Experts

O que são fraudes sintéticas e por que as empresas deveriam se preocupar com isso

O combate aos crimes cibernéticos e fraudes é vital para termos uma sociedade melhor. Enquanto esse tema for tratado de maneira romântica, como se estivéssemos diante de “Robin Hoods digitais” (e não de criminosos), continuaremos sendo surpreendidos pela criatividade e audácia dos crimes.

Aos poucos, o tema vai ganhando relevância. Um bom exemplo é a assinatura de um Acordo de Cooperação Técnica (ACT) entre a Federação Brasileira dos Bancos (Febraban) e a Polícia Federal para aumentar a colaboração entre o setor financeiro e as autoridades no caso de ataques. O ACT vai além das ações policiais e propõe treinamentos, cursos e outras ações de capacitação para que o mercado, além de saber que o problema existe, tenha ferramentas para reagir.

O fato é que, enquanto os crimes cibernéticos forem “varridos para debaixo do tapete”, tratados como um tabu, os criminosos continuarão à frente das empresas. Os fraudadores trocam informações com muito mais velocidade e intensidade do que as empresas – e essa guerra se torna desequilibrada: de um lado, um exército de criminosos que atua de forma coordenada e compartilha toda e qualquer fraqueza descoberta; de outro, empresas que não tocam no assunto e investem menos do que deviam em segurança.

Em minhas conversas com clientes e prospects, não é raro encontrar empresas que ainda dependem de processos manuais para fazer sua segurança. Planilhas, listas positivas e negativas, cartas de aviso de chargeback das operadoras de cartão e até mesmo telefonemas são alguns dos recursos que vemos por aí. Muitas empresas avançaram um pouco na automação e desenvolveram regras para identificação de fraudes. Mas nem de longe isso é suficiente.

LEIA TAMBÉM: Startup que desenvolve solução contra fraudes em sites de compras online, Legiti anuncia rodada de R$ 42 milhões

Um terceiro estágio de evolução é o uso de biometria, informações georreferenciadas, mensagens SMS para confirmação e até mesmo identificação do dispositivo que o cliente está usando. Esses modelos de segurança são o mainstream do mercado brasileiro, mas os fraudadores já foram muito além…

Mesmo o estágio seguinte, de uso de reconhecimento facial e dados comportamentais, já vem sendo explorado pelos fraudadores. O uso de machine learning, hoje o estágio máximo de avanço da proteção antifraude, é o novo front da disputa entre criminosos e empresas de segurança.

Identificamos recentemente que informações reais de consumidores são coletadas por sistemas automatizados em sites (hackeados ou criados especificamente para o roubo de dados) e aplicadas para enganar as ferramentas mais modernas baseadas em machine learning e identificação de dispositivos. Na chamada dark web ou deep web, é possível encontrar empresas especializadas em soluções que contornam os mecanismos de segurança mais comuns do mercado. Como? Por meio do que chamamos de fraude sintética.

LEIA TAMBÉM: Incognia capta US$ 15,5 milhões para expandir soluções de proteção à fraude mobile

Como funcionam as fraudes sintéticas?

As fraudes sintéticas são um modelo de crime em que a tecnologia é usada para criar perfis aparentemente reais – e altamente detalhados – de consumidores. Elas se baseiam em informações como a captura de sessões reais de clientes, informações verdadeiras de dispositivos, comportamentos passivos reais dos seres humanos e cookies legítimos. Dessa forma, uma série de informações verdadeiras é usada para gerar perfis falsos, que são usados por criminosos que se passam por consumidores reais.

Assim, fica muito mais difícil saber que um sistema automatizado não é um ser humano. Alan Turing, um dos pioneiros da computação, já se referia a esse problema quando ele ainda era uma teoria. O chamado “teste de Turing” pretendia oferecer uma forma de definir se um computador podia pensar – mas para isso o sistema precisa saber o que pode ser considerado um pensamento. No dia a dia, fazemos isso constantemente com outros seres humanos: conversamos com eles e entendemos sua forma de raciocinar.

Os sistemas antifraude de hoje funcionam como testes de Turing: eles tentam reconhecer se um comportamento é humano (e pertencente à pessoa que ela diz ser). O problema é que, com as fraudes sintéticas, cada vez mais sistemas automatizados conseguem se passar por seres humanos reais.

A capacidade que a tecnologia tem de “imitar” o ser humano não é, em si, algo negativo. De fato, é cada vez mais comum que chatbots falem como seres humanos ou que nos relacionemos no dia a dia com máquinas que se comportam com pessoas. Mas uma coisa é conversar com a Alexa em sua casa, outra é autorizar uma transação feita por um robô com o objetivo de fraudar o sistema.

LEIA TAMBÉM: Unxpose descobre falhas de segurança de empresas antes que hackers ataquem

Como combater as fraudes sintéticas?

No combate às fraudes sintéticas, lamento trazer uma má notícia. Não adianta mais marcar um dispositivo de um cliente como legítimo, ou criar listas positivas e negativas de clientes, pois as fraudes sintéticas emulam dispositivos e sessões desses dispositivos. Sistemas tradicionais não conseguem diferenciar a fraude da realidade.

Como diria o poeta – e agora, José?

Simplificando a questão para um linguajar não-técnico, para identificar as fraudes sintéticas os sistemas de combate precisam coletar o “DNA” dessas ferramentas fraudulentas para criar uma espécie de vacina, que é acrescentada aos seus modelos de machine learning. Assim, uma vez que o sistema identifique um comportamento que se pareça com algo que poderia ser feito por meio de fraudes sintéticas, a transação é barrada e enviada para uma análise mais profunda.

Para combater esse tipo de fraude, é preciso ter uma abordagem de segurança muito mais complexa. Já detectamos o uso de fraudes sintéticas no Brasil, uma vez que essa tecnologia está amplamente disponível na dark web e pode ser comprada com a mesma facilidade de aquisição de qualquer produto em um e-commerce. É por isso que as empresas de segurança e seus clientes precisam ter uma abordagem muito mais colaborativa no combate às fraudes.

Somente atuando juntos, poderemos manter olhos e ouvidos abertos para identificar possíveis ameaças, fazer a engenharia reversa delas e atuar de modo proativo. Quando isso acontece, os usuários passam a contar com uma barreira invisível, se defendendo de ameaças que nem sabiam que existiam. Melhor do que ter o chargeback é barrar a transação fraudulenta na raiz.

Os desafios são cada vez maiores. E a maneira como nos preparamos para lidar com o inesperado é o que fará toda a diferença no combate às ações de cibercriminosos.

This post was last modified on junho 3, 2022 4:42 pm

Paulo Moura

Share
Published by
Paulo Moura

Recent Posts

Revolução Pix: colaboração entre Banco Central e mercado financeiro foi crucial para pensar, criar e implementar Pix no Brasil

Parte do sucesso do Pix tem suas bases no alinhamento entre os objetivos do Banco…

junho 28, 2022

Revolução Pix: como o método de pagamento instantâneo criado no Brasil colocou o país na vanguarda da indústria global de pagamentos

Liderada pelo Banco Central, a criação do Pix é um exemplo de como a inovação…

junho 20, 2022

Time to market: a arte de ligar os pontos

O Time to Market tem sido um grande aliado das startups para atrair investidores, mas…

junho 19, 2022

Appmax cresce sete vezes ajudando clientes a vencer fraudes e “burocracia digital”

Empresa fundada em 2018 pelos irmãos Betina e Marcos Wecker viu número de sites usando…

junho 19, 2022

Tangerino by Sólides: a experiência de vender um negócio

Como duas empresas irmãs, mineiras e comprometidas com inovação se uniram para mudar o cenário…

junho 16, 2022