No último dia 25 de setembro foi realizada em São Paulo a terceira edição do Innovation Pay, uma das principais conferências sobre meios de pagamento no Brasil e organizada pelos nossos parceiros da Vindi. Foi muito massa, com a presença de congressistas dos principais players do mercado e conteúdos de altíssimo nível. Uma dessas palestras, aliás, foi um super painel sobre cyber security, mediado por Bruno Diniz (Spiralem) e com a presença de Tom Canabarro (CEO da Konduto), Luciana Lello (Country Manager South America da Emailage) e Gabriel Massote (Head of Software Development da IDwall).
Se você não pôde ir ao evento, antes de tudo, sentimos muito por você. Foi demais!
Mas calma! Este post é justamente para você que não pôde ir. Trouxemos os melhores momentos do painel, para você ficar por dentro do que foi debatido do palco do Innovation Pay e saber o que algumas das principais empresas de cyber security do Brasil têm a dizer sobre a fraude on-line. Veja só:
Principais tipos de ataques cibernéticos
Gabriel Massote (IDwall)
Temos um desafio muito grande de como novas tecnologias geram novas formas de ataques e fraudes. Vemos cenários de pessoas tentando fraudar os processos de liveness, fraudar documentos (com o mesmo rosto em vários tipos de documentos, ou rostos iguais com dados diferentes). Outro exemplo que eu posso dar: há casos em que o criminoso vai para o interior de um Estado, vê uma lojinha famosa naquela cidade, tira meia dúzia de fotos para ela, faz um bom site, usa redes sociais para fazer a divulgação… As pessoas começam a comprar, mas logo depois esse criminoso fecha o site e vai para outra cidadezinha fazer a mesma coisa com outro lojista.
Luciana Lello (Emailage)
Vou citar a questão de roubo de contas (account takeover) e dos e-mails de phishing, que chegam para o consumidor informando sobre uma suposta dívida, ou com um link para atualizar informações. Outro cenário comum que a gente esquece: wi-fi grátis. Muitas vezes nós estamos nos conectando no ambiente do hacker, e a partir do momento em que navegamos neste ambiente já era, nossos dados ficam expostos. Em outro contexto, já vimos também um caso curioso com uma financeira nos Estados Unidos: o fraudador, já entendendo que a idade do e-mail é um dos itens importantes para a análise de risco, comprou um domínio, criou um lote de e-mails e deixou ali maturando por 6 meses, 1 ano. De repente os criminosos começaram a usar esses lotes para abertura de contas digitais. Quando analisamos o algoritmo, vimos que a maioria dos e-mails tinha sido criada na mesma data, ou em datas similares. Hoje em dia já existe essa inteligência (do lado dos criminosos) de deixar a base maturar para ser utilizada em algum momento.
Tom Canabarro (Konduto)
O fraudador de cartão de crédito quer duas coisas. Há o caso clássico, em que ele quer o produto (celular, TV, passagem aérea)… mas tem outro tipo de fraude, que é o cara abusando o sistema financeiro para ter uma resposta. Trata-se do testador de cartão: o criminoso compra um lote de 100 cartões clonados, mas precisa saber quais daqueles cartões ainda estão válidos ou quais já foram cancelados. Ele vai então ao site de uma ONG, faz uma doação de R$ 5 para cada um daqueles cartões. O que passar ele sabe que está quente e pode ser usado; o que não passar ele joga fora. Ele não necessariamente quer um produto: ele quer abusar o sistema.
Impactos da Lei Geral de Proteção de Dados
Luciana Lello (Emailage)
O assunto é polêmico, mas não deveria ser. A discussão da proteção de dados ocorre desde a década de 1990. A grande questão é que o tema deve ser abordado não só pelo departamento jurídico, pois é um tema de negócios: deve haver uma equipe interdisciplinar, pois afetará comercial, TI, recursos humanos (afinal, é uma área que também trata de dados). Não se trata só de manipulação de dados, mas também de armazenamento. Podemos fazer uma analogia em relação a quem utiliza a Nota Fiscal Paulista, há um trade-off: você compartilha informações para ajudar na arrecadação de impostos e em troca terá o benefício de uma restituição. A mesma relação eu posso fazer para a prevenção à fraude: o consumidor dá o consentimento para um site ou aplicativo compartilhar dados com outros provedores, como empresas de antifraude, e em troca a gente oferece mais proteção ao cliente.
Gabriel Massote (IDwall)
É importante ser transparente com o cliente. Se você vai à farmácia, eles pedem o seu CPF, mas por quê? Eu não vejo problema em dar os meus dados, mas por que aquela empresa está pedindo? Um outro ponto que impacta as empresas como um todo é a cultura da empresa: o funcionário saber a importância da cyber segurança para o negócio.
Tom Canabarro (Konduto)
Eu não vejo a LGPD como uma questão de segurança de dados, mas como uma prevenção ao uso sacana da informação. Há empresas que vendem seus dados para terceiros realizarem mala-direta, por exemplo.
Essas leis são para evitar o uso não consentido das nossas informações, é mais uma questão de responsabilidade do que de impedir vazamentos de dados. Mas ela nos afeta diretamente porque nós (empresas de antifraude) coletamos diversas informações: nome, telefone, CPF, onde o cliente está comprando… tem muita informação sigilosa. Além disso, há muitas leis sobre análises preditivas, o cliente querer saber por que foi negado de forma preditiva… isso adiciona também um trabalho de back-office de jurídico e atendimento, pois tem muita coisa que ainda não está clara.
Luciana Lello (Emailage)
Em cima disso, também nos perguntam sobre a liberdade do consumidor de pedir que seus dados sejam deletados junto a varejistas. Isso é possível e deve ser pedido ao lojista, mas o consumidor precisa ter consciência de que, caso todo esse histórico seja apagado, haverá um impacto. O varejista terá que aumentar a fricção, fazer mais validações no momento da compra. Para uma empresa de antifraude, isso é como se a reputação de um consumidor voltasse ao zero. A preocupação do cliente é não se sentir traído, ele quer saber como os dados serão tratados. Mas, no âmbito de segurança cibernética, qual o meu custo, como consumidora, de não ter nenhum histórico relacionado a dados usados para fazer uma compra? Será que este custo vale a pena? É um ponto bem crítico.
Cooperação das empresas na cyber security
Gabriel Massote (IDwall)
Um ataque na sua empresa pode afetar a empresa ao lado. A maioria dos ataques acontece hoje em dia porque a gente não toma cuidado com a camada de proteção da própria empresa. Devemos olhar de dentro para fora. Nos Estados Unidos há empresas que se planejam para caso aconteçam um vazamento de informações, e não “se” isso acontecer. Elas já têm um processo para atuarem junto a clientes e parceiros para diminuir o impacto sobre este acontecimento. Não tive oportunidade de conversar com pessoas no Brasil que fazem isso, mas me chamou a atenção. Está relacionado diretamente à cultura da empresa, como você se prepara – e isso influencia também toda a engenharia de um produto.
Luciana Lello (Emailage)
Quando a gente trata de fraude não existe concorrência. Não existe uma empresa querer ser melhor que a outra no combate à fraude. No setor de companhias aéreas, por exemplo, as empresas se unem, trocam informações, calculam o custo mínimo para prevenir fraudes, considerando diversos sistemas e processos. A união, a economia colaborativa e o compartilhamento de informações são cruciais. Neste contexto de fraude, quando você protege uma portinha, os criminosos vão procurar outra brecha.
Como diminuir as vulnerabilidades?
Tom Canabarro (Konduto)
Essa é a pergunta do milhão…
Do nosso lado, sempre falo para os clientes não guardarem aquilo de que não precisam – como o número completo do cartão de crédito. Desta forma você não vai se expor à toa. Outro ponto é restringir o acesso à informação: conheço empresas em que todo mundo tem acesso ao banco de dados para fazer consultas de marketing, comerciais, de cliente… mas ali estão dados de clientes como endereço, CPF, e coisas que não deveriam estar à disposição. Restringir a busca já é meio caminho andado.
Gabriel Massote (IDwall)
Como o Tom disse, se você precisa mesmo armazenar um dado, saiba o processo de como fazê-lo de uma forma consciente; não tente deixar essa informação espalhada por todos os lados. Outro ponto: a cultura de segurança da informação dentro da empresa também deve ser algo bem natural. Por exemplo: se eu estou em uma área e vejo um dado aberto que eu não deveria ver, tenho que ter a iniciativa de levantar a mão e perguntar se não houve algo errado.
Luciana Lello (Emailage)
A gente vê ainda constantemente empresas que nos vêm pedir ajuda já quando o ataque está acontecendo. O melhor momento para você arrumar o telhado é quando o céu está limpo, então não espere acontecer o ataque. Outra dica: vemos clientes que já estão monitorando diferentes fontes de informação e até a deep web, analisando movimentações estranhas sobre a própria empresa e prevenir assim ataques.
Quer saber mais sobre o mercado de antifraude?
A Konduto acredita que compartilhar dicas, melhores práticas e informações de mercado é uma arma e tanto para profissionais de e-commerces e meios de pagamento no combate à fraude. Por isso, aqui no nosso blog você fica por dentro de tudo o que acontece no submundo dos fraudadores e no e-commerce e encontra os melhores (e mais intrigantes) conteúdos sobre análise de risco!
(Sem falar que é sempre uma chance legal de você descomprimir e ver alguns gifs engraçadinhos durante o trabalho, né?)
“Oi, chefe! Não tô vendo gif de gatinho durante o trabalho, não. É o blog da Konduto – pra eu me atualizar e ficar por dentro de tudo o que tá rolando na análise de risco”
Então, inscreva-se em nossa newsletter para receber nossos conteúdos diretamente no seu e-mail – e indique para todo mundo do seu time também. É só clicar aqui e fazer o cadastro rapidinho!