas usadas por fraudadores.
A fraude em pagamentos pode ocorrer de muitas formas diferentes, desde o roubo de números de cartão de crédito de um leitor de cartão desprotegido até e-mails falsos maliciosos. Por exemplo, uma pesquisa de 2021 da Tessian mostrou que os funcionários dos EUA recebem uma média de 14 e-mails por ano que os levam a tomar ações financeiramente fraudulentas. Em alguns setores, esse número é muito maior, com os trabalhadores do varejo recebendo uma média de 49 e-mails fraudulentos a cada ano.
O phishing é um dos tipos de fraude em pagamentos mais comuns, responsável por 44% de todas as violações de dados em 2020. O skimming, em que fraudadores capturam dados de cartões em caixas eletrônicos ou terminais de pagamento, estima o custo das empresas em US$ 1 bilhão por ano. O roubo de identidade, em que dados pessoais são roubados e usados em compras fraudulentas, representou 24% das quase 6 milhões de denúncias de fraude em 2021, de acordo com a FTC. E esses são apenas alguns dos tipos de fraude em pagamentos contra os quais as empresas precisam lutar.
A fraude em pagamentos é uma grande ameaça, mas as empresas podem mitigá-la com uma série de táticas de defesa eficazes. Veja aqui o que você precisa saber sobre tipos comuns de fraude em pagamentos, como elas funcionam e o que fazer para proteger a si mesmo, sua empresa e seus clientes.
O que há neste artigo?
- O que é fraude em pagamentos?
- Tipos de fraude em pagamentos
- Benefícios da proteção contra fraudes
O que é fraude em pagamentos?
Fraude em pagamentos é um tipo de fraude financeira que envolve o uso de dados de pagamento falsos ou roubados para obter dinheiro ou bens. As fraudes em pagamentos podem ocorrer de diversas formas, mas muitas vezes incluem fraudadores que roubam dados de cartão de crédito ou conta bancária, falsificam cheques ou usam dados de identidade roubados para fazer transações não autorizadas.
Tipos de fraude em pagamentos
Os fraudadores usam várias formas de fraude em pagamentos. Aqui estão algumas das táticas mais comuns:
Phishing
O que é:
Phishing é um tipo de ataque de engenharia social — uma tática que envolve enganar as pessoas por meio de manipulação psicológica — em que fraudadores usam e-mails, mensagens de texto ou sites fraudulentos para enganar as pessoas a revelar informações confidenciais, como credenciais de login e dados de cartão de crédito.
Os ataques de phishing geralmente são realizados por meio de e-mails que parecem ser de uma fonte confiável, como um banco ou varejista online respeitável. O e-mail pode pedir que o beneficiário clique em um link para atualizar as informações da conta, verificar uma transação recente ou reivindicar um prêmio. Quando o destinatário clica no link, é direcionado para um site falso, onde é solicitado a inserir suas credenciais de login, dados de cartão de crédito ou outros dados confidenciais.
Os ataques de phishing também podem ser realizados por meio de mensagens de texto, conhecidas como "smishing", ou por meio de plataformas de mídia social, conhecidas como "pharming". Nesses casos, o invasor envia uma mensagem ou um link para um site fraudulento que parece ser legítimo, a fim de roubar dados pessoais ou infectar o dispositivo com malware.
Como prevenir:
Para se proteger contra ataques de phishing, tenha cuidado ao clicar em links ou abrir anexos de fontes desconhecidas ou suspeitas. Fique atento a táticas comuns usadas por fraudadores, como linguagem urgente ou ameaçadora, palavras com erros ortográficos ou links suspeitos. O uso de software antivírus também pode ajudar a proteger contra ataques de phishing.
Assim como outros tipos de fraude de pagamento, os golpes de phishing tendem a evoluir com o tempo, tornando-se mais avançados e legítimos. Pessoas físicas e empresas devem educar a si mesmos e seus funcionários sobre phishing e como reconhecer e evitar esses tipos de ataques.
Skimming
O que é:
Skimming ocorre quando um fraudador usa um dispositivo, chamado skimmer, para roubar dados de cartão de crédito ou débito. O fraudador anexa um skimmer a uma máquina de cartão em caixas eletrônicos ou terminais de ponto de venda, como bombas de gasolina, corredores de autocheckout e outros terminais de pagamento. O skimmer captura os dados da tarja magnética do cartão, que pode ser usada para criar cartões falsificados ou fazer compras fraudulentas.
Além dos skimmers, os fraudadores também podem usar pequenas câmeras ou sobreposições que se encaixam no caixa eletrônico ou no teclado do terminal de pagamento para capturar o PIN do cliente. Essas informações são usadas com os dados do cartão roubado para fazer saques ou compras não autorizadas.
Como prevenir:
O skimming pode ser difícil de detectar, já que os dispositivos de skimming geralmente são pequenos e discretos — mas não é impossível. Há sinais que podem indicar a presença de um dispositivo de skimming, como máquinas de cartão soltas ou danificadas, dispositivos incomuns ou extras conectados ao terminal de pagamento ou dispositivos que parecem diferentes de outros terminais de pagamento na área.
Para se proteger contra skimming, tenha cuidado ao usar terminais de pagamento e caixas eletrônicos e inspecione o dispositivo em busca de sinais de violação. Cobrir o teclado ao inserir um PIN também pode ajudar a proteger contra skimming baseado em câmera.
Monitore regularmente os extratos bancários e de cartão de crédito em busca de transações suspeitas e comunique qualquer suspeita de falha ao banco ou ao emissor do cartão de pagamento o mais rápido possível.
Pagar com carteiras digitais ou cartões com chip EMV também pode proteger contra skimming, já que essa tecnologia é mais segura do que cartões com tarja magnética. Verificar se sua empresa está preparada para aceitar essas formas de pagamento seguras é uma proteção poderosa contra skimming.
Roubo de identidade
O que é:
O roubo de identidade é um tipo de fraude de pagamento em que um fraudador rouba os dados pessoais de uma pessoa, como nome, número de seguridade social ou número de cartão de crédito, e os usa para fazer compras não autorizadas ou abrir contas no nome da vítima. O roubo de identidade pode ter sérias consequências financeiras e legais para a vítima e causar estresse e ansiedade significativos.
Roubo de identidade é um termo genérico que descreve uma série de táticas de fraude. Por exemplo, os ataques de phishing são um tipo de roubo de identidade. Violações de dados, em que um hacker obtém acesso ao banco de dados de uma empresa e rouba dados pessoais em larga escala, também são roubo de identidade. Outros métodos de roubo de identidade incluem roubo de correspondência, vasculhar lixeiras ou roubo de carteiras ou bolsas. Uma vez que um agente fraudulento tenha obtido os dados pessoais de uma pessoa, ele pode usá-las para abrir novas contas de cartão de crédito, solicitar empréstimos ou até mesmo apresentar falsas declarações de impostos.
Como prevenir:
Para evitar o roubo de identidade, as empresas podem tomar uma série de medidas. Primeiro, certifique-se de que os dados do cliente sejam armazenados com segurança, usando criptografia e outras medidas de segurança para evitar acesso não autorizado. As empresas devem limitar o acesso aos dados dos clientes apenas aos funcionários que precisam deles para seus trabalhos e exigir senhas fortes e autenticação multifator para todas as contas e sistemas que contêm dados dos clientes.
O treinamento dos funcionários é importante para evitar o roubo de identidade e deve incluir práticas recomendadas de segurança, como identificar e-mails de phishing e criar senhas fortes.
O monitoramento de atividades suspeitas nas contas dos clientes, como logins não autorizados ou alterações nos dados da conta, pode ajudar as empresas a detectar antecipadamente o roubo de identidade e reduzir os danos. Escolher a pilha de tecnologia de pagamentos certa pode impedir que a detecção e a prevenção de fraudes esgotem tempo e recursos. O Stripe Radar é uma tecnologia sofisticada para detecção e prevenção de fraudes, incorporada a todos os produtos de pagamento Stripe, incluindo o Terminal.
Por fim, as empresas devem ter um plano em vigor para responder a violações de dados, incluindo notificar clientes afetados e oferecer serviços de proteção contra roubo de identidade.
Fraude em estorno
O que é:
Fraude em estorno (também conhecida como "fraude amigável") ocorre quando um cliente contesta uma transação legítima alegando que não fez a compra por conta própria ou que não recebeu o produto ou serviço pelo qual pagou. Em alguns casos, o cliente pode receber um reembolso enquanto mantém o produto ou serviço, resultando em uma perda financeira para o negócio. As fraudes em estornos podem ter consequências financeiras significativas para as empresas: elas podem perder a receita da venda e ficar sujeitas a tarifas e penalidades sobre estornos.
Existem algumas formas diferentes de fraudes em estornos. O método mais comum é quando um cliente faz uma compra legítima, mas depois contesta a cobrança junto à empresa do cartão de crédito, alegando que o item não estava conforme descrito ou que nunca o recebeu. Outro método é quando um cliente usa intencionalmente um cartão de crédito roubado para fazer uma compra e depois contesta a cobrança como não autorizada.
Como prevenir:
Para se proteger contra fraudes em estornos, a empresa deve verificar a identidade do cliente e verificar se ele é o proprietário legítimo do cartão de crédito usado na compra. Isso pode incluir a exigência de uma assinatura ou código CVV para transações sem apresentação do cartão ou implementar ferramentas de detecção de fraude, como verificação de endereço ou geolocalização de IP. As empresas também devem ter uma política clara de reembolsos e devoluções e um processo para lidar com contestações de estorno. As empresas devem manter registros claros de todas as transações, incluindo recibos, informações de envio e comunicações com clientes, caso precisem fornecer comprovantes em uma contestação de estorno.
Comprometimento de e-mail comercial
O que é:
o Business Email Compromise (BEC) é uma fraude de pagamento em que os e-mails induzem os funcionários a transferir dinheiro para contas fraudulentas. Em um golpe de BEC, os fraudadores obtêm acesso a uma conta de e-mail comercial, muitas vezes por meio de phishing ou táticas de engenharia social, e a usam para enviar e-mails a funcionários ou fornecedores solicitando wire transfers ou outros pagamentos.
Os golpes de BEC podem assumir várias formas. Muitas vezes, eles envolvem um fraudador que se passa por um executivo ou fornecedor de alto nível e solicita um pagamento ou transferência urgente. O e-mail pode parecer legítimo, usando a marca da empresa e um endereço de e-mail familiar. Porém, se o funcionário seguir as instruções no e-mail, ele transferirá o dinheiro para uma conta bancária controlada pelos fraudadores.
Os golpes de BEC podem ser difíceis de detectar, pois geralmente envolvem táticas de engenharia social que exploram a confiança humana na autoridade. No entanto, existem alguns sinais que apontam para um golpe de BEC, como:
- Pedidos urgentes de pagamento
- Instruções de pagamento incomuns
- E-mails que contenham erros gramaticais ou ortográficos incomuns
Como prevenir:
A proteção contra o BEC envolve muitas das mesmas táticas e práticas recomendadas que as empresas já deveriam usar para se proteger contra outros tipos de fraude. Instrua os funcionários sobre como reconhecer e denunciar e-mails suspeitos e implemente protocolos de segurança de e-mail fortes, como autenticação de dois fatores e criptografia.
As empresas também devem ter um processo claro de aprovação de pagamentos que inclua a verificação das instruções de pagamento por meio de um canal secundário, como um telefonema ou conversa presencial. É uma boa prática ter um manual claro para solicitações internas, especialmente se elas envolverem movimentação de dinheiro.
Por fim, como em todas as fraudes, é importante monitorar regularmente as contas bancárias em busca de atividades suspeitas e ter um plano para responder a um golpe de BEC, incluindo entrar em contato com as autoridades policiais e notificar clientes ou parceiros que possam ter sido afetados.
Fraude sem apresentação do cartão
O que é:
Cartão não presente (CNP) A fraude é um tipo de fraude de pagamento que ocorre quando um fraudador usa dados roubados de cartão de crédito para fazer compras sem apresentar fisicamente o cartão, geralmente online ou por telefone. As fraudes de CNP estão se tornando cada vez mais comuns com o aumento do comércio eletrônico e podem ter consequências financeiras significativas para as empresas, que podem ser responsáveis por estornos ou compras fraudulentas.
A fraude de CNP geralmente ocorre quando um agente fraudulento obtém informações de cartão de crédito roubadas por meio de violações de dados ou outros meios e usa essas informações para fazer compras online não autorizadas. Outro método é quando um fraudador usa táticas de engenharia social, como phishing, para obter as informações do cartão diretamente da vítima.
Como prevenir:
Para se proteger contra fraudes de CNP, as empresas podem tomar várias medidas, incluindo:
- Usar ferramentas de detecção de fraude, como verificação de endereço ou geolocalização de IP, para verificar a identidade do cliente e detectar atividades suspeitas
- Implementação de protocolos de autenticação fortes, incluindo autenticação de dois fatores e tokenização, para proteger as informações do cartão
- Manter registros claros e acessíveis de todas as transações, incluindo informações de envio e comunicações com o cliente, em caso de contestações de estorno
- Criação de uma política completa de reembolsos e devoluções, comunicada claramente aos clientes, bem como um processo para lidar com estornos e transações fraudulentas
Benefícios da proteção contra fraudes
As medidas de proteção contra fraudes podem proporcionar tranquilidade às empresas, proteger seus ativos financeiros e dados de clientes, melhorar sua reputação com os clientes e aumentar a conformidade com regulamentos. No entanto, os benefícios não param por aí. Aqui está uma visão geral dos principais benefícios que as empresas podem obter com a implementação de medidas de proteção contra fraudes:
Proteção de ativos financeiros
A proteção contra fraudes ajuda a proteger os ativos financeiros da empresa. Em incidentes isolados, as fraudes em pagamentos podem custar caro, mas, à medida que as empresas crescem, o potencial de fraudes em grande escala pode representar uma ameaça ainda maior. Ao implementar medidas de proteção contra fraudes, as empresas podem reduzir o risco de perda financeira e planejar o futuro com mais confiança.Proteção de dados dos clientes
As empresas não se protegem apenas quando investem em medidas robustas de detecção e prevenção de fraudes: elas também protegem seus clientes. Muitas vezes, as fraudes de pagamento envolvem o roubo de dados do cliente, como números de cartão de crédito e dados pessoais. Ao implementar medidas de proteção contra fraudes, as empresas podem proteger os dados dos clientes e conquistar a confiança e a fidelização deles.Mitigação de estornos
Para as empresas, os estornos podem resultar não apenas em perda de receita e mercadorias, mas também em tarifas e multas adicionais, além de perda de tempo e energia para resolver a bagunça. As medidas de proteção contra fraudes podem prevenir estornos detectando e prevenindo transações fraudulentas e apresentando tendências e vulnerabilidades de estorno.Manutenção da reputação e fidelização de clientes
Tomar todas as medidas possíveis para minimizar as fraudes aumenta a confiança dos clientes na empresa. Mesmo ocorrências isoladas de fraude em pagamentos podem prejudicar a reputação de uma empresa, às vezes de forma irreparável. Ao implementar medidas de proteção contra fraudes, as empresas demonstram seu compromisso com a segurança. Isso é particularmente verdadeiro para plataformas e marketplaces, já que seus clientes têm seus próprios clientes (e reputações) na linha.Conformidade com regulamentos
Muitos setores estão sujeitos a requisitos regulatórios de segurança e privacidade de dados. Ao implementar medidas de proteção contra fraudes, as empresas podem cumprir essas regulamentações e evitar multas e penalidades.
Felizmente, a maioria dos equipamentos e softwares mais modernos oferecem proteções contra fraudes fortes para aceitar e processar pagamentos, rastrear pedidos de clientes e gerenciar dados financeiros de uma empresa, inclusive os oferecidos pela Stripe. Geralmente, a implementação dessas medidas é menos dispendiosa do que arcar com os possíveis custos das fraudes em pagamentos.
Para obter mais informações sobre como o Stripe Radar protege produtos Stripe usando dados de milhões de empresas globais para combater fraudes de forma inteligente em todos os canais, comece aqui.
O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.