Upload
kenneth-correa
View
185
Download
0
Embed Size (px)
Citation preview
Gestão de Fraudes, Pagamentos e Segurança em Plataformas de E-Commerce
Kenneth Corrêa
MBA em Gestão de E-Commerce
1. Apresentação
2. Segurança na Internet
3. Processamento de Pagamentos
4. Gestão de Fraudes
5. Gestão de Riscos e Segurança
Roadmap
1. Apresentação
• Educação
• Empresas Privadas
• Universidades
• Consultoria
• Negócios
Kenneth Corrêa
• Segurança na internet: conceitos, métodos, técnicas e ferramentas.
• Dispositivos de hardware e sistemas de software.
• Gestão de fraudes e meios de pagamentos.
• Análise, Projeto e implementação de um sistema de segurança em um site de e-commerce.
Ementa
• MARCON, Antonio Marcos. Aplicações e bancos de dados para Internet. 2. ed. São Paulo: Érica, 2000.
• SEGURANÇA máxima: o guia de um hacker para proteger seu site na Internet e sua rede. Rio de Janeiro: Campus, 2000.
• MENEZES, J. C. Gestão da segurança da informação. São Paulo: JH MIZUNO, 2011.
Bibliografia Básica
• Como está o inglês de vocês? E o management-ês?
• Já teve experiência com invasão de website?
• A loja possui alguma política de segurança da informação?
• E experiência com fraudes? Qual nível de fraude sobre o faturamento?
Rápido Briefing
2. Segurança na Internet
Economia da Informação
Top 10 empresas
mais valiosas em 2016
Top 10 empresas
mais valiosas em 2006
Top 5empresas mais valiosas em 1996
• 1,5 milhões de ataques todos os dias
• 7 de cada 10 emails disparados são SPAM
• 70% dos ataques são feitos por insiders
Números da Segurança da Informação
Números em Real-Time
https://cybermap.kaspersky.com/
https://threatmap.fortiguard.com/
https://threatmap.checkpoint.com/ThreatPortal/livemap.html
• Proteger informações preservando o valor que possuam para um indivíduo ou organização
Segurança da Informação
ABNT NBR ISO/IEC 27002:2013
• Confidencialidade
• Integridade
• Disponibilidade
• Autenticidade
• Irretratabilidade
• Conformidade
Características da Segurança da Informação
} C.I.A.
• Não existe nada 100% seguro
• Pesar custos x benefícios
Dilemas da Segurança da Informação
Política de Segurança da Informação
Proporcional a quanto vale a informação, e os prejuízos que poderiam decorrer do uso impróprio da mesma
Quanto investir em Segurança da Informação?
• Controles Físicos
• Controles Lógicos
Mecanismos de Segurança
Chave SimétricaChave Assimétrica
Criptografia
• Perda de Confidencialidade
• Perda de Integridade
• Perda de Disponibilidade
Ameaças à Segurança
} C.I.A.
• Diversão
• Demonstração de poder
• Prestígio entre atacantes
• Motivações financeiras
• Motivações ideológicas
• Motivações comerciais
Motivação dos Ataques
• Malware
• Scan
• E-mail spoofing
• Sniffing
• Brute Force
• Defacement
• DoS ou DDoS
Exploração de Vulnerabilidades
• Furto de Identidade
• Fraude de antecipação de recursos
• Phishing
• Pharming
• Hoax
Principais Golpes na Internet
• Site fraudulento
• Sites de compra coletiva
• Marketplaces C2C
Golpes de E-Commerce
• O Cyberespaço é caótico!
• E-Commerce reduz o custo para os fraudadores
• Não há contato visual/pessoal
Pontos fracos do E-Commerce
• Hackers buscando capturar informações dos consumidores
• Impostores criarem espelhos do seu site
• Usuários autorizados baixando dados da loja
• Usuários autorizados danificando informações
Ameaças mais comuns no E-Commerce
• Regulatório (externo)
• Banco de dados e rede
• Financeiro (interno)
• Fraude e risco de crédito
• Marketing e Operações (interno)
• Espionagem Industrial
Framework de Segurança para E-Commerce
Fator crítico na decisão na hora de comprar:
CONFIANÇA!
Por que segurança?
• Certificado SSL
HTTP x HTTPS
• Taxa de Conversão
Selos de Segurança
3. Processamento de Pagamentos
Processo
Ecossistema
Charge-Back
• O grande vilão da gestão de riscos
• Pode ser requerido até 180 dias após a compra
E o cartão de débito?
• Características:
• Debitado direto da conta corrente
• Recebimento em até 2 dias
• Comissão menor que cartão de crédito
• Benefícios:
• Transação autenticada permite recorrer ao charge-back
• Diminui risco de fraude quando autenticada
Dicas para Gestão de Meios de Pagamento
• Índice de autorização > 80%
• Cartão de débito ótima opção para reduzir custos com tarifas e melhorar o fluxo de caixa
• Considerar aspectos técnicos além do % das tarifas
• Prevenção de fraude é essencial quando o risco é seu (quase sempre)
• Controlar ticket médio e perfil do cliente, pois varia muito, mesmo dentro do mesmo segmento
Missão do Gestor da Loja Virtual
• Aumentar a taxa de conversão, reduzindo o abandono de carrinho
• Facilitar o processo de pagamento para o consumidor
• Reduzir o custo e prazo do frete
• Minimizar riscos de fraude e charge-back
• Garantir a segurança dos dados dos clientes
• TRANSPARENTE (on site)
• OFF SITE
Checkout
• Payment Card Industry Data Security Standard (PCI DSS)
• Compliance
• Homologação
4. Gestão de Fraudes
Fraude é um ato praticado deliberadamente com fins de obtenção de ganhos de forma desonesta ou
ilegal.
Fraude - Conceito
Evolução das Fraudes no Brasil
1% de 41 bi (2015) são 410 milhões!!
Fraudes por Segmento
• Existência de golpistas motivados
• Existência de vítimas adequadas e vulneráveis
• Ausência de controles eficazes
Cenário para ocorrência de Fraude
Engenharia social ou de tecnologia para obtenção de dados, e aproveitamento em fragilidade nos sistemas
e controles das lojas virtuais.
Como ocorre uma fraude?
• Fraude efetiva
• Auto-fraude
• Fraude amigável
• Falsificação de documentos
• Marketing Ativo (venda de dados)
• Phishing
Tipos de Fraudes
• Consumidores
• Cartão de crédito clonado
• Pagamento na entrega
• Troca
• Lojistas
• Reviews e Avaliações
• Descontos (“Black Fraude”)
• Produtos falsificados
Fraudes nos dois lados do E-Commerce
Teste nos pequenos
As técnicas têm melhorado
Aplicação nos grandes
Contestação da compra por parte do comprador, por insatisfação com o recebimento do produto ou
não reconhecimento da compra.
Chargeback - Conceito
Chargeback no cenário de fraude
• Lançamento de débito contra o estabelecimento
• Perda da receita
• Perda do produto (no caso de fraude)
• Risco de multa se volume de chargebacks > 2%
Consequências do Chargeback
Certificar a veracidade das informações cadastrais e dados oferecidos na hora da compra.
Pode ser automática, manual ou mista.
Análise de Transações
Redes neurais
Bases externas
Scoring
Análise Automática
Recuperação de Vendas
Falsos Positivos
• Compra de produtos sem ligação lógica entre eles
• Utilização de e-mails gratuitos, e sem relação com o nome do comprador
• Grande volume de pedidos em curto espaço de tempo
• Pedidos em nomes de diferentes portadores, com endereços diferentes ou emails iguais
• Verificar a coerência dos números telefônicos (número de dígitos e DDD condizente com endereço)
• Produtos de alto valor, com fácil revenda (eletrônicos)
Comportamentos Suspeitos
• Em ligação telefônica, aplicar perguntas incomuns, como: “Qual o seu signo?”, “Quando é seu aniversário”, e seguido de “Quantos anos você tem?” ou ainda “Qual o banco emissor do seu cartão de crédito ?”
• Deixe o comprador falar, e correr o risco de se contradizer
• Faça a mesma pergunta mais de uma vez, e confira as respostas
• Sempre que houver apenas um telefone celular, pedir um telefone fixo, residencial ou comercial
• Pedir o envio de documentos digitalizados (RG, CPF, Comprovante de Endereço e Extrato do cartão de crédito utilizado)
• Consultar a consistência do CNPJ/CPF, CEP e Telefones nas Operadoras
• Combinar a análise manual com algum sistema de scoring ou de proteção ao crédito (SERASA/SPC)
• Utilizar o email para identificar perfil no Facebook
Como conduzir uma análise manual
• É permitido informar à vítima devidamente identificada:
• Produtos adquiridos, bandeira do cartão, emissor do cartão, cidade de entrega, data e horário da compra
• Orientar que entre em contato com a operadora e informar o ocorrido
• Orientar que procure por outras fraudes na fatura
• Não é permitido:
• Informar endereços, telefones ou e-mails utilizados na compra
• Coibir que seja registrado boletim de ocorrência
Em caso de fraudes
100% do estabelecimento que aceitou o pagamento!
Responsabilidades
5. Gestão de Riscos e Segurança
• 1,5 milhões de ataques todos os dias
• 7 de cada 10 emails disparados são SPAM
• 70% dos ataques são feitos por insiders
Números da Segurança da Informação
• Confidencialidade
• Integridade
• Disponibilidade
• Autenticidade
• Irretratabilidade
• Conformidade
Características da Segurança da Informação
} C.I.A.
• Não existe nada 100% seguro
• Pesar custos x benefícios
Dilemas da Segurança da Informação
• Regulatório (externo)
• Banco de dados e rede
• Financeiro (interno)
• Fraude e risco de crédito
• Marketing e Operações (interno)
• Espionagem Industrial
Framework de Segurança para E-Commerce
Política de Segurança da Informação
Atividade
- Escolher uma loja virtual existente- Descrever histórico, tamanho da loja, mix
de produtos, público-alvo- Elaborar uma política de Segurança da
Informação, contemplando Pessoas, Processos e Tecnologias, e tratando as 6
características de segurança da informação (Confidencialidade, Integridade, Disponibilidade, Autenticidade,
Irretratabilidade e Conformidade)
Atividade
- Descrever os meios de pagamento atualmente aceitos pela empresa
- Identificar possíveis riscos de segurança e financeiros para a empresa, com os meios
adotados- Sugerir um plano de adequação de meios
de pagamento, indicando os pontos fortes e fracos dos meios sugeridos
- Sugerir uma política de gestão de Fraudes para cada um dos meios de pagamento
sugeridos