Você sabia que quase metade do tráfego da internet hoje é composto por bots? Pois é, um levantamento da Barracuda Networks mostra que 48% de toda movimentação online é automatizada. O grande problema é que a maior parte disso é composta por bots maliciosos voltados a ataques cibernéticos.
Os ataques automatizados por robôs são fraudes que usam programas de computador desenvolvidos por fraudadores para validar ou buscar, sem autorização, um grande número de informações em sistemas e aplicativos terceiros. Diferente de uma invasão com exposição de dados, o ataque por robôs usa força bruta para explorar vulnerabilidades em sistemas que foram concebidos para serem consumidos por humanos.
Este tipo de ataque infringe os termos de uso desses sistemas e quase sempre antecede outros tipos de fraudes mais graves.
Como não poderia deixar de ser, o ecossistema de pagamentos é um terreno fértil para esses ataques, principalmente porque possibilitam não só a escalabilidade dos ataques como a obtenção “rápida” de dinheiro pelos golpistas.
Pensando em como podemos deixar o ecossistema mais saudável, escrevemos esse artigo mostrando quais são os principais tipos de ataques automatizados no ecossistema de pagamentos. Confira.
Tipos de ataque
Como dissemos, os fraudadores podem utilizar os bots para uma série de ataques, como o envio de phishing ou para enganar os consumidores para enviarem dinheiro por conta própria. Ainda é possível usar os robôs para obter informações de uma máquina infectada, rolar identidades, realizar compras em nome de um usuário, entre outros.
Pensando no ecossistema de pagamentos, temos quatro tipos de ataques mais comuns utilizando bots: Testes de cartão, Scalping, Scraping e Account Takeover.
Testes de cartão
Já falamos aqui no blog algumas vezes sobre as facilidades encontradas pelos fraudadores para obter dados de vítimas. Segundo um levantamento da NordVPN, dados de cartões de crédito do Brasil são vendidos na deep web por, em média, US$ 6,54 (cerca de R$ 32). E com esses dados em mãos, fica mais fácil realizar os testes de cartão.
Os testes de cartão de crédito referem-se a tentativas fraudulentas de validar a autenticidade dos dados de um cartão de crédito. Para isso, os cibercriminosos realizam pequenas transações em diversos sites para verificar se os cartões são válidos. É aqui que entram os bots, que auxiliam a escalar e dar mais agilidade a essa tentativa de fraude.
Se a compra for aprovada em determinado cartão, o cibercriminoso sabe que ele é válido e logo parte para uma tentativa um pouco maior para tentar entender qual o saldo do cartão vazado. Assim, ele vai realizando testes até não conseguir transacionar mais com aquele cartão de crédito.
Scalping
O scalping é uma técnica onde programas automatizados adquirem produtos ou ingressos em massa de maneira extremamente rápida, geralmente assim que são disponibilizados.
Este tipo de ataque é particularmente comum durante lançamentos de itens muito procurados, como eletrônicos de última geração, edições limitadas e ingressos para eventos populares.
O processo começa com a detecção rápida, onde os bots monitoram constantemente sites de e-commerce e plataformas de venda de ingressos, por exemplo, para identificar a disponibilidade de novos produtos. Assim que um produto ou ingresso é liberado, os bots entram em ação e efetuam a compra de forma instantânea, aproveitando sua velocidade, que é muito superior à capacidade humana.
A consequência desse ataque é que os consumidores legítimos muitas vezes não conseguem adquirir os produtos desejados, pois eles se esgotam em segundos. Os atacantes, por sua vez, revendem esses produtos a preços muito mais altos, obtendo lucro significativo. Essa prática não só frustra consumidores, mas também prejudica a reputação das empresas e pode levar à perda de confiança no sistema de vendas online.
Scraping
No scraping (ou ataque de leitura), os bots extraem grandes volumes de dados de websites de forma rápida e eficiente. Esses robôs são programados para visitar páginas web, coletar informações específicas, como preços de produtos, descrições, avaliações e outros dados valiosos, e armazená-las para uso posterior.
O processo começa com os bots navegando pelos sites-alvo, imitando o comportamento de usuários legítimos, mas em uma escala e velocidade muito superiores. Eles acessam várias páginas, extraem o conteúdo desejado e o compilam em bancos de dados. Essa prática pode ser usada para diversas finalidades, como comparar preços, monitorar concorrentes ou até mesmo roubar conteúdo intelectual.
O scraping pode causar sérios problemas para os proprietários dos sites, incluindo sobrecarga de servidores, violações de termos de serviço e perdas financeiras.
Account Takeover
O Account Takeover (ou Roubo de Contas) é uma fraude bastante conhecida. Os fraudadores utilizam diversas técnicas para realizá-la, mas a que vamos destacar aqui - e que também é a mais frequente - é o uso de força bruta em telas de login.
No ataque, os bots fazem o ataque de força bruta tentando inúmeras combinações de nomes de usuário e senhas para encontrar a correta. Os bots realizam essas tentativas em alta velocidade, explorando listas de senhas comuns e credenciais vazadas de outros sites.
Uma vez que os bots conseguem acessar uma conta, os atacantes podem roubar informações pessoais, realizar transações fraudulentas, espalhar malware ou até mesmo vender a conta comprometida na deep web.
Qual o impacto do ataque automatizado nas empresas?
Em um primeiro momento, ataques automatizados sobrecarregam a infraestrutura tecnológica e poluem a base de dados, interferindo na capacidade da companhia de acompanhar operações legítimas com agilidade. Isso, obviamente, leva a prejuízo financeiro, já que impedirá que usuários legítimos transacionem.
A queda repentina na aprovação pode disparar alertas em adquirentes e demais instituições financeiras nas quais a empresa esteja conectada. O aumento das fraudes também leva ao chargeback, normalmente resultado dos testes de cartão, o que levará a um grande prejuízo, já que, além de ter de devolver o dinheiro à vítima, a empresa também arcará com o valor da mercadoria perdida e de logística para entrega.
Por fim, o aumento de fraudes e a incapacidade de detectar e remediar ataques automatizados pode levar à perda de reputação com a instituição financeira, bloqueios parciais, às temidas multas de bandeira e até mesmo o descredenciamento total junto às administradoras de cartão.
Como me proteger desses ataques?
Felizmente, a mesma tecnologia que é utilizada por fraudadores para os ataques também abre caminhos para a identificação dessas fraudes. Utilizando técnicas de Machine Learning, os modelos preditivos da Glass Data, por exemplo, são capazes de realizar uma análise com precisão mesmo que você não possua acesso ao contexto do navegador do cliente final.
A Análise de risco da Glass Data bloqueia os ataques através de uma análise de comportamento do estabelecimento, verificando se o usuário que está realizando determinada atividade é um comprador legítimo. Dessa forma, você consegue mitigar os ataques automatizados em seu estabelecimento.
Oferecemos uma abordagem inovadora que complementa os produtos antifraude já integrados na infraestrutura de nossos clientes. Nossa especialidade não se limita à proteção da captura de transações; nosso foco principal está na segurança do processo de autorização. Ao incorporar a análise da Glass Data antes da autorização, criamos uma linha de defesa sólida, protegendo o tráfego enviado para adquirentes, bandeiras e bancos emissores. Essa estratégia não apenas fortalece a segurança das transações, mas também traz benefícios financeiros significativos.
Fale com nossos especialistas clicando neste link e entenda como nossos modelos preditivos se adaptam às suas necessidades auxiliam a manter seu negócio saudável.
