Skip to content

TI para Negócios

Como fazer a tecnologia trabalhar pelo seu sucesso e da sua empresa

Archive

Category: Segurança

A operação no e-commerce requer o gerenciamento de custos e procedimentos que previnam fraudes e evitem transtorno para os clientes. Acompanhando o mercado, a CyberSource, empresa pioneira nos serviços de gerenciamento de fraudes e pagamentos on-line para comerciantes de médio e grande porte, realizou uma pesquisa com seus principais clientes e levantou as 10 fraudes on-line mais recorrentes na América Latina em 2017.

A Cyber é a primeira empresa de gerenciamento de pagamentos de e-commerce do mundo. A empresa oferece um portfólio completo de serviços que simplificam e automatizam as operações de pagamentos. Os clientes usam as soluções das marcas CyberSource e Authorize.net para processar pagamentos on-line, simplificar o gerenciamento de fraudes on-line e a segurança dos pagamentos. Atualmente, mais de 400.000 empresas no mundo inteiro utilizam as soluções da CyberSource.

1. Fraude de controle de conta

Forma de roubo de identidade em que o fraudador obtém acesso às contas bancárias ou ao cartão de crédito da vítima – por meio da violação de dados ou do uso de malware ou phishing – utilizando as informações para fazer transações não autorizadas.

2. Fraude de afiliada

Atividade fraudulenta gerada por uma afiliada na tentativa de gerar receita ilegítima; por exemplo, afiliadas que induzem estabelecimentos comerciais a pagar comissões não devidas.

3. Botnets

Rede privada de computadores infectados com um software malicioso. Esses computadores são controlados como um grupo, sem o conhecimento de seus proprietários; por exemplo, para roubar dados, enviar spam e permitir que criminosos acessem dispositivos.

4. Teste de cartão

Quando fraudadores usam as lojas on-line para testar informações do cartão de crédito que estão em seu poder. O objetivo é “testar” os cartões para descobrir se eles foram bloqueados/cancelados, e se os limites de crédito foram atingidos.

5. Fraude “limpa”

Utiliza informações roubadas do cartão de crédito e, com grande quantidade de dados pessoais, os criminosos efetuam compras fazendo-se passar pelos verdadeiros portadores do cartão sem levantar suspeitas. Assim manipulam as transações para burlar as funcionalidades de detecção de fraude.

6. Fraude “amigável”

Ocorre quando o consumidor faz uma compra on-line usando seu próprio cartão de crédito e após receber o produto ou serviço, solicita o estorno ao banco emissor. Uma vez aprovado, o estorno cancela a transação financeira e o consumidor recebe de volta o montante gasto.

7. Roubo de identidade

Uso deliberado da identidade de outra pessoa, normalmente para obter vantagens financeiras, crédito e outros benefícios em seu nome.

8. Lavagem de dinheiro

Processo que oculta as origens de fundos obtidos ilegalmente, por transferências de recursos envolvendo bancos estrangeiros ou empresas legítimas. Isso faz com que fundos obtidos ilegalmente ou “dinheiro sujo” pareçam legais ou “limpos”.

9. Phishing/pharming/whaling

São técnicas de engenharia social utilizadas para pessoas físicas, jurídicas ou empresas, ou para atraí-los para sites falsos na tentativa de obter informações como números de cartão de crédito, senhas bancárias e outros dados.

10. Esquemas de triangulação

Criminosos usam cartões de crédito roubados para comprar mercadorias arrematadas em leilões on-line ou adquiridas em sites de e-commerce. Em seguida, revendem essas mercadorias a clientes legítimos, que não estão envolvidos na fraude.

Origem dos dados:

Sobre a Visa – A Visa é uma companhia global de tecnologia de pagamento que conecta consumidores, empresas, instituições financeiras e governos em mais de 200 países e territórios com uma moeda digital rápida, segura e confiável. Operamos uma das mais avançadas redes de processamento – a VisaNet – que é capaz de processar mais de 65 mil transações por segundo, com proteção contra fraudes para os consumidores e garantia de recebimento aos comércios. A Visa não é um banco e não emite cartões, não concede crédito ou fixa taxas aos consumidores. As inovações da Visa permitem às suas instituições parceiras oferecer aos consumidores mais opções: pagar agora com o débito, adiantado com o pré-pago ou tempos depois com os produtos de crédito. Para mais informações, visite www.visa.com.br, siga-nos no twitter @VisaNewsBr ou no LinkedIN.

Sobre a Cyber – Criada no início do e-commerce, em 1994, a CyberSource foi uma das pioneiras nos serviços de gerenciamento de fraudes e pagamentos on-line para comerciantes de médio e grande porte. Em 2007, adquirimos o provedor norte-americano líder no ramo de serviços de pagamentos para pequenas empresas, a Authorize.Net. Dessa forma, expandimos nossa presença no mercado e cobrimos desde pequenos empreendedores até as maiores marcas internacionais. Em 2010, a CyberSource foi adquirida pela Visa, funcionando como uma subsidiária integral da empresa. A empresa está sediada em Foster City, Califórnia, com escritórios na Ásia, Europa, América Latina, Oriente Médio e Estados Unidos.

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, destaca que os líderes principalmente desejam no mundo dinâmico da cibersegurança equilibrar risco, flexibilidade, usabilidade e preço, ter visibilidade suficiente sobre o que está acontecendo e obter controle somente sobre o que mais importa. Esses desafios de cibersegurança serão debatidos durante a Conferência Gartner Segurança & Gestão de Risco, que acontece nos dias 8 e 9 de agosto, em São Paulo.

“Não é possível proteger tudo da mesma forma. É preciso achar um jeito de controlar só o que importa de verdade”, diz Earl Perkins, Vice-Presidente de Pesquisas do Gartner. Na verdade, os especialistas em segurança precisam entender quatro coisas: não é possível corrigir tudo, não há como deixar os ativos 100% seguros, é impossível saber quanto cada ativo é seguro e as empresas podem não saber quanto seus parceiros digitais são seguros. Apesar disso, nesse mundo de incertezas, cinco tendências em cibersegurança são claras para 2017/2018.

As habilidades e a área de cibersegurança continuarão mudando

Com 0% de taxa de desemprego, o conjunto de competências em segurança é escasso. O mercado precisa e vai continuar precisando de novos tipos de habilidades porque a cibersegurança está evoluindo para áreas como classes e governança de dados. “É um problema que os especialistas em segurança conseguiram contornar até agora, mas a realidade é que, nos próximos três a cinco anos, as empresas vão gerar um número ainda maior de dados”, afirma Perkins. As mudanças na cibersegurança vão exigir novos tipos de habilidades em ciências de Dados e Analytics. O aumento em geral da informação trará a necessidade de inteligência artificial de segurança. Habilidades em tecnologias adaptativas serão fundamentais para a próxima fase da cibersegurança.

A segurança em Nuvem se tornará prioridade para várias empresas

Conforme o ambiente de Cloud alcança a maturidade, ele se torna um alvo da segurança e começará a apresentar problemas. É bem possível que a crescente demanda das empresas por serviços de Nuvem compartilhada deixe a tecnologia mais instável, insegura e mais sujeita a um problema grave comum aos outros ambientes. Quando se trata de Cloud, os especialistas em segurança terão que decidir em quem eles vão confiar e em quem não vão. As empresas precisam criar diretrizes de segurança para uso de Nuvem Pública e Privada e seguir um modelo de decisão de uso da Nuvem para se precaver contra os riscos.

Mude seu foco de proteção e prevenção

“Substitua o investimento que você está fazendo em prevenção e comece a direcioná-lo de forma equilibrada para detecção e resposta. A verdade é que você não vai conseguir impedir todas as ameaças e vai precisar enfrentá-las”, diz Perkins. Uma pessoa empenhada e bem paga que queira se dedicar à sua empresa vai cuidar disso, mesmo sendo o elo mais fraco da cadeia. Isso implica em concentrar o foco da sua estratégia de segurança em detecção, resposta e remediação. Esse é o maior desafio da cibersegurança hoje. No futuro, é provável que isso mude para previsão do que possa vir antes que alguma coisa aconteça.

A segurança das aplicações e dos dados dependerá do desenvolvimento do centro de operações

Existe uma nova janela de oportunidade em segurança das aplicações que a maioria das empresas não aproveita por causa dos custos. Chegou a hora de descobrir a maneira correta de avaliar o valor da segurança e como explicar isso da melhor forma para a empresa. Além disso, DevOps deve se tornar DevSecOps, com foco na segurança. Esse é um bom momento para combinar desenvolvimento com operações. O tempo de os lançamentos chegarem ao mercado diminuiu muito e cria uma conexão contínua entre desenvolvimento e operação, o que significa que é importante parar de tratar os dois como unidades distintas. É hora de trazer segurança para DevOps ou, se a equipe não for interna, de perguntar ao fornecedor de serviço o tipo de segurança que ele oferece.

Os ecossistemas digitais vão orientar a segurança da próxima geração

Segurança, confiabilidade e privacidade também fazem parte da cibersegurança. Quando esses sistemas começam a ter um impacto físico direto, a organização se torna responsável pela segurança das pessoas e dos ambientes. Sem a ajuda da segurança, as pessoas vão morrer. A porção de confiabilidade é fundamental para os ambientes de operações e produção ou para qualquer empresa com foco em ativos.

ANOTE EM SUA AGENDA – Conferência Gartner Segurança & Gestão de Risco 2017
Data: 8 e 9 de agosto de 2017 (Terça e Quarta-feira)
Local: Sheraton São Paulo WTC Hotel
Endereço: Av. das Nações Unidas, nº 12.559

De acordo com o novo relatório da Kaspersky Lab e B2B International, “O Fator Humano na Segurança de TI: como os funcionários tornam as empresas vulneráveis de dentro para fora”, quando ocorre um incidente de segurança de TI, os funcionários não são sinceros; eles tendem a esconder os problemas para evitar punições. Cerca de 46% dos incidentes são causados pelos próprios funcionários, o que gera uma fragilidade nas empresas que deve ser resolvida em vários níveis, não apenas pelo departamento de segurança de TI.

Abrindo as portas para os hackers
Funcionários desinformados ou descuidados são uma das causas mais prováveis dos incidentes de segurança virtual; só perdem para o malware. Embora os malwares estejam se tornando cada vez mais sofisticados, a triste realidade é que o eterno fator humano pode representar um perigo ainda maior.

Em particular, quando se trata de ataques direcionados, o descuido dos funcionários é uma das maiores brechas na blindagem da segurança virtual corporativa. Embora os hackers modernos possam usar malware sob medida e técnicas de alta tecnologia para planejar um roubo, é provável que comecem explorando o ponto de entrada mais frágil: a natureza humana.

Segundo a pesquisa, um terço (28%) dos ataques direcionados sobre empresas no último ano começou com o phishing/engenharia social. Por exemplo, um contador descuidado pode facilmente abrir um arquivo malicioso disfarçado como uma fatura de um dos inúmeros fornecedores da empresa e, assim, desligar toda a infraestrutura da organização, tornando-se um cúmplice involuntário dos invasores.

“Muitas vezes, os criminosos virtuais usam os funcionários como ponto de entrada para invadir a infraestrutura corporativa. E-mails de phishing, senhas fracas, chamadas falsas do suporte técnico; já vimos tudo isso. Até um cartão de memória comum caído no estacionamento do escritório ou perto da mesa da recepção pode comprometer toda a rede. Basta que alguém dentro da organização não tenha conhecimento ou não preste atenção à segurança para que o dispositivo possa ser facilmente conectado à rede, onde é capaz de causar verdadeiros desastres”, explica David Jacoby, pesquisador em segurança da Kaspersky Lab.

Os ataques direcionados sofisticados não acontecem todos os dias, mas o malware convencional opera em grande escala. Infelizmente, a pesquisa também mostra que, mesmo em relação ao malware, muitas vezes funcionários inconscientes e descuidados estão envolvidos e provocam as infecções em 53% dos incidentes.

Esconde-esconde: por que o RH e a direção devem se envolver
Quando a equipe esconde os incidentes nos quais se envolveram, as consequências podem ser drásticas, aumentando o prejuízo total causado. Um único evento não relatado poderia indicar uma violação muito maior, e as equipes de segurança precisam ser capazes de identificar rapidamente as ameaças que enfrentam para poder escolher a tática de atenuação correta.

Porém, os funcionários preferem colocar a organização em risco do que informar um problema porque temem ser punidos ou ficam constrangidos por serem responsáveis por algo errado. Algumas empresas estabeleceram regras rígidas e impõem uma responsabilidade excessiva sobre os funcionários, em vez de simplesmente incentivá-los a ficar atentos e cooperar. Isso significa que a proteção virtual não está apenas no âmbito da tecnologia, mas também faz parte da cultura e do treinamento da organização. E, nesse ponto, o envolvimento da diretoria e do RH é fundamental.

“A questão da ocultação de incidentes deve ser conversada não apenas com os funcionários, mas também com a diretoria e o departamento de RH. Se os funcionários escondem os incidentes, deve haver um motivo. Em alguns casos, as empresas adotam políticas rígidas, mas confusas, e colocam pressão demais sobre a equipe, com advertências para que não façam isso ou aquilo, pois serão responsabilizados caso ocorra algo errado. Essas políticas alimentam o medo e dão apenas uma opção aos funcionários: evitar as punições a qualquer custo. Se você tem uma cultura de segurança virtual positiva, baseada na educação e não em restrições, em todas as instâncias, os resultados são óbvios”, comenta Slava Borilin, gerente do programa de educação sobre segurança da Kaspersky Lab.

Borilin também lembra de um modelo de segurança industrial em que a divulgação e a abordagem de ‘aprendizado pelo erro’ ocupam posição central na empresa. Por exemplo, nesta declaração recente, Elon Musk, da Tesla, solicitou que qualquer incidente que afetasse a segurança dos funcionários fosse informado diretamente a ele, para que ele próprio pudesse direcionar a mudança necessária.
O fator humano: o ambiente corporativo e além

Organizações do mundo inteiro já estão acordando para o problema das vulnerabilidades em suas empresas causadas por funcionários: 52% das empresas pesquisadas admitem que suas equipes são o elo mais fraco em sua segurança de TI. A necessidade de implementar medidas voltadas para os funcionários se torna cada vez mais evidente: 35% das empresas buscam melhorar a segurança por meio do treinamento das equipes, sendo esse o segundo método mais popular de defesa cibernética, atrás apenas da implementação de software mais sofisticado (43%).

A melhor maneira de proteger as organizações contra ameaças virtuais relacionadas ao pessoal é associar as ferramentas e as práticas corretas. Isso deve envolver iniciativas de RH e de gerenciamento para motivar e incentivar os funcionários a ficarem atentos e procurar ajuda no caso de um incidente. O treinamento em conscientização de segurança da equipe, a apresentação de instruções claras em vez de documentos extensos, o desenvolvimento de qualificação sólida e a motivação e o cultivo de um ambiente de trabalho adequado são os primeiros passos que as organizações devem dar.

Em termos de tecnologias de segurança, a maioria das ameaças que visam funcionários desinformados ou descuidados – inclusive o phishing – pode ser resolvida por soluções de segurança de endpoints. Elas tratam das necessidades específicas de PMEs e grandes empresas em termos de funcionalidades, proteção pré-configurada ou configurações avançadas de segurança para minimizar os riscos.