Fraudes em e-commerce
O risco é 100% do lojista
Para realizar vendas através da Internet por cartão de crédito o lojista necessita firmar contrato com as administradoras de cartão. Como na venda pela Internet o comprador não está presente, a transação é considerada CNP (Card Not Present), ou seja, Cartão Não Presente.
Na modalidade de vendas CNP, onde o comprador não assina um recibo da compra para que o lojista confira a assinatura que consta no cartão, a responsabilidade pela venda é 100% do lojista. Caso o cartão seja roubado o mesmo não receberá o valor da venda, perderá o produto vendido e em grande número de vezes arcará ainda com o valor do frete do envio do produto ao fraudador.
As administradoras de cartão de crédito
As administradoras de cartão de crédito delegam aos bancos a emissão de cartões de crédito. Desta forma, a administração dos dados dos clientes compete aos bancos.
No momento em que uma loja virtual realiza uma venda pela Internet o seguinte processo acontece:
1. A loja virtual coleta os dados sobre o cliente que julga serem necessários para completar a venda (nome, endereço, telefone, e-mail, etc).
2. Se o cliente opta por pagamento com cartão de crédito o mesmo informa o número do cartão e data de validade do mesmo. Algumas lojas solicitam dados extras como Nome do Cliente, CVV (veja 1-5), Banco Emissor
3. Somente o valor da compra, o número do cartão e a data de expiração são enviados para a administradora de cartões. A administradora entra em contato com o banco emissor daquele cartão e realizada uma consulta para ver se o limite do cartão não foi expirado e se o mesmo se encontra em situação normal, ou seja, não foi cancelado, reportado como roubado ou perdido. Em nenhum momento a identidade do portador do cartão é conferida.
4. Caso a consulta do item 3 tenha tido sucesso, a administradora fornece ao lojista o código da autorização da venda. Como em nenhum momento durante o processo de autorização a identidade do comprador foi conferida, o lojista não tem como certificar-se de que o cartão de crédito usado na transação é realmente do comprador cadastrado em sua loja virtual.
Chargeback
Chargeback é o nome dado ao processo de cancelamento do crédito do lojista de uma venda em que o comprador não reconhece a compra. Pode acontecer no caso do cartão ter sido utilizado em compras fraudulentas na internet ou ainda quando o comprador, mal intencionado, afirma perante a administradora não ter realizado a compra. Em ambos os casos a administradora de cartões ou o banco emissor do cartão realizam o chargeback.
O lojista toma conhecimento do prejuízo até 12 meses depois da compra ser efetuada através da temida cartinha da administradora. Como na maioria das vezes o chargeback leva de 2 a 3 meses para ser comunicado ao lojista o mesmo já recebeu o crédito daquela venda fraudulenta, desta forma a administradora cancela os créditos futuros de outras vendas realizadas pela loja virtual até atingir o valor da compra em questão. O faturamento do lojista fica comprometido e a mercadoria foi perdida.
Como fraudadores não usam seus dados para realizar compras, e o valor da mercadoria, na maioria dos casos, não justifica atravessar o país para tentar um resgate, o vendedor contabiliza o prejuízo no item perdas e danos.
Penalidades aplicadas pelas administradoras
No Brasil não é praxe das administradoras cobrarem multas por chargebacks como nos EUA. Caso a loja seja muito visada por fraudadores e não tome as precauções disponíveis para se prevenir de fraudes ocasionando alto volume de chargebacks, a administradora de cartões pode cancelar o contrato e o lojista passa a não poder realizar vendas com cartão. Ele é simplesmente banido.
Técnicas comuns de roubo de cartões
Geradores de números de cartão de crédito existem há muitos anos. Porém, com a popularização da internet a disseminação e aquisição foram muito facilitadas. Os geradores de números de cartão de crédito fornecem números que passam no teste que é utilizado para validar cartões de crédito. Isso não significa que número gerado seja um cartão ativo, mas tem potencial para serem válidos, com um pouco de sorte e algumas tentativas o fraudador estará de posse de um cartão válido e com alguns milhares de Reais de limite.
A maneira mais simples de testar um número de cartão é entrar num site de Comércio Eletrônico que tenha autorização on-line e testar o cartão com uma compra qualquer. Apesar dos geradores não fornecerem datas de expiração poucos são os sistemas que conferem estes dados.
Os geradores de cartão são facilmente encontrados na internet. Alguns têm interface gráfica para o usuário utilizar, outros mais sofisticados podem ser apontados para o endereço da loja virtual e automatizar o processo de testes de números de cartão até gerarem um válido. Para evitar tentativas deste tipo em sua loja virtual é essencial capturar tentativas múltiplas de compras com um mesmo IP. Caso você esteja utilizando, ou pretenda utilizar um gateway de pagamentos terceirizado, solicite ao fornecedor se esta função está disponível, pois é essencial para o caso de documentar e investigar problemas com fraudes.
Roubo de cartões off-line para uso on-line
Devido às inúmeras reportagens divulgadas na mídia, muitos consumidores se sentem inseguros em compras pela Internet temendo que os dados de seus cartões de crédito possam ser comprometidos durante a transação on-line.
A verdade é que com o advento e ampla utilização das tecnologias de SSL, firewall e Encriptação, o roubo de dados de cartões de crédito on-line se tornou muito difícil. Por outro lado, poucos consumidores reconhecem o risco de ter os dados de seus cartões comprometidos numa transação off-line em um restaurante, posto de gasolina ou loja física.
Tomar posse dos dados de cartão de crédito de terceiros em ocasiões normais do cotidiano é muito mais fácil que pela Internet. Ao ato de se apossar dos dados de cartões de terceiros damos o nome de “skimming” e aos praticantes de “skimmers”. Skimmers utilizam pequenos aparelhos escondidos na gravata, cintos ou ainda dentro dos aparelhos de cobrança de cartões de crédito para ler e gravar os dados gravados na tarja magnética dos cartões de crédito. Um aparelho simples como este pode armazenar milhares de números de cartões.
Obviamente o melhor lugar para que estes criminosos utilizem estes números roubados é na Internet. O verdadeiro dono do cartão pode levar meses para detectar as cobranças indevidas em seu nome. O lojista lesado poderá ser comunicado da fraude após meses do acontecimento.
Usando o CVV para proteção contra Skimmers
A defesa mais eficaz disponível hoje contra este tipo de golpe é a implantação da verificação do número de segurança impresso no verso de todos os cartões de crédito Visa (CVV2), Master e Diners (CVC2) e Amex. (CID). Visa e Master Card possuem código com três dígitos, Amex tem quatro dígitos. Este código impresso no verso do cartão nunca é gravado na faixa magnética do cartão e não pode ser lido por aparelhos de Skimming
Apesar da conferência do código de segurança não ser uma solução completa para o problema, pois o código por ser anotado pelo Skimmer em separado, apresenta mais uma camada de segurança para o lojista.
As soluções de cobrança on-line da Redecard (Komerci) e Amex (WEBPOS) realizam a verificação da validade do código de segurança no momento da compra.
A solução da VISANET (MOSET) não realiza esta verificação. De qualquer forma recomendamos que no momento do pagamento seja solicitado este código a fim de amedrontar os fraudadores.
O novo sistema Verified by Visa (VBV) da Visanet já permite ao lojista a conferência automática do código de segurança. Recomenda-se que o código de segurança não permaneça armazenado em banco de dados de lojas virtuais por mais que o tempo necessário para se concluir a transação, evitando assim que hackers tenham acesso a estas informações caso ganhem acesso ao banco de dados da empresa.
Vazamento interno de informações
A empresa que realiza vendas pela Internet armazena diversas informações sobre seus clientes durante o processo de compra e deve estabelecer procedimentos de segurança internos a fim de proteger as informações dos clientes para com funcionários, ou ex-funcionários mal-intencionados.
Roubo de identidade
À utilização de dados pessoais de terceiros para realização de compras pela Internet dá-se o nome de Roubo de Identidade. Muitas lojas virtuais costumam realizar consultas às entidades de proteção ao crédito e associações comerciais quando recebem um pedido via Internet. Os fraudadores então utilizam de informações de pessoas sem restrições nestes órgãos para realizarem compras fraudulentas e passarem por este tipo de teste. Como as administradoras de cartão não fornecem ao lojista uma maneira de conferirem o verdadeiro dono do cartão de crédito sendo usado na compra, o golpista pode utilizar-se de dados pessoais de uma pessoa e cartão de crédito de outra para fazer a compra e não ser barrado pelas consultas de proteção de crédito ou validação de CPF.
Dicas em prevenção de fraudes
1. E-mail de provedores Gratuitos: Este é o primeiro sinal de uma compra fraudulenta. Fraudadores criam e-mails fictícios minutos antes de realizar uma compra pela Internet. A maioria dos provedores de e-mail gratuitos não verifica a identidades dos usuários e qualquer um pode criar um e-mail em questão de minutos. Tenha especial atenção para e-mails @bol.com.br, @yahoo.com.br, @hotmail.com.
2. E-mail diferente do nome do cliente: Esteja atento para e-mails que não tenham relação com o nome da pessoa. Por exemplo, o nome do cliente é Mario Seixas e o e-mail cadastrado é darth@bol.com.br. E-mail comuns costumam ser da forma mseixas@bol.com.br ou ainda seixas2004@bol.com.br.
3. Senhas muito simples: Senhas desleixadas são indício de fraudes. Por exemplo, a senha 12345 ou 121212.
4. Endereços de entrega e pagamentos diferentes: Para passar pelos testes de conferência de telefone e endereço fraudadores utilizam dados válidos de uma terceira pessoa como nome, endereço, CPF, telefone. Este roubo de identidade permite que consultas a entidades de proteção ao crédito resultem na aprovação do pedido.
Porém, é necessário que a compra seja entregue em outro local, desta forma o fraudador altera o endereço de entrega e pode ainda solicitar entrega para presente, serviço comum em lojas na Internet mesmo que este serviço torne mais caro o envio, afinal de contas ele não pretende pagar de qualquer forma.
5. Todas Minúsculas ou Maiúsculas: Cadastros preenchidos somente com letras minúsculas ou maiúsculas podem denunciar fraudes.
6. Pedidos Urgentes: Fique muito atento a pedidos de muita urgência, principalmente se isto significar fretes mais caros. É comum fraudadores deixarem mensagens de urgência solicitando entrega imediata dos produtos, pois são para presente ou algo semelhante. Alguns chegam a ligar para a loja tentando apressar os pedidos.
7. Alto valor e facilidade de revenda: Atenção dobrada com pedidos de alto valor ou ainda de produtos facilmente vendáveis. É comum fraudadores estarem interessados em transformar os bens adquiridos ilegalmente em dinheiro. O fato de o cliente ter recentemente realizado um pedido de valor pequeno e o mesmo não ter gerado chargeback não deve ser levado em consideração, pois avisos de chargeback levam em média 2 meses para serem enviados, podendo chegar contratualmente após 1 ano.
8. Múltiplos: Cuidado com pedidos com múltiplas unidades de um mesmo produto. Por exemplo: dois aparelhos de DVD ou três TVs 29’’. É comum o fraudador encontrar o produto mais caro da loja e realizar o pedido de duas ou três unidades deste.
9. Pedidos Internacionais: A não ser que você esteja utilizando o sistema VBV no qual a Visa garante vendas autenticadas tome cuidado com pedidos internacionais.
10.Múltiplas Tentativas: Fique atento para clientes que realizam múltiplas tentativas com números diferentes de cartão de crédito e mesmo IP. No caso de seu e-Commerce utilizar uma solução de pagamentos terceirizada exija que esta informação esteja disponível. É comum o cliente errar a digitação do número de cartão, data de expiração ou código de segurança uma vez. Múltiplas tentativas devem ser tratadas com cuidado.
11 .Periodicidade das Compras: Esteja atento para a velocidade de compras do cliente. Caso o mesmo fuja do seu padrão de compras é sempre recomendável uma ligação para confirmar que ele realmente fugiu de seu padrão de compra e não foi um elemento mal intencionado que se apossou de seus dados para realizar compras em seu nome. Esteja especialmente atento a compras com intervalos menores de cinco dias entre elas. Tenha cuidado redobrado com pedidos que são feitos imediatamente após um pedido ter sido enviado, clientes raramente realizam um segundo pedido antes de receberem o primeiro.
12. TRACE ROUTE: Esta ferramentas avançada de Internet baseadas no IP do comprador permite, em alguns casos, o geo-posicionamento do comprador. Este posicionamento deve corresponder com o cadastro do cliente, o comprador raramente realizará uma ligação de longa distância para conectar-se a Internet. Uma ferramenta visual de TRACE ROUTE pode ser encontrada no site: www.visualroute.com
13. Whois: Esta outra ferramenta Internet baseada no IP permite que você faça consultas a respeito do responsável pelo IP utilizado pelo cliente durante a compra.
Whois do site da FAPESP
http://registro.br/cgi-bin/nicbr/whois
14. Código de Segurança: Confira sempre o código de segurança presente no verso do cartão de crédito do cliente. Caso sua solução atual não lhe permita esta verificação solicite mesmo assim o código no momento da compra.
15. BIN: É o nome dado aos seis primeiros dígitos do cartão de crédito. Eles determinam o BANCO que emitiu o cartão de crédito. Solicite no momento da compra o Banco Emissor do Cartão de Crédito e confira com os seis primeiros números do cartão fornecidos pelo cliente. Somente alguém que tenha o cartão em mãos saberá o banco emissor. A tabela de conferência do BIN está disponível para consultas por lojistas no site da Rede Card no endereço: www.redecard.com.br e no site da Visanet no endereço www.visanet.com.br
16. CPF ou CNPJ: É possível conferir on-line a situação cadastral do CPF/CNPJ do comprador no site da receita: www.fazenda.receita.gov.br
Recomendamos não realizar vendas para CPFs/CNPJs cancelados. Além disso, o site da receita fornece o nome completo da pessoa, tornando possível a conferência destes dados com os cadastrados na loja virtual.
17.Re-Routing: Não permita que a rota dos pedidos seja alterada na transportadora após sua postagem do pedido.
18.Entregas para o Porteiro: Cuidado especial com solicitações de entregas para terceiros como porteiros ou empregadas. Na medida do possível sempre exija que o comprador assine o recibo de entrega das mercadorias.
Revisão de Pedidos
O empresário que estiver atento às dicas de prevenção expostas neste manual irá se deparar com pedidos considerados suspeitos. Neste caso deve estabelecer procedimentos de verificação da validade do pedido de acordo com a gravidade de cada caso. Procedimentos comuns desta natureza são:
Ligação para o comprador para verificação de dados cadastrais.
Uma técnica interessante é solicitar que o cliente confirme o nome de sua mãe, o mesmo pode ser conferido através das consultas às entidades de proteção ao crédito como SERASA.
Solicitação de envio de documentos por FAX com cópia do cartão de crédito, documento pessoal ou ainda último extrato do cartão de crédito, pois este último contém o número do cartão do cliente e endereço atualizado. Pode-se neste último caso sugerir que o cliente risque os últimos dígitos do cartão e também suas compras.
Consultas de endereço dão a garantia ao lojista de que ele estará entregando os produtos vendidos no endereço correto do comprador.
Consultas de endereço baseadas no telefone devem ser seguidas de ligação para o telefone para garantir que o comprador realmente existe naquele número.
Exemplos de serviços disponíveis para consultas no Brasil:
· Associações Comerciais
· Serasa/Equifax
· BankInform
· Chequepre.com.br
Autorização On-line
A autorização on-line está disponível nas soluções MOSET (Visa), VbV (Visa), Komerci (Master e Diners) e WEBPOS (Amex). No fechamento da compra o cliente é direcionado ao site da administradora de cartões de crédito para que digite os dados do cartão de crédito. A autorização acontece on-line e a compra é aprovada na hora.
Prós
Este sistema permite que o cliente detecte problemas com o cartão de crédito imediatamente. Desta forma ele pode resolver o problema ou ainda trocar de cartão e fechar a compra. Caso a solução não fosse on-line neste caso o administrador da loja virtual teria que entrar em contato com o cliente para solucionar o problema o que poderia atrasar a compra em vários dias.
Este sistema economiza tempo do administrador da loja que não precisa realizar a tarefa de cobrança de cartões de crédito.
Como o número do cartão de crédito é digitado diretamente no servidor da administradora de cartões, o lojista não tem contato com o mesmo, fornecendo segurança para o comprador e economizando o lojista da responsabilidade de armazenar números de cartão de crédito em seu servidor de forma segura e sigilosa.
Contras
A autorização on-line é a maneira predileta dos fraudadores testarem a validade de um número de cartão roubado ou gerado. Em uma loja fictícia, o site de uma administradora de cartões pode facilmente ser clonado de forma a roubar números de cartões de crédito válidos.
Revisão Manual de Pedidos
Prós
O ser humano aprende rapidamente a detectar novos padrões de fraude emergentes e tem a capacidade de relacionar casos anteriores com pedidos suspeitos.
Contras
O maior problema da revisão manual de pedidos é o tempo gasto pelos funcionários para realizar estas análises o que acaba por tornar o processo muito custoso e lento tomando tempo valioso de funcionários. A análise ainda está sujeita a opinião do funcionário.
Verified by Visa
A VISANET acaba de lançar no Brasil mais uma poderosa arma de combate às fraudes, o sistema Verified by Visa baseado na tecnologia 3D Secure.
O VBV é um modelo de autenticação de transações de comércio eletrônico que acontece no site do Banco Emissor do cartão. Baseado no padrão global 3D secure, o sistema VBV basicamente remete o comprador ao Site do Banco que emitiu o cartão para que neste site o cliente forneça uma senha particular e desta forma seja autenticado, ou seja, sua identidade será confirmada através da senha.
A utilização de uma senha para realizar compras dá a garantia ao cliente que somente ele poderá usar seu cartão de crédito para realizar compras on-line, mesmo que o número de seu cartão seja roubado. Para que o cliente possa realizar transações com cartão de crédito utilizando o VBV o mesmo deve ATIVAR seu cartão de crédito no site do banco que emitiu o cartão. O processo de ativação requer que o cliente acesse o site de seu banco e escolha uma senha para ser utilizada para compras pela Internet com aquele cartão de crédito. Existem bancos que pretender utilizar a própria senha do Internet Banking para a autenticação.
Prós
O grande benefício das transações AUTENTICADAS pelo VBV é que as mesmas não são passíveis de chargeback ou repúdio (o cliente não pode negar que fez a compra, pois foi usada sua senha particular). Porém, o cliente sempre poderá escolher fechar a compra sem se autenticar.
O segundo ponto positivo deste sistema é a conferência do código de segurança CVV2 em tempo real, o que não ocorria com a solução anterior MOSET da VISANET.
O VBV é uma grande arma disponibilizada pela VISANET para os lojistas e demonstra claramente a intenção da empresa em fornecer um ambiente seguro para que as empresas de comércio eletrônico possam aumentar os volumes de vendas pela Internet e que os compradores se sintam mais seguros realizando suas compras com cartão.
Contras
O VBV foi implementado utilizando janelas POP-UP. O abuso da utilização de POP-UPs por diversas modalidades de sites fez com que muitos usuários aderissem a instalação de Bloqueadores de POP-UP. Muitos clientes nem sabem ou lembram que utilizam bloqueadores de POP-UP e desta forma não conseguem utilizar a solução da VISANET, causando inúmeros aborrecimentos no momento de fechamento da compra.
Atualmente somente clientes do Banco Bradesco estão sendo autenticados pela solução VBV. A VISANET informou-nos que o Banco do Brasil e Itaú já estão realizando a implementação do protocolo 3D secure e logo estarão operantes.
A mídia e os bancos têm divulgado maciçamente avisos de que os usuários de Internet Banking devem ficar atentos para detectar sites clonados de bancos e evitar digitar suas senhas nestes sites. Este fato pode inibir os clientes de se autenticarem durante o processo de fechamento de uma compra.
MasterCard Secure Code
Está previsto para Março o lançamento do sistema Master Card Secure Code. O sistema a ser lançado pela Master Card deverá ser muito parecido com o VbV da VISANET: no momento do pagamento o comprador deverá digitar os seis primeiros números do seu cartão de crédito. Os seis primeiros dígitos do cartão permitem direcionar o cliente para o site do banco que emitiu o cartão. No site do banco o cliente deverá ser AUTENTICADO digitando sua agência, conta e senha.
A MasterCard estará ainda lançando uma novidade: o MasterChip. Clientes que possuem cartões do tipo smar cards deverão adquiri-lo. O MasterChip é um pequeno leitor de cartões a ser utilizado no momento da compra. Após a digitação dos primeiros seis dígitos do cartão, o site detecta automaticamente que se trata de um cartão com chip. O comprador será solicitado neste momento
a digitar sua senha no MasterChip que gerará aleatoriamente um código criptografado que o cliente deverá digitar no site para concluir a compra. Não será mais necessária a utilização do número do cartão de credito no momento da compra.
Logs
Chamamos na linguagem da informática de LOGS aos registros de acesso aos sistemas computacionais. É importante que todos os usuários que visitem seu sistema, e principalmente os que compram em seu site, sejam devidamente registrados em todos os seus passos. O completo registro dos dados e atividades do comprador em seu site permitirá, no caso de fraude, que as autoridades competentes cheguem ao infrator.
É de suma importância registrar os seguintes itens:
Endereço IP: É um número que identifica o usuário no momento da sua compra. Através do IP é possível descobrir o provedor no qual o usuário se conectou no momento do pedido. Criminosos mais avançados utilizam técnicas para “esconder” o seu número IP tornando esta investigação mais complicada.
Endereço de entrega
Demais dados cadastrais do cliente
Lembre-se também de ter a sua via da nota fiscal e o comprovante de envio da transportadora. Estes itens são importantes para que você possa provar que foi vítima do golpe e não está envolvido no mesmo.
Revise seus Chargebacks
No caso de sua empresa ser vítima de fraude, revise todos os dados do pedido fraudulento e procure traços no pedido que poderiam ter sido utilizados para detectar a fraude. Esta informação é valiosa no sentido de detecção de novos padrões de fraudes. Caso seu empresa já tenha implementado um sistema de detecção especialista baseado em regras, crie regras baseadas no conhecimento que você adquiriu para detectar futuras fraudes com estas características e evitar prejuízos futuros.