Usando Análise de Risco para Combater Fraudes e Manter a Conformidade

Mark Crichton, 2 de Novembro de 2020
Using Risk Analytics to Fight Fraud and Maintain Compliance

O combate à fraude financeira é uma batalha contínua. Um relatório recente descobriu que, em 2019, o valor total das perdas por fraude com cartão no Reino Unido foi de 706 milhões de euros, com compras remotas sendo responsáveis por 76% dessas perdas. Dado o crescimento do comércio eletrônico, isso não é surpreendente, mas desde a pandemia, os cibercriminosos se tornaram mais ativos, pois aproveitam as pessoas que usam plataformas digitais para realizar interações financeiras.

Desde que o bloqueio começou no Reino Unido, mais de £ 16,6 milhões foram perdidos apenas para fraudes de compras, e o número de sites relacionados a phishing disparou 350% desde o início do ano. Esses ataques de phishing, combinados com as inúmeras violações de dados importantes, expuseram mais de 15 bilhões de credenciais de consumidores - incluindo logins de contas bancárias - que agora estão circulando na Dark Web, permitindo que criminosos conduzam atividades fraudulentas em nome de clientes bancários.

Enquanto isso, as regulamentações financeiras e de dados colocaram mais ênfase na segurança do que nunca. Garantir a conformidade com regulamentos como o PSD2 é fundamental para bancos e instituições financeiras, a fim de evitar graves repercussões de órgãos industriais.

O desafio para bancos e instituições financeiras é como equilibrar os requisitos de conformidade com a necessidade de proteger os clientes contra a ameaça crescente e mutante de fraude, sem comprometer a experiência geral do cliente.

Aumento de fraude digital e ataques de controle de contas

Quando os bloqueios foram implementados em todo o mundo, os consumidores foram compelidos a usar formas móveis e digitais de serviços bancários para cumprir os mandatos de distanciamento social. Os criminosos sempre procuraram saber onde está o dinheiro e, assim, à medida que as transações mudaram para esses domínios online, surgiram formas digitais de fraude.

Ao mesmo tempo, também vimos fraudadores aproveitarem os medos e aumentarem as comunicações para fazer com que os consumidores caiam em golpes. Desde o início da pandemia, vimos uma abundância de campanhas de phishing relacionadas ao coronavírus visando consumidores para roubar informações confidenciais, bem como várias outras campanhas projetadas para enganar os indivíduos para que baixem arquivos maliciosos, como malware. Por exemplo, com o aumento do uso de mobile banking, o canal logo depois experimentou um aumento nos trojans de mobile banking, de acordo com uma pesquisa da Kaspersky. Ataques de phishing e malware ajudam a facilitar todos os tipos de fraude, incluindo ataques de controle de conta.

Com tantos dados pessoais e credenciais já expostos, os consumidores estão sempre em risco de que seus dados sejam usados sem seu consentimento para fins fraudulentos. No entanto, combinado com o aumento da atividade digital e dos ataques cibernéticos, a responsabilidade recai sobre os bancos em adotar uma infraestrutura de segurança que seja capaz de detectar fraudes em tempo real, antes que qualquer dano seja causado.

Bancos x consumidores

No entanto, a responsabilidade não pode ser ligada apenas ao indivíduo. Os bancos adotam uma abordagem ágil e multicamadas da segurança para proteger as contas de seus clientes de ataques com credenciais roubadas. Os bancos e instituições financeiras precisam implantar sistemas de detecção de fraude baseados em risco, com tecnologia de aprendizado de máquina, para detectar e bloquear tentativas de fraude em tempo real, sem prejudicar a experiência do usuário.

Análise de risco analise enormes quantidades de dados de uma variedade de canais, como o dispositivo usado, localização e histórico de transações. Os algoritmos de aprendizado de máquina podem monitorar constantemente sessões bancárias e avaliar pontos de dados, como hora do dia, duração de uma sessão e padrões de gastos. Todas essas informações podem ser usadas para construir uma imagem abrangente do comportamento normal de um indivíduo. Qualquer comportamento anormal que possa ser suspeito de ser fraudulento pode ser detectado em tempo real e medidas de segurança adicionais implementadas de acordo. Por exemplo, se um usuário se desviar da norma e enviar £ 1.000 de um novo local, em vez de bloquear a transação imediatamente, o que poderia causar frustração, o cliente pode ser solicitado a fornecer uma impressão digital para complementar uma senha.

Sistemas de detecção de fraude que usam análise de risco e aprendizado de máquina são proficientes em detectar os primeiros sinais de um ataque de phishing. Os algoritmos podem determinar a probabilidade de o referenciador HTTP ser de uma página de phishing, o que pode ser complementado com regras de especialistas implementadas. Essas regras determinarão como o sistema deve responder a ataques de phishing ocorrendo.

Esses mecanismos de segurança melhorarão a precisão dos bancos ao detectar fraudes à medida que mais dados são coletados, tudo isso sem afetar a experiência bancária do usuário. Para transações de baixo risco, há pouco ou nenhum atrito adicionado à jornada do cliente, enquanto as medidas de segurança adicionais necessárias são tomadas apenas para transações que são consideradas arriscadas ou anormais.

Embora os bancos e a tecnologia tenham um papel significativo a desempenhar na luta contra a fraude, os consumidores também devem ficar em guarda. Bancos, varejistas, governos e outros órgãos do setor devem educar seus clientes sobre as ameaças que podem enfrentar e as medidas que podem tomar para fornecer uma defesa ativa. Por exemplo, os consumidores devem entender como identificar um e-mail suspeito que pode ser uma tentativa de phishing, o que fazer se clicarem acidentalmente em um link malicioso e por que não devem fornecer informações de identificação pessoal por telefone ou e-mail.

Análise de risco e manutenção da conformidade

A implementação da análise de risco também ajuda os bancos e instituições financeiras a cumprir os requisitos do PSD2 para monitoramento de transações. PSD2 exige o uso de monitoramento de transações para impedir pagamentos fraudulentos e evitar ameaças como invasão de conta, fraude de nova conta e fraude móvel. As instituições financeiras também devem ser capazes de demonstrar a eficácia de seus sistemas de monitoramento para auditores e reguladores.
Por meio da análise de risco, dados móveis, de aplicativos e transações são analisados em tempo real para detectar tipos de fraude conhecidos e emergentes nos canais de banco on-line e móvel. Essa análise produz uma ferida de risco de transação, que pode conduzir fluxos de trabalho inteligentes que acionam ações imediatas com base em políticas e regras de segurança predefinidas e / ou definidas pelo cliente.
Levando em consideração uma série de fatores baseados em risco - incluindo cenários de fraude conhecidos, detecção de infecção por malware e o valor da transação - a análise de risco da transação permite que os bancos obtenham conformidade, protejam melhor seus clientes e reduzam seus custos operacionais.
À medida que os consumidores ficam mais acostumados com a tendência já crescente do banco digital, os bancos e instituições financeiras serão desafiados a impedir formas cada vez mais sofisticadas de fraude e manter a conformidade regulatória, tudo sem afetar a experiência dos usuários. As tecnologias analíticas de risco mais recentes oferecem às organizações do setor financeiro a capacidade de enfrentar esses desafios e prosperar em ambientes digitais remotos.

Risk Analytics for Fraud Prevention: Top Use Cases in Banking
White Paper

Risk Analytics for Fraud Prevention: Top Use Cases in Banking

To help banking executives better understand the value of a risk analytics system driven by machine learning, this white paper explains continuous fraud monitoring and dynamic risk assessment in the context of the top use cases in banking.

Download Now

Este artigo, de autoria de Mark Crichton, Diretor Sênior de Gerenciamento de Produtos de Segurança, foi publicado pela primeira vez em 22 de outubro de 2020 em ITProPortal.com .

Mark Crichton is the Senior Director of Security Product Management at OneSpan, with over 20 years’ experience in architecting, deploying, developing and strategic consulting within the realm of global IT security and payment security solutions.