Fraudes sintéticas: por que sua empresa deve se preocupar
O mais novo ataque cibernético do mercado confunde as respostas tradicionais dos sistemas de segurança.
O combate aos crimes cibernéticos e fraudes é vital para termos uma sociedade melhor. Enquanto esse tema for tratado de maneira romântica, como se estivéssemos diante de “Robin Hoods digitais” (e não de criminosos), continuaremos sendo surpreendidos pela criatividade e audácia dos crimes.
Aos poucos, o tema vai ganhando relevância. Um bom exemplo é a assinatura de um Acordo de Cooperação Técnica (ACT) entre a Federação Brasileira dos Bancos (Febraban) e a Polícia Federal para aumentar a colaboração entre o setor financeiro e as autoridades no caso de ataques. O ACT vai além das ações policiais e propõe treinamentos, cursos e outras ações de capacitação para que o mercado, além de saber que o problema existe, tenha ferramentas para reagir.
O fato é que, enquanto os crimes cibernéticos forem “varridos para debaixo do tapete”, tratados como um tabu, os criminosos continuarão à frente das empresas. Os fraudadores trocam informações com muito mais velocidade e intensidade do que as empresas – e essa guerra se torna desequilibrada: de um lado, um exército de criminosos que atua de forma coordenada e compartilha toda e qualquer fraqueza descoberta; de outro, empresas que não tocam no assunto e investem menos do que deviam em segurança.
Em minhas conversas com clientes e prospects, não é raro encontrar empresas que ainda dependem de processos manuais para fazer sua segurança. Planilhas, listas positivas e negativas, cartas de aviso de chargeback das operadoras de cartão e até mesmo telefonemas são alguns dos recursos que vemos por aí. Muitas empresas avançaram um pouco na automação e desenvolveram regras para identificação de fraudes. Mas nem de longe isso é suficiente.
Um terceiro estágio de evolução é o uso de biometria, informações georreferenciadas, mensagens SMS para confirmação e até mesmo identificação do device que o cliente está usando. Esses modelos de segurança são o mainstream do mercado brasileiro, mas os fraudadores já foram muito além...
Mesmo o estágio seguinte, de uso de reconhecimento facial, biometria e dados comportamentais, já vem sendo explorado pelos fraudadores. O uso de machine learning, hoje o estágio máximo de avanço da proteção antifraude, é o novo front da disputa entre criminosos e empresas de segurança.
Identificamos recentemente que informações reais de consumidores são coletadas por sistemas automatizados em sites (hackeados ou criados especificamente para o roubo de dados) e aplicadas para enganar as ferramentas mais modernas baseadas em machine learning e identificação de devices. Na dark web / deep web, é possível encontrar empresas especializadas em soluções que contornam os mecanismos de segurança mais comuns do mercado. Como? Por meio do que chamamos de fraude sintética.
Como funcionam as fraudes sintéticas?
As fraudes sintéticas são um modelo de crime em que a tecnologia é usada para criar perfis aparentemente reais – e altamente detalhados – de consumidores. Elas se baseiam em informações como a captura de sessões reais de clientes, informações verdadeiras de dispositivos, comportamentos passivos reais dos seres humanos e cookies legítimos. Dessa forma, uma série de informações verdadeiras é usada para gerar perfis falsos, que são usados por criminosos que se passam por consumidores reais.
Assim, fica muito mais difícil saber que um sistema automatizado não é um ser humano. Alan Turing, um dos pioneiros da computação, já se referia a esse problema quando ele ainda era uma teoria. O chamado “teste de Turing” pretendia oferecer uma forma de definir se um computador podia pensar – mas para isso o sistema precisa saber o que pode ser considerado um pensamento. No dia a dia, fazemos isso constantemente com outros seres humanos: conversamos com eles e entendemos sua forma de raciocinar.
Os sistemas antifraude de hoje funcionam como testes de Turing: eles tentam reconhecer se um comportamento é humano (e pertencente à pessoa que ela diz ser). O problema é que, com as fraudes sintéticas, cada vez mais sistemas automatizados conseguem se passar por seres humanos reais.
A capacidade que a tecnologia tem de “imitar” o ser humano não é, em si, algo negativo. De fato, é cada vez mais comum que chatbots falem como seres humanos ou que nos relacionemos no dia a dia com máquinas que se comportam com pessoas. Mas uma coisa é conversar com a Alexa em sua casa, outra é autorizar uma transação feita por um robô com o objetivo de fraudar o sistema.
Como combater as fraudes sintéticas?
No combate às fraudes sintéticas, lamento trazer uma má notícia. Não adianta mais marcar um device de um cliente como legítimo, ou criar listas positivas e negativas de clientes, pois as fraudes sintéticas emulam dispositivos e sessões desses dispositivos. Sistemas tradicionais não conseguem diferenciar a fraude da realidade.
Simplificando a questão para um linguajar não-técnico, para identificar as fraudes sintéticas os sistemas de combate precisam coletar o “DNA” dessas ferramentas fraudulentas para criar uma espécie de vacina, que é acrescentada aos seus modelos de machine learning. Assim, uma vez que o sistema identifique um comportamento que se pareça com algo que poderia ser feito por meio de fraudes sintéticas, a transação é barrada e enviada para uma análise mais profunda.
Para combater esse tipo de fraude, é preciso ter uma abordagem de segurança muito mais complexa. Já detectamos o uso de fraudes sintéticas no Brasil, uma vez que essa tecnologia está amplamente disponível na dark web / deep web e pode ser comprada com a mesma facilidade de aquisição de qualquer produto em um e-commerce. É por isso que as empresas de segurança e seus clientes precisam ter uma abordagem muito mais colaborativa no combate às fraudes.
Somente atuando juntos, poderemos manter olhos e ouvidos abertos para identificar possíveis ameaças, fazer a engenharia reversa delas e atuar de modo proativo. Quando isso acontece, os usuários passam a contar com uma barreira invisível, se defendendo de ameaças que nem sabiam que existiam. Melhor do que ter o chargeback é barrar a transação fraudulenta na raiz.
Os desafios são cada vez maiores. E a maneira como nos preparamos para lidar com o inesperado é o que fará toda a diferença no combate às ações de cibercriminosos.
(*) Paulo Moura é VP de Business Development da Nethone no Brasil.
Homework
