Fraude e segurança
Evoluindo a cibersegurança no setor bancário sem prejudicar CX
Fraude e segurança
Compartilhar com
À medida que cada vez mais pessoas se afastam da banca tradicional para adotar canais digitais, as empresas do setor estão sob mais pressão do que nunca para acelerar a transformação digital. Para competir em um mundo baseado em telas e construir relacionamentos duradouros com os clientes, a indústria financeira precisa acompanhar as expectativas cada vez maiores dos clientes em relação à velocidade, conveniência, qualidade de serviço e interatividade. Fazer isso significa aproveitar os canais e aplicativos de mensagens, mas também a inteligência artificial e a automação para criar as experiências personalizadas e perfeitas que todos esperamos como clientes. Mas a mudança para pontos de contato digitais também expõe os provedores de serviços financeiros a desafios aumentados de segurança de dados e conformidade. Então, como os bancos podem criar jornadas de clientes seguras e sem interrupções no cenário digital atual? Neste post de blog, discutimos os principais riscos de fraude associados aos canais móveis e as estratégias para melhorar a cibersegurança nos bancos, prevenir fraudes bancárias online, proteger os dados dos clientes e manter a confiança.
Os cibercriminosos frequentemente enviam e-mails e links falsos que parecem ser de uma fonte legítima, na tentativa de enganar os usuários e obter informações confidenciais ou dados financeiros – isso é chamado de phishing. O smishing é uma forma de phishing que envolve o envio de SMS falsos para usuários móveis-alvo. Os ataques de smishing representam uma ameaça crescente para a indústria financeira.
À medida que os dispositivos móveis são cada vez mais usados para operações bancárias e outras transações financeiras, eles também se tornam alvo de softwares maliciosos como malware e spyware, que podem ser usados para roubar informações confidenciais ou realizar transações não autorizadas. Eles podem ser usados para rastrear as atividades online de um usuário e acessar dados financeiros ou informações confidenciais.
A troca de SIM é um tipo de sequestro que envolve a desativação do cartão SIM de alguém e a ativação de um novo, sem o consentimento da pessoa, para assumir o controle do número de telefone. Os fraudadores frequentemente usam técnicas de engenharia social e convencem a operadora de telefonia móvel da vítima a transferir o número para outro cartão SIM. A maioria das operadoras tomou medidas para evitar isso, mas o risco ainda existe. O atacante então poderá burlar os processos de verificação usando esse número de telefone, por exemplo, autenticação de dois fatores com códigos de acesso únicos enviados por SMS (OTP). Isso significa que o atacante terá acesso a contas bancárias, aplicativos de pagamento e outras contas e informações confidenciais. Em alguns mercados, é possível combater essa ameaça bloqueando os OTPs de SMS em dispositivos móveis onde um novo cartão SIM foi emitido recentemente.
Outro tipo de sequestro ocorre quando os cibercriminosos usam o sistema de sinalização para assumir o controle do telefone da vítima. O SS7 (Signaling System 7) é uma rede que permite que os provedores móveis troquem mensagens entre si. Um ataque bem-sucedido ao sistema de sinalização de um operador móvel pode dar aos hackers acesso às mensagens de texto de seus assinantes, incluindo os OTPs de SMS. Eles então usarão as informações para acessar contas bancárias. Felizmente, os ataques ao SS7 são bastante difíceis de serem realizados e, portanto, relativamente raros, e muitos operadores móveis agora têm firewalls de sinalização para proteger suas redes desses ataques.
O Tráfego Artificialmente Inflado, também conhecido como tráfego de mensagens SMS, é um tipo de fraude em que golpistas colaboram com prestadores de serviços duvidosos para gerar tráfego falso. Os OTPs de SMS podem ser extremamente vulneráveis a esse tipo de fraude. Na prática, os golpistas solicitam milhares de códigos de verificação, links ou qualquer coisa que uma empresa possa enviar via SMS e os enviam para números aleatórios para obter parte da receita gerada. Esse tráfego acaba na maioria das vezes como spam nos dispositivos reais dos usuários ou nunca é entregue pelo provedor de serviços cúmplice, embora eles confirmem a entrega. Isso pode ser um risco significativo para as empresas, pois significa pagar por muitas mensagens falsas. Para os consumidores, geralmente resulta em spam e potencial roubo de identidade.
Mitigar os riscos associados à banca digital e às mensagens móveis é uma parceria entre usuários finais, bancos, seus provedores de serviços, o ecossistema e reguladores. Como um provedor de serviços líder, a Sinch defende as melhores práticas para ajudar a construir um ecossistema mais seguro e fornecer os melhores serviços para empresas e usuários finais. Nesta seção, apresentamos algumas melhores práticas e soluções para ajudá-lo a prevenir ameaças ao longo da jornada digital do cliente, ao mesmo tempo em que oferece uma experiência perfeita.
A forma mais comum de garantir o acesso a contas e aplicativos de usuário é a autenticação de dois fatores (2FA), onde os clientes são obrigados a verificar sua identidade usando dois dos seguintes elementos:
Como você já deve saber, com a introdução do PSD2 e da Autenticação Forte do Cliente (SCA) nos países da UE e do EEE, a 2FA agora é o requisito legal mínimo para transações iniciadas pelo pagador dentro desses países. O objetivo? Aumentar a segurança dos pagamentos eletrônicos. Na banca, a 2FA via OTP de SMS é, de longe, o método de verificação mais popular para aprovações de transações devido à sua simplicidade e disponibilidade universal. Embora isso evite a maioria dos ataques automatizados, esse método pode estar sujeito a fraudes, conforme explicado anteriormente. As instituições financeiras devem idealmente usar uma combinação de métodos de verificação para melhorar a segurança.
A pesquisa mostra que a 2FA via SMS também pode causar atrito para o cliente. A combinação de vários métodos de verificação é uma ótima maneira de aprimorar a experiência do cliente, pois dá às empresas a oportunidade de escolher o(s) melhor(es) método(s) para seus casos de uso e clientes específicos. A verificação de dados e a verificação de chamadas rápidas, por exemplo, são ótimas alternativas – ou complementos – à 2FA via SMS que garantem pouca ou nenhuma interrupção na experiência do usuário. Bônus: eles também são significativamente mais baratos! Independentemente do método de autenticação escolhido pelas empresas de serviços financeiros, a experiência do usuário, assim como a segurança, deve ser sempre uma prioridade.
Os canais de mensagens ricas, como WhatsApp, Viber, RCS messaging ou Apple Business Chat, não são apenas ótimos para criar experiências bancárias conversacionais envolventes. Eles também oferecem maior segurança com mensagens personalizadas e identificadores de remetentes verificados. Enquanto as mensagens SMS tradicionais podem ser enviadas por rotas não confiáveis, chamadas rotas cinzentas, as mensagens do WhatsApp, Viber, RCS e Apple são enviadas usando dados da internet. As empresas que usam esses canais também precisam passar por um rigoroso processo de verificação, o que reduz significativamente os riscos de spam ou smishing. Por sua vez, isso também ajuda a aumentar a confiança do cliente.
As fazendas de SIM, ou caixas SIM, são conjuntos de cartões SIM não autorizados obtidos legal ou ilegalmente e usados por alguns provedores de mensagens móveis para enviar SMS empresariais a um preço mais competitivo. Por usarem rotas não autorizadas para a entrega de mensagens, as fazendas de SIM violam os termos e condições dos operadores móveis e geralmente não estão em conformidade com a legislação de proteção de dados, como o GDPR. As fazendas de SIM também estão frequentemente associadas a atividades ilegais e fraudes, colocando consumidores e empresas em risco. As empresas são legalmente responsáveis pela cadeia de entrega de seus SMS; portanto, o uso de fazendas de SIM as expõe a possíveis litígios e multas. É por isso que o SMS comercial só deve ser enviado por meio de rotas de operadoras de celular autorizadas — e a única maneira de garantir isso é trabalhando com um provedor confiável.
Assegurar a experiência digital do cliente na área bancária não é uma tarefa fácil, mas ferramentas revolucionárias estão disponíveis para ajudar as empresas a verificar os usuários e se comunicar de forma suave e segura. As plataformas de comunicações em nuvem permitem que você integre rapidamente capacidades de mensagens, voz e verificação em seus aplicativos e fluxos de trabalho existentes, garantindo a segurança e a conformidade com regulamentos como o GDPR.
Optar por uma solução barata para comunicações móveis e verificação pode prejudicar um negócio de várias maneiras e nunca garantirá que princípios fundamentais de segurança da informação sejam atendidos. Assim como em muitas coisas na vida, geralmente você recebe o que paga… Já ouviu falar da CIA? Não, não da Central Intelligence Agency. Em cibersegurança, CIA significa Confidencialidade, Integridade, Disponibilidade e deve ser a base de qualquer política de proteção de dados:
A ideia é que, ao procurar parceiros tecnológicos, considere apenas aqueles que colocam a proteção de dados e do consumidor no centro de tudo o que fazem.
Aqui estão algumas das principais características que um provedor confiável de comunicações deve ter:
Quer mais detalhes? Preparamos uma folha de dicas útil para ajudá-lo a escolher um parceiro de comunicações em nuvem com confiança. A crescente sofisticação dos ataques de fraude está forçando as instituições financeiras a reforçarem sua segurança. Mitigar os riscos associados à banca digital sem prejudicar a experiência do cliente exigirá o uso da combinação certa de canais móveis e métodos de verificação para permitir que os clientes avancem em sua jornada com sua marca de forma segura e sem problemas. Para alcançar isso, será necessário encontrar o parceiro tecnológico certo para torná-lo possível. Um que vá além da conformidade quando se trata de proteção de dados e contribua para a construção de um ecossistema de comunicações melhor. E, é claro, isso também significa fazer a sua parte, seguindo as melhores práticas e educando seus funcionários e clientes sobre ameaças de segurança digital. Precisa de ajuda para reforçar a segurança e a experiência do cliente? Explore as soluções da Sinch para serviços bancários e financeiros ou conheça os resultados de nossa pesquisa global com consumidores.
