Diretor da VISA aponta maiores ameaças financeiras — e como se defender
Por Claudio Yuge |
O cibercrime no e-commerce e nos ecossistemas de pagamentos nunca esteve tão movimentado quanto nos últimos meses, especialmente em países como o Brasil, onde há um grande apetite comercial por conta da alta de lojas digitais, fintechs e serviços financeiros. Para entender melhor esse tema atualmente, o Canaltech conversou com Michael Jabbara, vice-presidente Global de Soluções Antifraude da Visa.
- Máquinas brasileiras têm quase 500 mil vulnerabilidades ativas
- Varejistas brasileiros estão em alerta com sequestro de audiência
Jabbara explica que o aumento da superfície de ataque é a principal razão do aumento de interesse dos cibercriminosos nos setores de e-commerce e ecossistemas de pagamento. Com a pandemia de covid-19, houve uma explosão de canais online, já que muita gente mudou seus negócios de locais físicos para o ambiente digital.
“Muitas dessas lojas são pequenas e médias empresas que não tinham necessariamente os recursos ou a experiência para implementar as ferramentas cibernéticas e de fraude necessárias para se protegerem contra esses tipos de ataques. Então eles se tornaram um ponto vulnerável no ecossistema”, comenta Jabbara.
Outro grande motivo são os hábitos dos consumidores, que mantêm comportamento de “validação” de compra de ambientes reais em plataformas digitais, muitas vezes se esquecendo de verificar a autenticidade do negócio. “Quando você entra em uma loja e compra um sofá, pode ver o sofá, você pode ver a loja, você pode ver os vendedores. É mais fácil para você validar. Mas se você está comprando o mesmo sofá online, pode estar entregando as informações de pagamento para um site falso, que pode monetizar esses dados ilicitamente em outro lugar.”
Esses dois fatores tornam muito mais lucrativo do ponto de vista do fraudador, já que há uma vasta e rápida “oferta” de alvos em potencial no mercado.
Quais as abordagens mais utilizadas por ameaças financeiras?
De acordo com Jabbara, o sistema de pagamentos é dividido, basicamente, em três partes. “Você tem consumidores e vendedores que estão trocando bens e serviços por dinheiro. Você tem o pagamento e a própria infraestrutura, os terminais físicos, as páginas de checkout online. E então você tem dados, que estão sendo trocados por meio dessa infraestrutura física entre compradores e vendedores”, enumera.
Cada um um desses componentes é alvo de fraudadores de maneiras diferentes. Um consumidor pode ser alvo de ataque de phishing ou de engenharia social, que tem como alvo suas informações, por exemplo. Na parte da infraestrutura, os bandidos podem realizar um ataque de força bruta, que é, basicamente, invadir com uma conta tentando milhares de combinações de senhas diferentes. E há os fraudadores prontos para direcionar e usar os dados coletados rapidamente, para monetizar essas informações de maneira ilícita.
“Portanto, há uma combinação de maneiras pelas quais os agentes de ameaças estão visando os canais de comércio eletrônico. Pensando na prevenção, não há uma única solução que possa ajudar cobrir você em todas essas três dimensões. Você tem que ter várias camadas de defesa em toda a cadeia de valor para sua segurança.”
Como a VISA identifica e combate essas atividades criminosas?
De acordo com o executivo, a VISA investiu cerca de US$ 10 bilhões (R$ 50,6 bilhões) em plataformas de dados e tecnologia de próxima geração nos últimos cinco anos, para combater ameaças e cibercriminosos que se atualizam e aprimoram constantemente. São mais 1 mil especialistas em risco cibernético monitorando a rede da companhia. Mesmo assim, não há uma maneira cristalizada e ideal para lidar com todo o tipo de golpe, fraude e/ou invasão.
“Não há bala de prata em termos de identificação e mitigação de fraudes. Pensamos nisso em termos de o que chamamos de estratégia de defesa em profundidade, em que temos várias camadas de defesa em todo o quadro. Nenhuma camada de defesa é infalível. Cada um tem uma vulnerabilidade”, destaca Jabbara.
O vice-presidente Global de Soluções Antifraude da VISA afirma que a combinação de soluções e medidas de prevenção é o que torna muito mais difícil a ação dos cibercriminosos. A primeira parte de ação da companhia está focado na inteligência. “Existem equipes de especialistas que estão se colocando no lugar desses agentes de ameaças e pensando sobre quais são os maiores e mais recentes esquemas de fraude que poderiam ser perpetrados e quais vulnerabilidades estão sendo exploradas.”
A partir dessa visão, as equipes da VISA podem focar suas capacidades e cruzar com os dados, descobrindo, assim, o que pode impactar mais a vida dos clientes. Em seguida, a companhia constrói plataformas que possam identificar essas vulnerabilidades de forma proativa, inclusive com notificações de segurança.
A segunda camada de proteção da VISA é composta por uma equipe que monitora diariamente e ininterruptamente esses alertas. Quando há uma notificação no volume de transações, há uma análise imediata para saber se esse sinal é legítimo ou uma anomalia — como diferenças em movimentações em dias de pagamentos de salários ou em feriados. Caso seja identificada uma atividade criminosa, o grupo reposiciona os blocos de transações e informam os clientes para que se protejam.
Já a terceira camada vai de encontro com análise dos ataques bloqueados em tempo real, para que haja uma investigação sobre o risco global de cada ofensiva. Os investigadores podem ver como o ataque se originou, qual foi a vulnerabilidade que foi explorada, o que foi a taxonomia da fraude perpetrada. Eles podem extrair essas informações, criar melhores práticas e inteligência a partir disso e, em seguida, compartilhá-las globalmente com todos os nossos clientes”, explica Jabbara.
A quarta camada da estratégia da VISA envolve as leis de fiscalização de todo o mundo, inclusive o Brasil. “Trocamos inteligência em termos de o que vimos como a taxonomia do ataque para que eles possam ir e realmente começar vigilância, iniciar investigações, indiciar, prender e até colocar pessoas na cadeia. Assim, isso pode interromper a organização criminosa em seu coração, minimizando seu impacto tanto quanto possível.”
Como os brasileiros vêm sendo atacados pelas ameaças financeiras?
O Brasil é um dos mercados com maior quantidade de inovação e expansão quando se fala em ecossistemas de pagamento em todo o mundo. A todo momento há novos players entrando e aumento o acesso a transações digitalizadas. Isso também se reflete no interesse dos cibercriminosos, que procuram vulnerabilidades — quando eles encontram uma em um banco, por exemplo, costumam explorar ao máximo e rapidamente.
“Estamos vendo golpes de engenharia social realmente sofisticados em termos de ‘ei, é seu aniversário e alguém encomendar o seu bolo. Você só tem que pagar a taxa de entrega’. Se você entrega suas informações de pagamento, em seguida, sua conta é violada”, alerta Jabbara. “Também há as ameaças em infraestrutura de pagamento, onde os criminosos geram scripts automatizados que procuram testar diferentes partes da conta — e podem obter a combinação certa.”
Quando os criminosos conseguem isso, compram criptomoedas ou um monte de iPhones; ou até mesmo tiram o dinheiro do próprio caixa eletrônico.
Como podemos nos proteger das ameaças financeiras?
Segundo Jabbara, a principal forma de se defender dos cibercriminosos que miram o e-commerce e os ecossistemas de pagamento reside na educação. “Basta estar ciente de quais são as últimas tendências de engenharia social, tendências de phishing. Essa é a melhor maneira de você se proteger.”
Um exemplo citado pelo executivo são os e-mails de phishing que aproveitam a distração e exploram um estado emocional de urgência para que os consumidores entreguem seus dados de forma impulsiva. E, segundo Jabbara, muitos bandidos manipulam os usuários, mesmo os mais atentos, para confundí-los.
“Pense se você está em um momento em que consegue avaliar uma mensagem de texto ou um e-mail que está mudando seu estado emocional; que está deixando você realmente animado porque está recebendo 80% de desconto ou muito ansioso porque sua conta foi bloqueada; ou que diz que você precisa fazer um acordo expirando nos próximos 30 minutos.”
O ideal é “dar um passo para trás”. “Os criminosos estão tentando mudar seu estado emocional para fazer você sentir uma emoção extrema, porque é quando seu julgamento torna-se mais nebuloso e é mais provável que você cometa erros ao dar o seu informações para alguém que você não deveria ou fazer algo que você não deveria estar fazendo.”
“Então esse é o meu conselho número um para qualquer pessoa no Brasil ou não. Se você se encontrar em uma situação em que os dados pessoais estão em jogo, mas você se sente mais agitado, volte e pense ‘isso realmente faz sentido? Eu realmente deveria estar fazendo isso ou não?’.”
Outro ponto importante destacado por Jabbara é a adoção de ferramentas que possam oferecer mais controle sobre as transações, como alertas de movimentação de contas ou limites diários de saques em caixas eletrônicos. “Isso torna mais difícil para o fraudadores venham e monetizem sua conta.”