Gestão de Fraudes, Pagamentos e Segurança em Plataformas de E-Commerce

Kenneth Corrêa

kenneth@grupowtw.com.br

MBA em Gestão de E-Commerce

1. Apresentação

2. Segurança na Internet

3. Processamento de Pagamentos

4. Gestão de Fraudes

5. Gestão de Riscos e Segurança

Roadmap

1. Apresentação

• Educação

• Empresas Privadas

• Universidades

• Consultoria

• Negócios

Kenneth Corrêa

• Segurança na internet: conceitos, métodos, técnicas e ferramentas.

• Dispositivos de hardware e sistemas de software.

• Gestão de fraudes e meios de pagamentos.

• Análise, Projeto e implementação de um sistema de segurança em um site de e-commerce.

Ementa

• MARCON, Antonio Marcos. Aplicações e bancos de dados para Internet. 2. ed. São Paulo: Érica, 2000.

• SEGURANÇA máxima: o guia de um hacker para proteger seu site na Internet e sua rede. Rio de Janeiro: Campus, 2000.

• MENEZES, J. C. Gestão da segurança da informação. São Paulo: JH MIZUNO, 2011.

Bibliografia Básica

• Como está o inglês de vocês? E o management-ês?

• Já teve experiência com invasão de website?

• A loja possui alguma política de segurança da informação?

• E experiência com fraudes? Qual nível de fraude sobre o faturamento?

Rápido Briefing

2. Segurança na Internet

Economia da Informação

Top 10 empresas

mais valiosas em 2016

Top 10 empresas

mais valiosas em 2006

Top 5empresas mais valiosas em 1996

• 1,5 milhões de ataques todos os dias

• 7 de cada 10 emails disparados são SPAM

• 70% dos ataques são feitos por insiders

Números da Segurança da Informação

Números em Real-Time

https://cybermap.kaspersky.com/

https://threatmap.fortiguard.com/

https://threatmap.checkpoint.com/ThreatPortal/livemap.html

• Proteger informações preservando o valor que possuam para um indivíduo ou organização

Segurança da Informação

ABNT NBR ISO/IEC 27002:2013

• Confidencialidade

• Integridade

• Disponibilidade

• Autenticidade

• Irretratabilidade

• Conformidade

Características da Segurança da Informação

} C.I.A.

• Não existe nada 100% seguro

• Pesar custos x benefícios

Dilemas da Segurança da Informação

Política de Segurança da Informação

Proporcional a quanto vale a informação, e os prejuízos que poderiam decorrer do uso impróprio da mesma

Quanto investir em Segurança da Informação?

• Controles Físicos

• Controles Lógicos

Mecanismos de Segurança

Chave SimétricaChave Assimétrica

Criptografia

• Perda de Confidencialidade

• Perda de Integridade

• Perda de Disponibilidade

Ameaças à Segurança

} C.I.A.

• Diversão

• Demonstração de poder

• Prestígio entre atacantes

• Motivações financeiras

• Motivações ideológicas

• Motivações comerciais

Motivação dos Ataques

• Malware

• Scan

• E-mail spoofing

• Sniffing

• Brute Force

• Defacement

• DoS ou DDoS

Exploração de Vulnerabilidades

• Furto de Identidade

• Fraude de antecipação de recursos

• Phishing

• Pharming

• Hoax

Principais Golpes na Internet

• Site fraudulento

• Sites de compra coletiva

• Marketplaces C2C

Golpes de E-Commerce

• O Cyberespaço é caótico!

• E-Commerce reduz o custo para os fraudadores

• Não há contato visual/pessoal

Pontos fracos do E-Commerce

• Hackers buscando capturar informações dos consumidores

• Impostores criarem espelhos do seu site

• Usuários autorizados baixando dados da loja

• Usuários autorizados danificando informações

Ameaças mais comuns no E-Commerce

• Regulatório (externo)

• Banco de dados e rede

• Financeiro (interno)

• Fraude e risco de crédito

• Marketing e Operações (interno)

• Espionagem Industrial

Framework de Segurança para E-Commerce

Fator crítico na decisão na hora de comprar:

CONFIANÇA!

Por que segurança?

• Certificado SSL

HTTP x HTTPS

• Taxa de Conversão

Selos de Segurança

3. Processamento de Pagamentos

Processo

Ecossistema

Charge-Back

• O grande vilão da gestão de riscos

• Pode ser requerido até 180 dias após a compra

E o cartão de débito?

• Características:

• Debitado direto da conta corrente

• Recebimento em até 2 dias

• Comissão menor que cartão de crédito

• Benefícios:

• Transação autenticada permite recorrer ao charge-back

• Diminui risco de fraude quando autenticada

Dicas para Gestão de Meios de Pagamento

• Índice de autorização > 80%

• Cartão de débito ótima opção para reduzir custos com tarifas e melhorar o fluxo de caixa

• Considerar aspectos técnicos além do % das tarifas

• Prevenção de fraude é essencial quando o risco é seu (quase sempre)

• Controlar ticket médio e perfil do cliente, pois varia muito, mesmo dentro do mesmo segmento

Missão do Gestor da Loja Virtual

• Aumentar a taxa de conversão, reduzindo o abandono de carrinho

• Facilitar o processo de pagamento para o consumidor

• Reduzir o custo e prazo do frete

• Minimizar riscos de fraude e charge-back

• Garantir a segurança dos dados dos clientes

• TRANSPARENTE (on site)

• OFF SITE

Checkout

• Payment Card Industry Data Security Standard (PCI DSS)

• Compliance

• Homologação

4. Gestão de Fraudes

Fraude é um ato praticado deliberadamente com fins de obtenção de ganhos de forma desonesta ou

ilegal.

Fraude - Conceito

Evolução das Fraudes no Brasil

1% de 41 bi (2015) são 410 milhões!!

Fraudes por Segmento

• Existência de golpistas motivados

• Existência de vítimas adequadas e vulneráveis

• Ausência de controles eficazes

Cenário para ocorrência de Fraude

Engenharia social ou de tecnologia para obtenção de dados, e aproveitamento em fragilidade nos sistemas

e controles das lojas virtuais.

Como ocorre uma fraude?

• Fraude efetiva

• Auto-fraude

• Fraude amigável

• Falsificação de documentos

• Marketing Ativo (venda de dados)

• Phishing

Tipos de Fraudes

• Consumidores

• Cartão de crédito clonado

• Pagamento na entrega

• Troca

• Lojistas

• Reviews e Avaliações

• Descontos (“Black Fraude”)

• Produtos falsificados

Fraudes nos dois lados do E-Commerce

Teste nos pequenos

As técnicas têm melhorado

Aplicação nos grandes

Contestação da compra por parte do comprador, por insatisfação com o recebimento do produto ou

não reconhecimento da compra.

Chargeback - Conceito

Chargeback no cenário de fraude

• Lançamento de débito contra o estabelecimento

• Perda da receita

• Perda do produto (no caso de fraude)

• Risco de multa se volume de chargebacks > 2%

Consequências do Chargeback

Certificar a veracidade das informações cadastrais e dados oferecidos na hora da compra.

Pode ser automática, manual ou mista.

Análise de Transações

Redes neurais

Bases externas

Scoring

Análise Automática

Recuperação de Vendas

Falsos Positivos

• Compra de produtos sem ligação lógica entre eles

• Utilização de e-mails gratuitos, e sem relação com o nome do comprador

• Grande volume de pedidos em curto espaço de tempo

• Pedidos em nomes de diferentes portadores, com endereços diferentes ou emails iguais

• Verificar a coerência dos números telefônicos (número de dígitos e DDD condizente com endereço)

• Produtos de alto valor, com fácil revenda (eletrônicos)

Comportamentos Suspeitos

• Em ligação telefônica, aplicar perguntas incomuns, como: “Qual o seu signo?”, “Quando é seu aniversário”, e seguido de “Quantos anos você tem?” ou ainda “Qual o banco emissor do seu cartão de crédito ?”

• Deixe o comprador falar, e correr o risco de se contradizer

• Faça a mesma pergunta mais de uma vez, e confira as respostas

• Sempre que houver apenas um telefone celular, pedir um telefone fixo, residencial ou comercial

• Pedir o envio de documentos digitalizados (RG, CPF, Comprovante de Endereço e Extrato do cartão de crédito utilizado)

• Consultar a consistência do CNPJ/CPF, CEP e Telefones nas Operadoras

• Combinar a análise manual com algum sistema de scoring ou de proteção ao crédito (SERASA/SPC)

• Utilizar o email para identificar perfil no Facebook

Como conduzir uma análise manual

• É permitido informar à vítima devidamente identificada:

• Produtos adquiridos, bandeira do cartão, emissor do cartão, cidade de entrega, data e horário da compra

• Orientar que entre em contato com a operadora e informar o ocorrido

• Orientar que procure por outras fraudes na fatura

• Não é permitido:

• Informar endereços, telefones ou e-mails utilizados na compra

• Coibir que seja registrado boletim de ocorrência

Em caso de fraudes

100% do estabelecimento que aceitou o pagamento!

Responsabilidades

5. Gestão de Riscos e Segurança

• 1,5 milhões de ataques todos os dias

• 7 de cada 10 emails disparados são SPAM

• 70% dos ataques são feitos por insiders

Números da Segurança da Informação

• Confidencialidade

• Integridade

• Disponibilidade

• Autenticidade

• Irretratabilidade

• Conformidade

Características da Segurança da Informação

} C.I.A.

• Não existe nada 100% seguro

• Pesar custos x benefícios

Dilemas da Segurança da Informação

• Regulatório (externo)

• Banco de dados e rede

• Financeiro (interno)

• Fraude e risco de crédito

• Marketing e Operações (interno)

• Espionagem Industrial

Framework de Segurança para E-Commerce

Política de Segurança da Informação

Atividade

- Escolher uma loja virtual existente- Descrever histórico, tamanho da loja, mix

de produtos, público-alvo- Elaborar uma política de Segurança da

Informação, contemplando Pessoas, Processos e Tecnologias, e tratando as 6

características de segurança da informação (Confidencialidade, Integridade, Disponibilidade, Autenticidade,

Irretratabilidade e Conformidade)

Atividade

- Descrever os meios de pagamento atualmente aceitos pela empresa

- Identificar possíveis riscos de segurança e financeiros para a empresa, com os meios

adotados- Sugerir um plano de adequação de meios

de pagamento, indicando os pontos fortes e fracos dos meios sugeridos

- Sugerir uma política de gestão de Fraudes para cada um dos meios de pagamento

sugeridos

Obrigado!

Kenneth Corrêa

kenneth@grupowtw.com.br