Sequestro de dados, teste de cartão e roubo de identidade estão entre as principais ameaças de segurança cibernética que as empresas de finanças digitais devem combater. Tais ataques podem até significar o golpe final para uma fintech emergente, com menos recursos para combater golpes.
Enquanto as grandes fintechs estão se voltando para dados e ferramentas de inteligência artificial (IA) para prevenir e bloquear atividades suspeitas, as jovens startups estão se tornando presas fáceis para golpes cada vez mais sofisticados, sobrecarregando todo o ecossistema.
Essa situação é particularmente grave na América Latina, onde os ataques estão crescendo consideravelmente.
Um estudo realizado pela processadora de pagamentos Stripe revelou que, entre 2019 e 2022, as tentativas de fraude por meio da modalidade “prova de cartão” cresceram mais de cem vezes, globalmente. É assim que se sabe que pequenas compras massivas, realizadas por fraudadores, verificam se um plástico, cujos dados foram roubados, pode ser violado.
A Stripe, paytech americana-irlandesa com presença em 47 países, afirma ter bloqueado mais de 20 milhões de testes diários de cartões no ponto mais crítico, em todos os mercados onde atua, um recorde que espera continuar a crescer este ano com ênfase especial na América Latina.
“Com o aumento das transações digitais, as pessoas estão comprando online todos os dias. Da mesma forma, as tentativas de fraude e os fraudadores também aumentaram”, disse à iupana Desmond Mullarkey, diretor de receita para a América Latina da fintech com presença no Brasil e no México, os maiores mercados — mas, ao mesmo tempo, mais complexos — da região.
“Essa é uma tendência que estamos vendo em particular no México, que, infelizmente, tem um dos maiores indicadores de fraude digital da América Latina e do mundo”, acrescentou.
De fato, 59% das fraudes financeiras denunciadas no México durante o primeiro semestre de 2022 foram realizadas por meio de canais digitais, segundo o Condusef, órgão oficial do México de proteção ao consumidor. A situação levou até mesmo o governo mexicano a propor uma Lei Federal de Cibersegurança, que pode ser lançada ainda neste ano.
O Brasil, por sua vez, é o segundo país da América Latina com o maior número de incidentes relatados, segundo a Fortinet, multinacional de segurança cibernética.
Sequestro digital: ransomware
Diante desse cenário, a Stripe origina e processa enormes data lakes construídos em seus ecossistemas de pagamento para detectar e antecipar ataques. Com base nessas informações, usa aprendizado de máquina e IA para traçar padrões, detectar anomalias e, às vezes, antecipar atividades suspeitas.
“É exatamente aí que a Stripe — e todos — querem estar atentos e, com a tecnologia, buscar soluções, inovar e defender consumidores e lojistas”, disse o executivo. “Porque há um enorme custo associado”, acrescentou.
No entanto, a empresa avaliada em cerca de US$ 60 bilhões é uma das maiores processadoras de pagamentos do mundo, o que lhe confere robustez financeira que pode ser transferida para sua gestão de cibersegurança. Segundo Mullarkey, “no segmento de cartões, quase 90% das transações nos Estados Unidos passam pela Stripe”.
Mas para fintechs menores, o cenário é mais complexo, concordam os especialistas de mercado. Por sua natureza, as startups são especialmente vulneráveis a ataques cibernéticos. Isso porque elas são iniciativas em desenvolvimento, que não possuem grandes recursos humanos ou tecnológicos para prevenir vulnerabilidades digitais.
A Lumu Technologies, empresa de cibersegurança com origem colombiana e sede nos Estados Unidos, alerta sobre essa situação. “Detectamos que 60% das pequenas e médias empresas [fintechs] vão à falência após serem vítimas de ciberataques”, garantiu Cristian Torres, diretor de marketing da Lumu.
O gerente destaca que o ransomware (ou sequestro de dados) é o ataque digital mais recorrente para empresas de tecnologia financeira.
De acordo com um estudo realizado pela CyberEdge, consultoria de segurança digital, esse método de ataque cibernético continuará crescendo em escala global, já que 63% das empresas afetadas pagaram os resgates em 2022, o que incentiva os criminosos a continuarem com a má prática.
Torres acrescenta que essa forma de chantagem inclui um triplo mecanismo de extorsão, uma vez que a empresa é solicitada a resgatar, mas fornecedores e usuários finais também são violados, por meio da ameaça de publicação de informações financeiras sigilosas.
APIs e phishing na América Latina
Uma porta que os criminosos digitais aproveitam para acessar as informações de uma empresa é a integração com serviços de terceiros por meio de APIs. É uma prática comum em finanças abertas e incorporadas que as fintechs usem desenvolvimentos de outras empresas para aprimorarem suas soluções. No entanto, pode haver um risco de segurança aí.
“Quando usamos essas bibliotecas de terceiros ou softwares de terceiros, não os auditamos e não conseguimos estabelecer se aquele software é seguro ou não”, apontou Felipe Gómez, gerente para América Latina da Fluid Attacks, empresa especializada em hacking ético.
“Portanto, uma vulnerabilidade que este software tenha, e que usamos internamente, torna a organização vulnerável.”
Por outro lado, Gómez também destacou que, ainda que os métodos de fraude digital sejam os mesmos há vários anos, eles se adaptaram ao uso de novas tecnologias.
Assim, um relatório da Kaspersky, multinacional russa de antivírus, descreve o phishing como “o grande vilão da América Latina“. Phishing usa o elo mais fraco das transações (pessoas) para solicitar de forma fraudulenta suas credenciais de cartão ou aplicativo, aproveitando-se de serviços de mensagens como o WhatsApp para atingir mais usuários.
A empresa de segurança cibernética afirma ter bloqueado 110 mensagens de phishing por minuto na América Latina em 2022.
Representação por US$ 75
Para evitar ataques, outras fintechs estão desenvolvendo novas formas de proteção que são menos onerosas do que a mineração de dados. Por exemplo, Trully é uma fintech mexicana que oferece um serviço antifraude por meio de representação, por meio de inteligência coletiva.
No mercado ilegal mexicano, é possível forjar uma identificação oficial, colocar um rosto e um nome por apenas 75 dólares. Esse é um dos principais requisitos para aprovar um processo de onboarding digital, destacou Fernando González, CEO e fundador da fintech.
“As empresas com a maior taxa de digitalização são mais propensas a cair em fraudes de representação”, disse ele.
A proposta da fintech consiste em criar um banco de dados compartilhado entre as empresas, onde ficam armazenadas as faces identificadas como fraudulentas e assim evitar que criminosos visitem virtualmente várias instituições em busca de sistemas de onboarding digital fracos.
“Se eu já passei com aquela identificação falsa em uma empresa, muito provavelmente irei depois comprar dez identificações e com isso voltarei a conseguir outros créditos nessa mesma empresa”, avisou González.
A inteligência coletiva da Trully atua como uma agência de verificação cruzada para notificar seus clientes se um rosto for marcado como falso. “Não adianta criar soluções isoladas pelos diferentes bancos, pelas diferentes entidades financeiras, se o conhecimento é gerado em silos. Se realmente aspiramos como ecossistema tecnológico, sistema financeiro, erradicar a fraude, temos que ser tão ou mais organizados quanto os fraudadores”, concluiu González.