0
0
Em 10 de abril de 2020, a empresa fintech Brightwell, com sede em Atlanta, estava navegando mais do que a letal pandemia COVID-19.
Tudo começou com uma série de telefonemas de clientes. Naquela manhã, entre 7.m. e 8 da manhã.m., Brightwell recebeu a notícia da equipe de atendimento ao cliente de que os clientes ligaram para reclamar da falta de fundos, diz Ernie Moran, na época vice-presidente sênior de risco da Brightwell. Em circunstâncias normais, se os usuários notassem uma discrepância ao entrar em seu aplicativo, a empresa normalmente investigaria o problema para determinar se o cliente erroneamente gasto ou uma fraude havia ocorrido. Infelizmente para Brightwell, foi o último.
“Eu diria que as próximas 24 horas foram as 24 horas mais insanas que já tivemos em Brightwell”, diz Moran. “A partir daí, começamos a ouvir cada vez mais clientes. E você começa o processo de pesquisa, e você começa a entrar na plataforma, na plataforma do processador e olhar para os dados.”
Brightwell passou as semanas seguintes dissecando os danos de um ataque que resultou em 2,5 milhões de dólares roubados no período de quatro horas, diz Moran. Com a pandemia empurrando mais transações on-line, mais fraudadores online estão mirando plataformas de comércio eletrônico e empresas de pagamentos. As fontes aconselham os provedores de pagamentos a implementar várias medidas antes e durante o processo de transação para detectar ataques de força bruta e enumeração antes que os fraudadores fujam com os fundos dos clientes.
Durante os primeiros cinco dias da investigação de Brightwell, a empresa avaliou o quão difundida foi a fraude. Primeiro, eles revisaram seus relatórios de autorização gerados pelo seu processador de pagamentos e os relatórios gerados por sua marca de cartão. Em seguida, cruzou seus dados internos com os relatórios externos, diz Moran. O ator de ameaças usou as credenciais roubadas para comprar criptomoedas em uma exchange, disse ele.
Ao longo de sua investigação, Brightwell descobriu que um fraudador implantou um bot para adivinhar os números de cartões de débito pré-pagos, datas de validade e números de CVV para 41.000 cartões, que foram adivinhados após 100.000.000 autorizações, diz Moran. O bot adivinhou as credenciais em sete comerciantes; um comerciante, em particular, foi usado para roubar “uma grande quantia de dólares”, diz ele. Brightwell não nomeou os vendedores afetados pelo ataque, nem divulgou a quantia geral roubada por cliente.
O calvário levou a empresa a criar seu sistema de alerta de fraude, a Arden, que significa “motor de detecção de risco de IA”. Apesar de todos os dados coletados, Moran, agora vice-presidente sênior da Arden, diz que a empresa não conseguiu descobrir quem foi o responsável pelo ataque.
Observando as Bandeiras
Vermelhas À medida que as transações de comércio eletrônico dispararam durante a pandemia do coronavírus, a fraude on-line parece ter aumentado também. Uma análise de soluções de risco da LexisNexis De julho de 2021 a dezembro de 2021 constatou que os ataques de bots contra empresas aumentaram 32% a partir de 2020, e os ataques iniciados por humanos cresceram 46% em relação a 2019. De março de 2020 a fevereiro de 2022, os consumidores dos EUA gastaram cerca de US$ 1,7 trilhão online, um aumento de US$ 609 bilhões em relação aos dois anos anteriores, de acordo com uma pesquisa da Adobe.
Kimberly Sutherland, vice-presidente de estratégia de fraude e identidade da LexisNexis Risk Solutions, aconselha as equipes de cibersegurança a procurar um alto volume de transações provenientes de um dispositivo em um curto período de tempo. Ver o mesmo dispositivo voltar a transacionar não é uma bandeira vermelha porque pode ser um cliente repetido. No entanto, se um dispositivo está tentando uma transação várias vezes, talvez milhares de vezes por segundo, é provável que seja um ataque, diz ela.
Além de prestar atenção ao dispositivo que conseguiu burlar as defesas de uma empresa, Sutherland também aconselha as empresas a mitigar atividades suspeitas durante o processo de autorização. Eles devem, por exemplo, prestar atenção se o dispositivo tem malware nele, acrescenta.
“Falamos consistentemente sobre ter uma abordagem em camadas para evitar acesso não autorizado, então isso significa garantir que eles tenham fortificado seus novos processos de abertura de conta para evitar qualquer fraude de aplicativos, para evitar fraudes de aquisição de contas também — tudo não apenas esse pagamento, mas esse login”, diz Sutherland. “Há todos os tipos de caminhos que um fraudador tentará ter um ataque de fraude bem sucedido, e um ataque é apenas uma das muitas coisas que nos preocupa no ecossistema de pagamentos.”
Outro passo que os provedores devem dar é emitir seus números de cartão aleatoriamente em vez de sequencialmente, diz Curtis Franklin, analista sênior da Omdia e ex-editor da Dark Reading. A emissão de números de cartões evita aleatoriamente que os fraudadores on-line forcem facilmente contas de obrigação de rotas. (Moran esclareceu que Brightwell não emite cartões sequencialmente.)
Se o emissor de cartões ver centenas de palpites de credenciais de cartão em rápida sucessão, as equipes de segurança cibernética devem alertar o fornecedor e monitorar as razões para a rejeição. O emissor do cartão poderia, por exemplo, verificar se o número do cartão ainda não foi emitido. Se um fraudador online adivinhar um número de cartão que ainda não foi emitido, é um bom indicador de que eles estão sequencialmente adivinhando as credenciais usando um algoritmo, diz Franklin.
Além do monitoramento de rejeições de números sequenciais, rejeições de contas de cartões não-semeadas e rejeições rápidas de um único comerciante, as empresas também devem determinar com antecedência o quão alta é sua tolerância ao risco. Há uma chance de que as empresas possam rejeitar clientes legítimos que estão inserindo as informações erradas do cartão durante a triagem por atividades fraudulentas.
Gerenciamento dos Riscos
Em 2021, os cibercriminosos usaram a criptomoeda para lavar US$ 8,6 bilhões, um aumento de 30% a partir de 2020, de acordo com um relatório da empresa de dados blockchain Chainalysis. As criptomoedas, particularmente a Monero, têm atraído cibercriminosos que buscam transacionar anonimamente; no entanto, seu valor especulativo flutuante complica a capacidade dos criminosos de monetizar o crime.
“Os criminosos odeiam perder dinheiro”, diz Franklin, mas “eles gostam da ideia de tornar mais difícil para os governos nacionais encontrá-los.”
“Neste caso, a grande maioria das perdas e riscos de fraude acabaram ficando na Brightwell por uma série de razões que [estavam] fora do nosso controle em muitos casos”, diz Moran. “Tivemos uma pequena parcela das perdas que na verdade não eram nossa responsabilidade… e então tivemos uma parcela maior que era nossa responsabilidade. No entanto, no final, havia risco e queda suficiente para dar a volta que acabamos sendo feitos inteiros para as perdas.”
À medida que comerciantes e provedores de pagamento enfrentam esses ataques, provedores de cartões como Visa e Mastercard geralmente arcam com a responsabilidade, mas os clientes podem sofrer o inconveniente quando seu cartão é congelado. Assim, o fornecedor e o banco membro podem perder renda, assim como a confiança de seus clientes.
“O que mantém tudo isso rolando tão bem é a compreensão entre consumidores e comerciantes e todos os outros de que essa é, de fato, uma maneira segura de fazer negócios. Se essa confiança for abalada, isso pode ter um impacto mais profundo”, diz Franklin. “Esse é o custo que eles realmente querem resolver.”
FONTE: DARK READING