Em um mundo cada vez mais digital, as tendências de fraude estão em constante mudança e evolução, com ameaças aos consumidores, fornecedores de comércio eletrônico e organizações de serviços financeiros aumentando não apenas em número, mas também em sofisticação. O custo total das fraudes no comércio eletrônico deve ultrapassar US$ 48 bilhões globalmente em 2023 , ante pouco mais de US$ 41 bilhões em 2022. As razões para esse aumento nos custos de fraude são muitas, desde o aumento de pagamentos e compras on-line devido à pandemia, a onipresença de malware e bots que extraem informações do usuário da web e golpes de engenharia social que se aproveitam de vulnerabilidades humanas.
No mundo pré-digital, a fraude exigia planejamento cuidadoso e discrição, enquanto hoje as ferramentas necessárias para fraudar pessoas e empresas estão facilmente disponíveis online, diminuindo a barreira de entrada. Com mercados virtuais, carteiras digitais e a automação contínua de tudo, os criminosos não só têm um alvo cada vez maior, como também têm ferramentas e tecnologias sofisticadas para ajudar a se infiltrar em empresas e atacar contas de indivíduos.
Confira nossas cinco dicas para combater fraudes em 2023 e fique por dentro das últimas ameaças e explorações que os cibercriminosos usarão para atacar organizações de comércio eletrônico e serviços financeiros neste ano.
- Alinhe e converja diversas estratégias de segurança para combater fraudes de forma mais eficaz, sem prejudicar a experiência do cliente.
Comerciantes e organizações de serviços financeiros devem alcançar uma melhor colaboração entre suas equipes de segurança, gerenciamento de identidade e acesso do cliente (CIAM), detecção de fraudes e autenticação em toda a organização. Os criminosos podem explorar facilmente as vulnerabilidades introduzidas por equipes que trabalham em silos e estratégias de segurança que se apoiam muito em técnicas de CAPTCHA e autenticação multifator (MFA). Esses mecanismos interrompem continuamente a experiência do usuário, muitas vezes sem levar em conta o nível de risco apresentado pela tentativa de login.
Uma abordagem de autenticação transparente e contínua baseada em risco permite que comerciantes e empresas de serviços financeiros colaborem melhor entre diversas equipes dentro de sua organização e implementem uma estratégia de detecção de fraudes ágil, confiável e de baixo ruído, sem impactar negativamente a experiência do usuário.
- Expanda as estratégias tradicionais de omni-touchpoint para prevenção de fraudes para incluir visibilidade e insights holísticos em toda a jornada do cliente.
Esta estratégia deve concentrar-se em três áreas-chave frequentemente negligenciadas:
- Comece com o engajamento inicial do canal: Concentre-se nas atividades dos clientes desde o momento em que eles entram em um canal ou criam uma conta. Isso deve melhorar a visibilidade de ataques do lado do cliente, como clonagem digital ou sequestro de formulários, que geralmente são usados para coletar credenciais e informações de cartão durante a criação de novas contas, o que acaba levando à apropriação indébita de contas e fraudes.
- Examine integrações de API de terceiros: Além de aplicativos web e móveis, comerciantes e empresas de serviços financeiros também devem garantir que incluam proteção de API em suas estratégias de segurança. As APIs estão sujeitas aos mesmos ataques que têm como alvo aplicativos da web, ou seja, explorações e abusos que levam a violações de dados e fraudes e introduzem riscos não intencionais de integrações e ecossistemas de terceiros.
- Analise o potencial de fraude em transações com Cartão Não Presente (CNP): Os comerciantes que oferecem novos serviços, como checkout por proximidade, compra on-line e retirada na loja (BOPIS) e compre agora e pague depois (BNPL), devem entender os riscos que essas transações envolvem e abordá-los em suas estratégias de prevenção de fraudes. Isso inclui obter insights sobre padrões de comportamento fraudulentos e compartilhá-los em todos os canais.
- Esteja alerta para novos desafios de fraude amigável em um ambiente recessivo.
Um novo tipo importante de fraude amigável que os comerciantes devem esperar ver aumentar durante uma recessão é a "fraude amigável falsa", que ocorre quando criminosos criam identidades sintéticas para parecerem clientes reais e então realizam transações sem intenção de pagar pela mercadoria que compram. Os praticantes de fraudes falsas e amigáveis podem enganar e contornar com sucesso os esforços de prevenção porque podem facilmente reciclar informações de identidade roubadas e criar novas identidades sintéticas para abrir novas contas e evitar serem bloqueados por uma lista de negação. Essas atividades fraudulentas amigáveis podem incluir abuso do programa BNPL, golpes de pontos de fidelidade e reembolso, além de fraudes de rebentamento.
Proteja-se contra o registro de novas contas com identidades sintéticas aproveitando insights de padrões biométricos comportamentais ampliados com aprendizado de máquina para fornecer às equipes de segurança e fraude insights sobre contas comprometidas.
- Esteja preparado para a Diretiva de Serviços de Pagamento 3 (PSD3) da UE com novas regulamentações para pagamentos digitais.
O cenário de ameaças, pagamentos e regulamentações para comerciantes e bancos mudou drasticamente desde a implementação inicial da Diretiva de Serviços de Pagamento em 2018. Para se preparar para as regulamentações aprimoradas da PSD3, comerciantes e bancos devem fazer um inventário dos novos serviços, canais e opções de pagamento que adotaram recentemente. Por exemplo, agora vocês oferecem suporte a carteiras digitais e pagamentos com criptomoedas? Quantas novas APIs com formatos diferentes de provedores terceirizados você integrou em seus sistemas e propriedades da web?
Comerciantes e organizações de serviços financeiros precisam deixar de focar apenas em uma mentalidade de risco de conformidade para sua estratégia de API e autenticação existente. Eles devem antecipar e gerenciar proativamente todo o escopo de riscos de segurança e fraude que o ambiente de API moderno traz.
- Prepare-se para ataques à cadeia de suprimentos de Shadow API e JavaScript e para o próximo Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0
À medida que as organizações expandem seu ecossistema de terceiros e o número de scripts em seus sites aumenta, elas introduzem novos pontos potenciais de vulnerabilidade que podem levar a ataques do lado do cliente, como skimming digital, formjacking e ataques Magecart. Um ataque de clonagem digital ocorre quando um criminoso injeta um ou mais scripts maliciosos ou manipula um script existente em uma página ou aplicativo legítimo para criar um ataque do tipo man-in-the-browser na cadeia de suprimentos de software. Esses ataques são difíceis de detectar, pois esses scripts são atualizados frequentemente por terceiros, muitas vezes sem um processo para sua organização realizar revisões de segurança.
Além disso, os novos requisitos do PCI DSS 4.0 se concentrarão na necessidade de monitorar e gerenciar bibliotecas JavaScript de terceiros baseadas em navegador que são incorporadas em sites de comércio eletrônico para habilitar funcionalidades como iFrames de processamento de pagamentos, chatbots, publicidade, botões de compartilhamento social e scripts de rastreamento. Embora a conformidade com os novos requisitos do PCI DSS 4.0 não seja obrigatória até 2025, os ataques do lado do cliente estão cada vez mais comuns agora, então implemente as proteções aprimoradas o mais rápido possível.
As organizações não precisam apenas de visibilidade das bibliotecas JavaScript em execução em seus aplicativos da web, mas também precisam saber quais dados os scripts estão coletando para evitar violações de regulamentações de privacidade de dados, como GDPR e CCPA, e manter a conformidade com os novos requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.
A maioria das organizações não tem controle e governança centralizados sobre o gerenciamento de scripts. Se um script de terceiros em seu site tiver uma vulnerabilidade e você não estiver ciente disso, não será possível corrigi-lo. Os criminosos sabem que muitas organizações têm dificuldade para gerenciar, rastrear e proteger o volume, o escopo e a escala dos scripts agora incorporados aos sites, e sabem como explorar esses scripts para seu próprio ganho.