O comportamento do consumidor mudou de vez e quem não acompanhar a tendência de compras online vai ficar para trás. Em 2021, o e-commerce brasileiro registrou faturamento recorde de R$ 161 bilhões, um crescimento de 26,9% ante o ano anterior. As informações são da consultoria Neotrust, que faz o monitoramento do comércio eletrônico no Brasil.
Mesmo com a reabertura do comércio físico, ligada à diminuição de casos de covid-19, a tendência é que as compras online continuem em alta. Levantamento da NZN Intelligence mostra que 64% dos consumidores brasileiros preferem comprar pela internet. Para 60,5% dos entrevistados, a comodidade, a praticidade e os preços atrativos são os principais motivos que levam a essa preferência.
O cartão de crédito segue como o meio de pagamento mais utilizado – e com larga vantagem. Segundo a Neotrust, 69,7% das compras foram realizadas com o cartão de crédito, enquanto o boleto bancário aparece em segundo lugar com apenas 16,9%. Por fim, o PIX parece ainda não ter caído nas graças para pagamentos de compras online, já que apenas 2,3% dos pagamentos foram realizados com ele.
Aumento nas vendas = aumento de tentativas de fraudes
Fraudadores querem escalar fraudes e fazer dinheiro fácil, por isso, costumam voltar a atenção para onde o consumidor tem se movimentado mais. Com o aumento na demanda do comércio eletrônico, eles vêem ali um caminho para conseguir encontrar brechas no sistema de antifraude.
Isso ocorre também porque as empresas tentam aumentar ao máximo a conversão e acabam ficando expostas às tentativas dos fraudadores. Com muitos clientes comprando ao mesmo tempo, é possível que o fraudador “passe despercebido” por um sistema que não esteja preparado para detectar um comportamento fraudulento. O objetivo é ser uma agulha no palheiro; e quanto maior o palheiro, mais difícil é encontrar a agulha.
Uma pesquisa divulgada pelo E-commerce Brasil apontou que só no primeiro trimestre de 2022, o mercado digital brasileiro teve mais de 39 milhões de pedidos. Neste mesmo período, a soma de tentativas de fraude está na casa dos 750 mil, número 23,6% maior que o mesmo período de 2021.
A maioria dessas compras são realizadas com cartões de crédito, consequentemente, ele também é o meio mais comum para as tentativas de fraude. Para se ter uma ideia, um relatório recente mostrou que as fraudes virtuais com cartões de crédito cresceram 637% nos primeiros seis meses de 2022, em comparação com o mesmo período de 2021.
Já o Relatório Global de Impacto de Fraude Financeira 2022 da IBM aponta que 31% dos brasileiros já sofreram alguma fraude com cartão de crédito. Ou seja, com quase 1/3 das pessoas relatando esse tipo de ataque, é inevitável que muitas pessoas solicitem o reembolso desses valores, gerando os famosos chargebacks.
Tudo começa nos vazamentos de dados
Os recorrentes vazamentos de dados acabam expondo informações que facilitam para que os golpistas consigam aplicar fraudes. Em 2021, apenas um vazamento expôs os CPFs de mais de 220 milhões de brasileiros – o que significa um número acima da população viva no país.
O relatório Dark Web Price Index 2022 mostrou que dados verificados de cartões de crédito com saldo de até US$ 5 mil são vendidos na deep web por US$ 120. As credenciais completas de cartões de crédito com saldo de até US$ 1 mil são comercializadas por US$ 80, enquanto os dados de cartão de crédito sem o saldo verificado (que podem ser utilizados por testadores de cartões) foram vendidas por apenas US$ 15.
Mas não é só disso que são feitos os vazamentos. Além de cartões de crédito e CPF, os vazamentos recentes trazem informações como RG, endereço pessoal, número de passaporte, fotos, e-mails e dados de cartões de crédito. Ou seja, com tantos vazamentos de dados é fácil e relativamente barato para que um fraudador tenha em mãos informações relevantes de cartão de crédito – que somadas aos dados pessoais fornecem munição suficiente para os fraudadores explorarem sistemas de detecção ultrapassados.
As técnicas utilizadas são múltiplas, variadas e estão em constante evolução. Mas é fundamental que nos atentemos às principais técnicas exploradas por fraudadores no mercado digital brasileiro.
Tipos de fraude em transações online
Account Takeover (ATO)
Account takeover, ou roubo de contas, ocorre quando um fraudador consegue acessar uma conta que não é dele. Há muitos caminhos para que ele seja bem-sucedido e um deles é aproveitar os vazamentos de dados de login e senha.
Cada grande violação de dados acaba ocasionando uma proliferação de tentativas de ATO, já que detalhes de login e senha são vendidos em massa por um preço baixo na deep web.
Mas existem outras formas de conseguir um roubo de conta, como uma campanha de e-mail de phishing em massa que possibilita ao fraudador ter acesso a dados cadastrais, uma senha fraca, por meio de um malware, ou ainda a criação de sites falsos.
Aqui fraudadores costumam clonar páginas reais, copiando o layout de páginas conhecida, o que leva as vítimas a inserirem seus dados voluntariamente. Uma das formas de levar pessoas até essas páginas é criar promoções falsas e divulgar em redes sociais. Para evitar cair nessa forma de phishing, é importante prestar atenção nas URLs das páginas que acessa.
Outra forma de invadir as contas é tentando adivinhar as senhas. Os brasileiros são famosos por utilizarem senhas fracas, o que acaba facilitando a vida dos golpistas. Um levantamento da ISH Tecnologia aponta que a senha “123456” lidera o ranking entre as mais utilizadas no Brasil, seguida por “123456789” e a palavra “Brasil”. Para se ter ideia dos riscos de uma senha fraca, o estudo aponta que 84,5% das senhas mais comuns no Brasil seriam quebradas por um hacker em menos de um segundo.
Segundo uma pesquisa da Kaspersky, mais da metade dos ataques de fraude na internet são para roubo de contas. Os objetivos dos fraudadores com esse tipo de ataque são diversos, como conseguir obter ainda mais dados do usuário (tem um telefone cadastrado na plataforma, por exemplo) e também ganhos financeiros.
Ao conseguir acessar uma conta real em uma plataforma de e-commerce, por exemplo, o fraudador está muito próximo de encontrar um cartão de crédito validado que já está salvo. Com os dados em mãos, ele pode aplicar golpes na própria plataforma que terão maior propensão de serem aprovados, dado o histórico positivo da conta e cartão naquele sítio.
Criação de identidade sintética
Outra técnica de fraude amplamente adotada no mercado digital brasileiro é a criação de identidades sintéticas. Para tal, o fraudador combina informações verdadeiras que obteve em vazamentos com dados falsos, gerando uma nova identidade.
Com essa “nova identidade” ele consegue criar perfis em sites de apostas, no e-commerce, ticketeiras e uma série de outros segmentos. Com essas contas, os fraudadores se aproveitam para aplicar fraudes como abuso de promoção, promover anúncios falsos, entre outras.
Além disso, ele utiliza essas contas para realizar transações com algum cartão de crédito que obteve por meio de vazamentos. Quando o dono real do cartão se deparar com uma cobrança irregular e contestar, irá gerar um chargeback.
Autofraude
Essa é uma modalidade de fraude bastante comum e que pode gerar muitas dúvidas. Apesar de o nome gerar curiosidade, já que autofraude pode parecer que o fraudador está perdendo dinheiro, nesse caso ele está apenas utilizando o próprio cartão de crédito.
Funciona da seguinte maneira:
Neste caso, a conclusão é bastante parecida com a relatada acima. Caso a loja online não consiga provar que se trata de uma compra real, ela terá de arcar com os custos do chargeback além de todos os outros que envolvem logística e o produto perdido.
Fraude amiga
Esse tipo de fraude acaba gerando até mesmo algumas reportagens na imprensa por ser mais curiosa. Você já deve ter lido a respeito da criança que gastou R$ 400 em McDonald`s ou a do menino que gastou mais de R$ 10 mil em móveis com o celular da mãe nos EUA.
O que acontece é que em muitos casos como esses a pessoa contesta a compra não por má-fé, como na autofraude, mas por simplesmente não saber da ocorrência da transação. Basicamente, são duas formas de essa fraude ocorrer: o dono do cartão foi vítima de “fogo-amigo”, como nos casos citados acima, ou não reconhece a razão social das empresas em seu extrato.
Muitas empresas acabam tendo razão social bem diferente do nome fantasia, o que pode gerar dúvidas nas pessoas e, consequentemente, o pedido de reembolso da compra.
Teste de cartões
Essa fraude é bastante temida pelas empresas, pois pode levar a um número alto de fraudes que por terem baixo valor passam despercebidos e, consequentemente, a entrada nos programas de monitoramento das bandeiras de cartões.
Nessa fraude, os criminosos estão em posse de dados do cartão de terceiros e não possuem informações como limites ou se os mesmos estão utilizáveis. Assim, eles tentam realizar compras em lojas virtuais para confirmação.
Primeiramente, as tentativas são mais baixas, R$ 1, R$ 3 ou até mesmo R$ 5. Com a compra aprovada e a comprovação de que os dados são válidos, o golpista busca um produto um pouco mais caro, na casa de R$ 30. E assim eles vão aumentando os valores, podendo superar os milhares de reais.
O problema com essa fraude pode se agravar em alguns merchants, principalmente os que possuem um ticket médio baixo. Os fraudadores se aproveitam dos valores dos produtos serem menores e acabam se beneficiando disso, já que, muitas vezes, a testagem não é detectada.
Alguns lojistas acabam deixando passar esses pequenos valores pensando na conversão maior, o que, em teoria, pode “valer a pena”. Contudo, esse tipo de fraude acaba sendo muito ruim para o ecossistema e as próprias bandeiras de cartões utilizam os programas de monitoramento para protegerem o mercado.
Ou seja, lojistas que não se preocupam com ataques de pequeno valor, podem acabar sendo bastante prejudicados no futuro, já que permanecer meses seguidos nos programas de monitoramento de bandeiras chega a gerar multas de até US$ 25 mil mais US$ 50 por chargeback, levando a um prejuízo de centenas de milhares de reais.
Fraude de triangulação
Essa fraude costuma ser bem complexa e difícil de ser analisada. Isso porque o fraudador se passa tanto por vendedor quanto por comprador dentro das plataformas. Essa fraude envolve um cliente legítimo, uma loja online legítima e uma loja online falsa operada por um fraudador que tem acesso a detalhes de cartão de crédito roubados.
Para se ter uma ideia, esse tipo de ação lembra bastante a chamada arbitragem. No mercado financeiro, é o ato de comprar um título em um mercado e depois vendê-lo imediatamente em outro mercado para obter lucro. Isso difere da estratégia de “comprar na baixa, vender na alta” porque é instantânea e, portanto, aproveita as discrepâncias entre mercados e plataformas, em vez do fluxo e refluxo natural dos preços.
A fraude de triangulação segue esse mesmo conceito, mas utiliza a modernidade e um ecossistema de cartão de crédito não presente (que exige apenas o número, validade e código de segurança do cartão).
Nesta fraude, um fraudador se passa por um comerciante legítimo para que ele possa receber dinheiro de uma “venda” e encomendar um produto com um cartão de crédito roubado.
Para conseguir acesso aos dados, o golpista cria uma loja virtual que precisa parecer real. Ele pode fazer isso criando sites falsos, anúncios em mídias sociais ou até mesmo em plataformas de marketplace.
Ele então procura alguma loja que tenha um produto que seja popular e, ao mesmo tempo, caro. Assim, ele copia o anúncio, mas coloca um valor abaixo do mercado, em busca de algum comprador que esteja procurando descontos. Quando ele consegue finalmente encontrar um comprador, ocorre o seguinte:
Nesse caso, o varejista acaba sendo a maior vítima, já que terá de arcar tanto com os custos do produto quanto com o chargeback que será gerado. Este é um ótimo exemplo de como a fraude se tornou sofisticada.
Abuso de promoção
As promoções são bastante chamativas e costumam ser agradáveis tanto para os consumidores, que conseguem grandes descontos, quanto para as empresas, que conseguem atrair novos novos consumidores, divulgar a marca e até mesmo engajar a base.
Mas esse tipo de ação também é visada pelos golpistas, que se aproveitam das ofertas das empresas. Dois tipos de promoções são mais visadas pelos golpistas: os bônus para novos clientes e os famosos vouchers.
O abuso de bônus de inscrição de novos clientes ocorre quando um golpista usa várias a promoção para se beneficiar do acordo de inscrição. Um exemplo de abuso de bônus de inscrição é quando um cliente usa por vários meses um teste gratuito de uma empresa. Para isso ele vai cadastrando diferentes cartões de crédito em diferentes e-mails e segue utilizando o serviço por “um mês grátis”.
Outra forma é se beneficiar de brindes enviados para quem se inscreve pela primeira vez na plataforma. O fraudador cria várias contas para acumular esses prêmios e depois revendê-los.
Já o abuso de promoção de vouchers é aquele nos quais os golpistas se aproveitam de códigos de descontos para conseguir pagar menos várias vezes. O abuso de vouchers é difícil de rastrear porque eles precisam atingir um grande público para serem eficazes.
Se esses códigos forem simples, os fraudadores tentam adivinhar outros códigos para obter mais descontos. O alto número de códigos que os comerciantes precisam liberar dificulta a detecção de atividades fraudulentas.
O abuso de promoção pode ser bastante caro para as empresas, já que qualquer pessoa com um smartphone pode tentar se aproveitar de brechas e utilizar os descontos várias vezes. Além disso, acaba sendo prejudicial porque a loja virtual acaba não atingindo o objetivo inicial da promoção, que seria atrair novos clientes ou até mesmo fidelizar a base.
Como detectar fraudes?
As fraudes são extremamente prejudiciais para o ecossistema e geram muitos prejuízos. Uma pesquisa realizada pela CISO Advisor estima perdas de R$ 130 bilhões em fraudes até 2024.
O problema para os e-commerces é que a responsabilidade financeira pelo estorno do pagamento recai toda sobre eles. Ou seja, o fraudador consegue prejudicar o lojista com os custos logísticos, a embalagem, o transporte, a perda do produto que foi comprado, além de impactar negativamente a experiência do usuário.
Além disso, as fraudes também afetam a reputação das empresas, já que a maioria dos consumidores não voltam a se relacionar com lojas nas quais foram vítimas de fraude.
Para piorar, as bandeiras de cartões possuem programas de monitoramento que observam tanto a taxa mensal de chargeback quanto a quantidade de chargebacks gerados no mês. Para quem entra nesses programas, as multas podem chegar a US$ 25 mil, além de cobranças por cada chargeback gerado. A conta, nesse caso, pode ser de milhares de reais perdidos.
Atualmente existem diversas plataformas que prometem detectar fraudes e evitar chargebacks. Contudo, é importante compreender que confiar apenas em dados cadastrais (como CPF, e-mail, nome, etc) na luta contra fraudes é um grande erro, já que dizem muito pouco sobre uma transação. Como dissemos, os recorrentes vazamentos de dados possibilitam aos fraudadores terem acesso fácil a esse tipo de informação.
Outro ponto importante a se destacar é que algumas plataformas antifraude tentam compensar isso com análise manual, ou seja, com a participação de um humano que vai analisar o passo a passo da transação para dizer se ela é fraudulenta ou não. Além de esse método não ser muito eficaz, ele é demorado e pode impactar negativamente a experiência do cliente.
Além disso, alguns setores que não possuem estoque, como o de ticketeira, acabam prejudicados. Imagine, por exemplo, o que poderia ocorrer se durante uma oferta de 1º lote de um show os clientes ficassem esperando a aprovação da compra.
A maneira mais eficaz de se proteger é não olhar para dados estáticos, mas sim para o comportamento do fraudador durante a transação. Por mais que os golpistas adquiram um dado real, não é possível imitar um comportamento.
As ações fraudulentas costumam ter características bem específicas durante uma transação e isso pode ser aproveitado no combate à fraude. Por meio de técnicas de engenharia e análise de dados de alto volume, a Legiti constrói modelos preditivos únicos e específicos para cada negócio e suas peculiaridades.
A análise de fraude da Legiti se diferencia do mercado por seu foco comportamental e dinâmico que a permite abdicar completamente de fluxos de análise manual, oferecendo decisões em tempo real para cada transação que chega ao sistema.
Contamos com cerca de 4 mil Features que são geradas a partir do cruzamento de dados e utilizadas por técnicas algorítmicas para fazer predições. Com isso, conseguimos maximizar o retorno financeiro de nossos parceiros, reduzindo as taxas de chargeback (em média 44% de redução) e aumentando as taxas de aprovação (em média 2.1% de aumento absoluto).
Tudo isso sem impactar na experiência do usuário, já que nossas análises são realizadas em menos de 2 segundos. Essa agilidade é fundamental para aumentar a taxa de conversão, já que não leva o consumidor a desistir da compra e ainda evita outras dores de cabeça como, por exemplo, o aumento na reclamação por demora na aprovação ou até mesmo a rejeição de pedidos legítimos.
“Compro e vendo ingressos”. Qualquer um que já frequentou um jogo de...
Acessar
O comportamento do consumidor mudou de vez e quem não acompanhar a...
Acessar
Os smartphones fazem parte da rotina de vida de qualquer pessoa e...
Acessar
O hábito de consumo das pessoas segue mudando e cada vez mais...
Acessar
Escolher o antifraude ideal é tarefa essencial para que os melhores negócios...
Acessar
O cliente pode até não se lembrar de uma experiência de compra...
Acessar