Slides apresentados na disciplina Gestão de Fraudes, Pagamentos e Segurança em Plataformas de E-Commerce no MBA em Gestão de E-Commerce da UNIDAVI, em Rio do Sul, SC, no mês de Junho de 2016.
5. • Segurança na internet: conceitos, métodos, técnicas e
ferramentas.
• Dispositivos de hardware e sistemas de software.
• Gestão de fraudes e meios de pagamentos.
• Análise, Projeto e implementação de um sistema de
segurança em um site de e-commerce.
Ementa
6. • MARCON,Antonio Marcos.Aplicações e
bancos de dados para Internet. 2. ed. São
Paulo: Érica, 2000.
• SEGURANÇA máxima: o guia de um
hacker para proteger seu site na Internet
e sua rede. Rio de Janeiro: Campus, 2000.
• MENEZES, J. C. Gestão da segurança da
informação. São Paulo: JH MIZUNO,
2011.
Bibliografia Básica
7. • Como está o inglês de vocês? E o management-ês?
• Já teve experiência com invasão de website?
• A loja possui alguma política de segurança da informação?
• E experiência com fraudes? Qual nível de fraude sobre o
faturamento?
Rápido Briefing
13. • 1,5 milhões de ataques todos os dias
• 7 de cada 10 emails disparados são SPAM
• 70% dos ataques são feitos por insiders
Números da Segurança
da Informação
19. Proporcional a quanto vale a
informação, e os prejuízos
que poderiam decorrer do
uso impróprio da mesma
Quanto investir em
Segurança da Informação?
23. • Perda de Confidencialidade
• Perda de Integridade
• Perda de Disponibilidade
Ameaças à Segurança
} C.I.A.
24. • Diversão
• Demonstração de poder
• Prestígio entre atacantes
• Motivações financeiras
• Motivações ideológicas
• Motivações comerciais
Motivação dos Ataques
25. • Malware
• Scan
• E-mail spoofing
• Sniffing
• Brute Force
• Defacement
• DoS ou DDoS
Exploração de
Vulnerabilidades
26. • Furto de Identidade
• Fraude de antecipação de
recursos
• Phishing
• Pharming
• Hoax
Principais Golpes na
Internet
27. • Site fraudulento
• Sites de compra coletiva
• Marketplaces C2C
Golpes de E-Commerce
28. • O Cyberespaço é caótico!
• E-Commerce reduz o custo para os
fraudadores
• Não há contato visual/pessoal
Pontos fracos do E-
Commerce
29. • Hackers buscando capturar informações dos
consumidores
• Impostores criarem espelhos do seu site
• Usuários autorizados baixando dados da loja
• Usuários autorizados danificando informações
Ameaças mais comuns no
E-Commerce
30. • Regulatório (externo)
• Banco de dados e rede
• Financeiro (interno)
• Fraude e risco de crédito
• Marketing e Operações (interno)
• Espionagem Industrial
Framework de Segurança
para E-Commerce
31. Fator crítico na decisão na hora de
comprar:
CONFIANÇA!
Por que
segurança?
39. Charge-Back
• O grande vilão da gestão de riscos
• Pode ser requerido até 180 dias após a compra
40. E o cartão de débito?
• Características:
• Debitado direto da conta corrente
• Recebimento em até 2 dias
• Comissão menor que cartão de crédito
• Benefícios:
• Transação autenticada permite recorrer
ao charge-back
• Diminui risco de fraude quando
autenticada
41. Dicas para Gestão de Meios
de Pagamento
• Índice de autorização > 80%
• Cartão de débito ótima opção para reduzir custos com tarifas e
melhorar o fluxo de caixa
• Considerar aspectos técnicos além do % das tarifas
• Prevenção de fraude é essencial quando o risco é seu (quase sempre)
• Controlar ticket médio e perfil do cliente, pois varia muito, mesmo
dentro do mesmo segmento
42. Missão do Gestor da Loja
Virtual
• Aumentar a taxa de conversão, reduzindo o abandono de carrinho
• Facilitar o processo de pagamento para o consumidor
• Reduzir o custo e prazo do frete
• Minimizar riscos de fraude e charge-back
• Garantir a segurança dos dados dos clientes
50. • Existência de golpistas motivados
• Existência de vítimas adequadas e vulneráveis
• Ausência de controles eficazes
Cenário para
ocorrência de Fraude
51. Engenharia social ou de tecnologia para obtenção de
dados, e aproveitamento em fragilidade nos sistemas
e controles das lojas virtuais.
Como ocorre uma
fraude?
52. • Fraude efetiva
• Auto-fraude
• Fraude amigável
• Falsificação de documentos
• Marketing Ativo (venda de dados)
• Phishing
Tipos de Fraudes
53. • Consumidores
• Cartão de crédito clonado
• Pagamento na entrega
• Troca
• Lojistas
• Reviews e Avaliações
• Descontos (“Black Fraude”)
• Produtos falsificados
Fraudes nos dois lados
do E-Commerce
57. • Lançamento de débito contra o estabelecimento
• Perda da receita
• Perda do produto (no caso de fraude)
• Risco de multa se volume de chargebacks > 2%
Consequências do
Chargeback
58. Certificar a veracidade das informações cadastrais e
dados oferecidos na hora da compra.
Pode ser automática, manual ou mista.
Análise de Transações
61. • Compra de produtos sem ligação lógica entre eles
• Utilização de e-mails gratuitos, e sem relação com o nome
do comprador
• Grande volume de pedidos em curto espaço de tempo
• Pedidos em nomes de diferentes portadores, com
endereços diferentes ou emails iguais
• Verificar a coerência dos números telefônicos (número de
dígitos e DDD condizente com endereço)
• Produtos de alto valor, com fácil revenda (eletrônicos)
Comportamentos
Suspeitos
62. • Em ligação telefônica, aplicar perguntas incomuns, como:“Qual o seu signo?”,“Quando é seu
aniversário”, e seguido de “Quantos anos você tem?” ou ainda “Qual o banco emissor do seu
cartão de crédito ?”
• Deixe o comprador falar, e correr o risco de se contradizer
• Faça a mesma pergunta mais de uma vez, e confira as respostas
• Sempre que houver apenas um telefone celular, pedir um telefone fixo, residencial ou comercial
• Pedir o envio de documentos digitalizados (RG, CPF, Comprovante de Endereço e Extrato do
cartão de crédito utilizado)
• Consultar a consistência do CNPJ/CPF, CEP e Telefones nas Operadoras
• Combinar a análise manual com algum sistema de scoring ou de proteção ao crédito (SERASA/
SPC)
• Utilizar o email para identificar perfil no Facebook
Como conduzir uma
análise manual
63. • É permitido informar à vítima devidamente identificada:
• Produtos adquiridos, bandeira do cartão, emissor do cartão,
cidade de entrega, data e horário da compra
• Orientar que entre em contato com a operadora e informar o
ocorrido
• Orientar que procure por outras fraudes na fatura
• Não é permitido:
• Informar endereços, telefones ou e-mails utilizados na compra
• Coibir que seja registrado boletim de ocorrência
Em caso de fraudes
66. • 1,5 milhões de ataques todos os dias
• 7 de cada 10 emails disparados são SPAM
• 70% dos ataques são feitos por insiders
Números da Segurança
da Informação
67. • Confidencialidade
• Integridade
• Disponibilidade
• Autenticidade
• Irretratabilidade
• Conformidade
Características da
Segurança da Informação
} C.I.A.
68. • Não existe nada 100% seguro
• Pesar custos x benefícios
Dilemas da Segurança da
Informação
69. • Regulatório (externo)
• Banco de dados e rede
• Financeiro (interno)
• Fraude e risco de crédito
• Marketing e Operações (interno)
• Espionagem Industrial
Framework de Segurança
para E-Commerce
71. Atividade
- Escolher uma loja virtual existente
- Descrever histórico, tamanho da loja, mix
de produtos, público-alvo
- Elaborar uma política de Segurança da
Informação, contemplando Pessoas,
Processos e Tecnologias, e tratando as 6
características de segurança da informação
(Confidencialidade, Integridade,
Disponibilidade,Autenticidade,
Irretratabilidade e Conformidade)
72. Atividade
- Descrever os meios de pagamento
atualmente aceitos pela empresa
- Identificar possíveis riscos de segurança e
financeiros para a empresa, com os meios
adotados
- Sugerir um plano de adequação de meios
de pagamento, indicando os pontos fortes
e fracos dos meios sugeridos
- Sugerir uma política de gestão de Fraudes
para cada um dos meios de pagamento
sugeridos