17 março 2014
Um tiro de canhão contra as fraudes online
A Internet e os dispositivos móveis e engenhocas relacionadas trouxeram tanta coisa extremamente útil em nossas vidas que às vezes é difícil imaginar como vivíamos sem eles. A compra de passagens aéreas e check-in, as compras online e operações bancárias, o compartilhamento de dados multidispositivos, manter as crianças ocupadas no banco de trás do carro com um filme em seus tablets (na minha juventude você ficava sentado ali vendo a paisagem). Mas estou divagando…
Infelizmente, junto com todas as coisas boas e úteis para facilitar a vida, a Internet trouxe-nos perigos. Malware, spam, cibercrime, armas cibernéticas etc. Há também fraude na Internet, o assunto deste post, ou – mais precisamente – como combatê-la.
Mas vamos começar com o básico: quem sofre com a fraude na Internet?
Consumidores? Bem, sim, mas não muito em comparação com as empresas: o peso do custo de fraude online é pior para bancos, varejistas e, de fato, todos os operadores online.
Alguns números para ilustrar o alcance da fraude na Internet:
- Em 2012, nos Estados Unidos apenas, as perdas diretas por golpes online chegaram a US$ 3,5 bilhões;
- Essas perdas foram causadas por cerca de 24 milhões de pedidos fraudulentos;
- Quase 70 milhões de pedidos foram cancelados devido a suspeita de crime.
Tudo bastante alarmante.
Nesse meio tempo, as empresas online estão tomando medidas contra isso?
Claro. Um monte!
Todos elas têm um grande orçamento para cobrir “riscos”, têm equipes especiais dedicadas a verificar manualmente as operações, e empregam diferentes tecnologias de proteção. Mas os orçamentos de risco não são infinitos, essas equipes não são baratas – e podem cometer erros, e sistemas de análise automatizados estão longe do ideal. Mesmo invenções legais em matéria de autenticação de dois fatores não garantem a segurança. Por exemplo, o chipTAN, popular na Alemanha, precisou de dois meses para ser crackeado; enquanto interceptar SMS com os códigos para transações já é feito há anos. Claramente, a ofensiva tem a vantagem sobre a defesa: novas tecnologias são raramente lançadas e rapidamente contornadas.
O que é necessário é uma nova abordagem para a proteção e reação rápida aos novos desafios de segurança.
A indústria anti-malware pode melhorar as coisas aqui? Claro que pode!
Temos brincando de pega-pega com o cibercrime por décadas e sabemos perfeitamente bem como identificar e consertar problemas de segurança. No entanto, para aplicar a nossa experiência com o mundo real e combater a fraude online precisamos da cooperação de bancos, varejistas e qualquer outra pessoa que faz negócios na Internet – apenas assim podemos fazer a diferença. O desafio é difícil, e o consumidor médio pouco pode fazer. Por outro lado, os operadores online têm tudo ao seu alcance – conhecimento, tecnologia e contato direto com seus clientes (e seus computadores e dispositivos). Além do mais, os consumidores tendem a achar que as empresas são capazes e obrigadas a fornecer segurança. A única coisa que estava faltando aqui eram as ferramentas certas.
A questão lógica que você pode fazer neste momento é: “não é a tarefa dos antivírus proteger os consumidores nas transações online?”
Bem, em primeiro lugar, nem todos têm antivírus. Especialmente em dispositivos móveis. Em segundo lugar, mesmo que instalado, de longe, nem todos os AV são capazes de manter-se a par com a ganância inventiva do cibercrime: as perdas acima demonstram claramente que o nível geral de proteção móvel não é obstáculo para os bandidos. Finalmente, existem tecnologias de proteção adicionais não presentes em antivírus tradicionais que podem ser usadas especificamente contra fraudes na Internet.
Então é por isso que recentemente lançamos a KFP (Prevenção a Fraudes Kaspersky) – uma solução dedicada para bancos, varejistas e outras empresas online para reduzir as perdas financeiras.
Especificamente, o KFP protege contra o roubo de dados de acesso para serviços bancários online, interceptação da transação, contorno do multifator de autenticação, e muitos outros tipos de sofisticados golpes na Internet.
O KFP consiste de três módulos:
- Um agente leve para uma estação de trabalho (Windows e Mac) ou plataforma móvel (Android e iOS ), compatível com outros antivírus, discreto, rápido e que pune as tentativas de fraude online. Os detalhes estão aqui.
- Um servidor antifraude que revela a atividade suspeita em transações bancárias ou processamento de pagamentos online com base em uma série de parâmetros (comportamento do usuário, ID do dispositivo e classificação do mesmo em nossa rede KSN, sessões comprometidas, presença de código malicioso etc) . Ele também se integra com os sistemas antifraude bancária existentes e fornece dados analíticos valiosos. Os detalhes estão aqui.
- Um console de gerenciamento para agentes e servidores de monitoramento, análise da situação, acompanhamento de ataque, relatórios e muitas outras coisas que tais consoles normalmente fazem. Mais detalhes aqui.
A KFP conta com tecnologias utilizadas em nossos produtos para terminais que têm certificados e prêmios que comprovam sua capacidade de lidar com a maioria dos ataques a transações online de maneira melhor do que a concorrência.
Cerca de 10% das encomendas online vêm de dispositivos móveis. No entanto, o monitoramento de fraudes neste segmento é realizado por apenas 30% das empresas. O que é incrível porque o nível de fraude móvel é 50% maior do que os não-móvel. Depois, há o problema do outro lado da cerca – não são muitos os usuários que entendem que os smartphones e tablets precisam ser protegidos, assim como os computadores comuns. Entretanto, a diversidade e a funcionalidade de malware nesses dispositivos está rapidamente alcançando o nível no Windows.
Os bancos e grandes varejistas, porém, investem no desenvolvimento de seus próprios aplicativos móveis e fazem o que podem para mantê-los protegidos ao máximo. Mas para os pequenos varejistas online sem experiência ou especialização em segurança, proteção a partir do zero leva muito tempo , é cara, e nem sempre têm o resultado esperado.
Para enfrentar esse desafio, decidimos que KFP também deve vir como um SDK, ou seja, bancos e outros operadores online podem criar seus próprios aplicativos para Android e iOS com os nossos recursos de segurança já implementados! E há mais: proteção em várias camadas de malware, análise comportamental de aplicativos, verificação de certificado, verificação de reputação da URL, proteção contra ataques de phishing, armazenamento seguro de dados, criptografia de SMS, verificação de confiabilidade de conexão Wi-Fi, anti-keylogger, bloqueio anti-captura de tela, bloqueio de jailbreaking, atualização de software automática, e muito, muito mais.
E tudo isso não é de alguma startup com belas apresentações e implementação questionável, mas de especialistas experientes, que criaram uma das melhores soluções de segurança para dispositivos móveis, e que em alguns meses estará comemorando aniversário de 10 anos de luta contra parasitas móveis.