Prevenção de fraudes no e-commerce: dicas, estratégias e práticas recomendadas

Prevenção de fraudes no e-commerce: dicas, estratégias e práticas recomendadas

Fraudes no e-commerce continuam a aumentar, o que custa muito dinheiro às empresas. De acordo com as projeções da Juniper Research, os comerciantes perderão US$ 343 bilhões globalmente com fraudes de pagamento de 2023 a 2027. Para efeito de comparação, isso quase equivale à renda global da Apple em 2023. As perdas abrangem todos os setores, desde comerciantes que vendem produtos digitais e físicos até instituições financeiras e vendedores de passagens aéreas. Apesar das medidas de verificação de identidade difundidas, as apropriações indevidas de contas de usuários estão aumentando os prejuízos por fraude. 

O que as empresas podem fazer para proteger a si mesmas e seus clientes contra fraudes de pagamento? 

Neste guia, definiremos o que é fraude de e-commerce, examinaremos os diferentes tipos de esquemas fraudulentos, ofereceremos dicas práticas para prevenção de fraudes de e-commerce e, em seguida, recomendaremos ferramentas para prevenção de fraudes.

O que é fraude no e-commerce?

Fraude no e-commerce é um tipo de crime cibernético em que agentes mal-intencionados usam indevidamente transações on-line para roubar bens, serviços, fundos ou informações de contas de empresas ou clientes. Por exemplo, um grupo de criminosos cibernéticos pode realizar um golpe de Black Friday invadindo contas de clientes para fazer compras fraudulentas ou inscrevendo-se em várias contas para abusar de códigos promocionais para descontos para novos usuários.

Ataques de fraude de e-commerce podem servir a vários propósitos para criminosos:

• Permitir que ladrões on-line obtenham produtos ilegalmente, explorem serviços ou desviem dinheiro de transações on-line. 

• Preparar o terreno para fraude de identidade, o que geralmente leva ao uso indevido futuro de contas de clientes e informações pessoais. 

• Ajudar criminosos a sondar as redes da empresa em busca de vulnerabilidades, abrindo caminho para ataques futuros. 

• Prejudicar a integridade financeira e a reputação de uma empresa, ou semear o caos econômico nos países atacados, quando realizado por grupos criminosos ou terroristas.

Tipos de fraude no e-commerce

A fraude no e-commerce é muito variada. No Relatório global de pagamentos e fraudes no e-commerce de 2023, a plataforma de gerenciamento de pagamentos Cybersource identificou os 12 tipos mais comuns de fraude no e-commerce, que permaneceram relativamente uniformes nos últimos anos. Como você verá abaixo, esses tipos de fraude giram em torno de técnicas como roubo de identidade, criação de conta falsa ou abuso de privilégios de conta.

1. Phishing, whaling e pharming

Esses ataques semelhantes consistem em se passar por fontes confiáveis para enganar os usuários e fazer com que eles concedam acesso a credenciais de login, números de previdência social, detalhes de cartão de crédito ou outras informações confidenciais. 

Phishing, a variedade mais comum, envia aos destinatários um e-mail fingindo ser de uma fonte conhecida, com uma mensagem desenvolvida para enganar a vítima para compartilhar seus dados. Por exemplo, alguns golpes da Cyber Monday tentam roubar informações de cartão de crédito ao enviar mensagens que alegam que os destinatários se qualificam para reembolsos de produtos que nunca compraram. Quando a vítima clica em um link para um site falso e insere uma senha, as credenciais são roubadas.

Whaling e pharming são formas especializadas de phishing. Whaling visa especificamente indivíduos de alto perfil, como executivos da empresa, usando táticas personalizadas. Pharming envolve o uso de um site falso desenvolvido para roubar credenciais de visitantes desavisados que acreditam estar em um site autêntico.

2. Fraude amigável (fraude de estorno)

Nesse tipo de ataque, o golpista pede um produto ou serviço e então contesta a cobrança com a empresa de cartão de crédito para obter um reembolso, deixando a vítima arcar com o custo do dinheiro do reembolso e de quaisquer bens ou serviços entregues. Por exemplo, o criminoso pode alegar falsamente que um produto nunca foi recebido quando na verdade foi. Ou pode alegar que um produto recebido está com defeito quando não está.

A fraude de estorno também é chamada de "fraude amigável" porque o perpetrador usa credenciais legítimas de clientes e pode até ser um cliente legítimo, fazendo com que pareça "amigável" para a vítima. Esse tipo de fraude é frequentemente visto como o oposto do phishing: enquanto um golpista de phishing se passa por uma empresa confiável, o fraudador amigável se faz passar por um cliente confiável.

3. Teste de cartão (cracking de cartão)

Esse método de ataque consiste em fazer uma transação de baixo valor para verificar se um cartão de crédito obtido de forma fraudulenta está ativo, criando uma oportunidade para furtos maiores no futuro. Os cartões usados nesse tipo de fraude podem ter sido roubados fisicamente, hackeados de processadores de pagamento de comerciantes (raspados) ou fabricados usando informações de cartões legítimos (clonados).

O teste de cartão emprega dois métodos principais: pequenos pagamentos e tentativas de autorização de pagamento. No método de pequeno pagamento, o golpista faz uma compra de uma pequena quantia, como US$ 1, para verificar se o cartão está ativo. Ou, em vez de fazer um pequeno pagamento, um criminoso pode iniciar uma tentativa de autorização de cartão para verificar se uma conta tem fundos suficientes para cobrir uma compra.

4. Roubo de identidade

Os ladrões de identidade usam informações roubadas ou falsificadas para obter bens, serviços ou fundos em nome de uma pessoa ou empresa real ou fictícia. Essas informações de identificação podem ser adquiridas por meio de vários métodos, como violação de bancos de dados, interceptação de e-mails ou textos, phishing, raspagem de dados de crédito ou roubo físico de documentos. Uma vez obtidas, as informações roubadas podem ser usadas para atividades como fazer compras, abrir contas de cartão de crédito ou roubar restituições de impostos.

5. Abuso de cupons, descontos e reembolsos

Esses métodos de fraude exploram as ofertas promocionais e as políticas de reembolso das empresas. Por exemplo, um ladrão de cupons pode usar repetidamente o mesmo cupom, resgatar um cupom destinado a outra pessoa ou criar várias contas para aproveitar cupons adicionais.

Fraudes de descontos e reembolsos consistem em táticas enganosas semelhantes. Por exemplo, um cliente pode alegar falsamente ser um veterano para se qualificar para um desconto para militares. Ou um colaborador pode compartilhar indevidamente seu desconto com familiares ou amigos que não se qualificam.

Os autores de fraudes de reembolso costumam apresentar reclamações frívolas para se beneficiarem das políticas de reembolso do estabelecimento. Em alguns casos, o criminoso revende o item reembolsado com lucro. Outra variação usa recibos falsos para solicitar reembolsos de bens ou serviços que nunca foram comprados.

6. Apropriações de conta (ATO)

Esse tipo de fraude acontece quando um ladrão de identidade assume o controle da conta de um cliente. O criminoso pode então fazer compras em nome do cliente, enviar mercadorias para um endereço diferente, esgotar recompensas de fidelidade ou roubar informações pessoais e de pagamento. De acordo com uma pesquisa da Security.org, a apropriação de contas se tornou uma das formas de fraude que mais cresce nos últimos anos, com a invasão de contas comerciais aumentando de 13% dos ataques de fraude de e-commerce em 2021 para 29% em 2023.

7. Fraude de fidelidade (fraude de recompensas ou fraude de pontos)

Essa categoria de fraude envolve o uso indevido de pontos de recompensa por ladrões de identidade, colaboradores ou clientes. Por exemplo, hackers que realizam apropriações de contas podem transferir pontos de recompensa para suas próprias contas ou vendê-los a outras pessoas. Colaboradores com acesso a contas de clientes podem roubar pontos. Até mesmo clientes legítimos podem usar táticas como alterar datas de nascimento para receber várias recompensas de aniversário. 

Atualmente, a fraude de fidelidade afeta 22% dos comerciantes, o Relatório global de pagamentos e fraudes de 2023 do Merchant Risk Council .

8. Fraude de afiliados

Empresas com programas de afiliados podem ser vítimas de golpes por meio dos quais os criminosos ganham comissões fraudulentas. Esses ladrões usam táticas como falsificação de cliques (spoofing), geração de cliques por meio de bots e preenchimento secreto de cookies nos navegadores dos visitantes para manipular o rastreamento.

9. Reenvio

Com a fraude de reenvio, os criminosos usam cartões de crédito roubados para comprar itens caros, como computadores e dispositivos eletrônicos. As mercadorias são enviadas para colaboradores de serviços de reenvio que, sem saber, as encaminha para outros países. Esses colaboradores de reenvio geralmente acreditam que estão realizando um serviço legítimo e podem não perceber que fazem parte de um esquema criminoso.

10. Botnets

Os ataques de botnet consistem em usar vários dispositivos comprometidos para inundar provedores de e-commerce com código de software malicioso para permitir atividades não autorizadas. Os botnets podem ser usados para invadir senhas, roubar dados de clientes, enviar e-mails de phishing em massa ou realizar outras ações ilícitas. Elas geralmente dão suporte a outros métodos de fraude, como fraude de afiliados, amplificando o impacto e a escala dos ataques.

11. Esquemas de triangulação

Os ataques triangulados consistem no uso de vários canais para enganar empresas e clientes. Nesse tipo de ataque, os criminosos listam a mercadoria de uma empresa a preços com desconto em sites de terceiros, como Amazon ou eBay. Quando os clientes compram a mercadoria com desconto usando cartões de crédito, eles involuntariamente fornecem os dados do cartão ao criminoso. 

Em seguida, o criminoso usa um cartão de crédito roubado para solicitar a mercadoria do site do comerciante e a envia diretamente ao cliente. Nem o cliente nem a empresa percebe que os dados do cartão de crédito do cliente foram roubados durante a transação.

12. Lavagem de dinheiro

Organizações criminosas, grupos terroristas e outros agentes mal-intencionados podem usar sites de e-commerce para transferir fundos de forma clandestina. Eles podem lavar dinheiro vendendo produtos falsificados, inflando os preços de produtos reais ou realizando transações falsas para disfarçar a movimentação de fundos ilegais.

Estratégias de prevenção de fraudes no e-commerce

Embora existam diferentes tipos de fraude em e-commerce, a maioria dos esquemas usa táticas semelhantes, com padrões previsíveis que permitem prevenção. 

Diversos métodos incluem criminosos que se fazem passar por empresas ou clientes. Por exemplo, ataques de phishing imitam empresas, enquanto fraudes amigáveis geralmente envolvem se passar por clientes legítimos. Outras táticas exploram contas de clientes legítimas ou roubadas para iniciar transações fraudulentas, como estornos frívolos ou abuso de cupons. Essencialmente, muitos desses ataques giram em torno do roubo de identidade ou do uso ilegítimo de identidades para realizar transações fraudulentas.

Isso significa que as equipes de segurança podem interceptar muitos ataques ao verificar novas contas e autenticar o uso das existentes. A verificação de contas garante que os usuários que abrem novas contas são quem dizem ser, enquanto a autenticação de contas confirma que os usuários que acessam contas são titulares legítimos.

Ferramentas de prevenção de fraudes no e-commerce

A Twilio oferece essas ferramentas poderosas para ajudar as empresas a implementar estratégias essenciais de defesa contra fraudes no e-commerce:

Twilio Verify

O Twilio Verify  é uma API de verificação de usuário final desenvolvida especificamente para lidar com otimização de rotas, canais, geração de código e monitoramento de fraudes. O Verify foi desenvolvido para simplificar e proteger a autenticação em toda a jornada do usuário final, incluindo inscrição, login, manutenção de conta e transações de alto valor, para garantir que você interaja com pessoas reais e únicas. Isso proporciona uma experiência de usuário confiável e segura.

As empresas enfrentam uma decisão crítica: criar uma solução de verificação interna personalizada ou terceirizar para um serviço de autenticação otimizado e especializado. Essa decisão deve estar alinhada com objetivos estratégicos e capacidades operacionais, incluindo alocação de recursos, escalabilidade, desempenho, natureza dinâmica e custosa da fraude, preferências do consumidor e competências essenciais.

Para as empresas que buscam se beneficiar das novas tecnologias de autenticação sem o incômodo da engenharia, da lógica complexa de failover ou do acompanhamento de fraudadores em constante evolução, o Twilio Verify oferece uma solução confiável e fácil de implementar para verificar as identidades dos usuários e reduzir fraudes. A API do Twilio Verify fornece autenticação desenvolvida especificamente em vários canais.

Twilio Lookup

O Twilio Lookup aproveita a inteligência baseada em dispositivos móveis em tempo real para minimizar o risco de fraude sem comprometer a experiência do usuário. Ele verifica os números de telefone do usuário ao confirmar o tipo de telefone, a operadora de rede e as alterações recentes de troca de chip. Além disso, o recurso Identity Match do Twilio Lookup faz uma verificação cruzada dos dados fornecidos pelos usuários a partir dos números de telefone inseridos com fontes confiáveis. 

Essas medidas ajudam a interceptar bots, evitar tentativas falsas de criação de contas e impedir aquisições de contas, ao mesmo tempo que detectam riscos potenciais de fraude. O Twilio Verify e o Twilio Lookup funcionam juntos como componentes integrais de uma estratégia abrangente de prevenção de fraudes no e-commerce.

Práticas recomendadas de prevenção de fraudes no e-commerce

Além de usar software de prevenção de fraudes de e-commerce, as marcas podem reduzir ainda mais o risco ao seguir estas práticas recomendadas:

• Incorporar procedimentos de autenticação de conta em seu processo de onboarding, garantindo a conformidade com os requisitos específicos do setor, como antilavagem de dinheiro e regulamentos Know Your Customer.

• Implementar procedimentos de verificação de alta segurança para uso da conta, como implantar o 2FA para logins e transações.

• Estabelecer diretrizes claras para sinalizar transações suspeitas, especialmente aquelas com valores excepcionalmente baixos ou altos.

• Instruir a equipe e os clientes sobre técnicas comuns de fraude, como phishing, para aumentar a conscientização e a vigilância.

Reduza as fraudes de transações de e-commerce com a autenticação e identidade do usuário da Twilio

Muitas variedades comuns de fraude de e-commerce e pagamento giram em torno do roubo de identidade e do uso indevido de identidades comprometidas. As marcas podem minimizar incidentes de fraude ao implementar estratégias e ferramentas eficazes para verificar as identidades dos clientes e autenticar os usuários da conta.

O Twilio Verify fornece uma base sólida para a prevenção de fraudes, oferecendo uma solução pronta para uso para autenticação multicanal em escala. Com o Verify, você pode escolher opções de autenticação avançadas, como 2FA OTP por SMS, e-mail, WhatsApp, senhas de uso único cronometradas e muito mais. Para uma experiência mais tranquila,  o Silent Network Authentication (SNA) verifica os usuários por meio de conexões de operadora sem exigir entrada. 

As soluções de autenticação e identidade de usuário da Twilio ajudam a proteger inscrições de usuários, evitar logins não autorizados e proteger transações. Comece com uma avaliação gratuita e depois mude para um plano de pagamento conforme o uso que cobra apenas por verificações bem-sucedidas. Proteja sua empresa e seus clientes de fraudes com as soluções de autenticação de usuário e identidade da Twilio.