Combatendo a Fraude de Phishing. Porque Não se Denuncia?

Todo mundo sabe que fraude de engenharia social é um termo amplo que se refere a golpes que exploram a confiança de uma vítima para induzi-la a fornecer informações confidenciais que o fraudador usa para cometer fraude ou convencer a vítima a dar dinheiro sob falsos pretextos, os famosos phishings.

Por que o termo “phishing”? Simples, por que o fraudador não escolhe a vítima, ele joga o anzol para o maior números de pessoas possíveis e espera ver quem cai no golpe.

Primeiro o fraudador envia um Smishing, que é um phishing com SMS para uma base de usuários e ou um link para o Whatsapp de vários números. E espera para ver quem clica. Com as vítimas fisgadas, os fraudadores  começam então a se preparar.

Os fraudadores então estudam os padrões de seus alvos e perfis de mídia social, como seus empregos, onde fazem compras ou outros detalhes pessoais. Com algumas informações coletadas, pronto, o fraudador fingindo ser um ator legítimo começa a coletar informações sensíveis como dados pessoais, contas bancárias, números de cartão de crédito e ou senhas.

Armados com esses insights, os fraudadores chegam às vítimas usando uma variedade de táticas (incluindo e-mail, mensagem de texto ou nas mídias sociais) e adaptam uma narrativa convincente em que sua vítima está mais inclinada a acreditar. Em outras palavras, eles vão arquitetar uma fraude com base no perfil social da vítima.

O que pode acontecer após a coleta das informações? 
Por exemplo, os fraudadores podem cometer fraude de pagamento por push autorizado (APP) convencendo sua vítima de que eles têm um saldo pendente em um utilitário que precisam pagar imediatamente. Também, que o usuário tem uma conta inativa em algum banco que está gerando pendências financeiras e multas, outra situação é que há um imposto atrasado que precisa ser pago imediatamente.

Assim que recebem o dinheiro da vítima, os fraudadores desaparecem.

Há também casos dos fraudadores usarem emails parecendo ser uma autoridade, ou o chefe, ou ainda da receita federal, prefeituras e bancos para convencer um funcionário de uma empresa a facilitar acesso a demais funcionários e ou convencer a vítima de que o email é realmente de uma instituição idônea.

Os fraudadores geralmente realizam golpes convincentes estudando o estilo de vida de seus alvos. E são persistentes. Se a tentativa inicial de um fraudador de enganar uma vítima não funcionar, eles a ajustarão repetidamente até encontrar uma estratégia que valha a pena. E ou uma vítima desatenta.

O que alimenta o phishing?
Existem dois fatores-chave que impulsionam os fraudadores para o phishing

A primeira é o acesso ao dinheiro.
A segunda é o acesso aos clientes.

Sobre o primeiro ponto, os fraudadores sabem seguir o dinheiro. Quando a pandemia começou a se desenrolar, governos de todo o mundo emitiram empréstimos de emergência para ajudar empresas em dificuldades a se manterem à tona. Muitos fraudadores concentraram seus esforços nesses esforços de ajuda do governo. Com esses programas agora se estabilizando, os fraudadores estão voltando para os phishing de SMS, Simishing, para o Phishing do Whatsapp clonado falso, ou ainda Boletos bancários falsos, tomada de Instagram.

Os fraudadores percebem que é mais fácil e mais lucrativo coagir os consumidores a facilitar as transações em seu nome do que investir em roubo de conta (ATO) que demanda muito mais tecnologia. No Phishing, se forem bem-sucedidos, alguns bancos podem relutar em quantificá-lo como um evento fraudulento, pois o cliente aprovou a transação.

Por que é difícil de medir o Phishing?
O problema com o phishing  é que é muito difícil de medir. O cenário bancário digital permite que os fraudadores falhem rapidamente, e sigam em frente em suas novas tentativas, de uma forma completamente  desconhecida.

Isso significa que os fraudadores podem facilmente escalar seus golpes, lançando 1.000 tentativas de phishing antes mesmo de tomar café da manhã. Mesmo que 80% dos ataques sejam evitados, isso significa que eles foram bem-sucedidos 200 vezes, obtendo lucro com o mínimo de esforço.

Enquanto isso, a maioria das tentativas fracassadas de phishing não são relatadas. E mesmo que as sejam, os fraudadores sabem apagar seus rastros. Nossa legislação não está andando nos mesmos passos que os fraudadores, portanto, mesmo quando delatados, dificilmente são investigados e ou, são encontrados ou penalizados.

Isso incentiva ainda mais a prática de phishing. Os fraudadores podem alcançar os clientes por e-mail ou mensagem de texto, e uma grande parte descartará suas comunicações e as esquecerá. Há pouco incentivo para um cliente relatar o episódio de tentativa, já que nada aconteceu e nada vai acontecer. No entanto, cada esforço fracassado de phishing que não é relatado significa que os bancos perdem a oportunidade de avaliar o problema mais amplo com precisão.

Fraudes de phishing bem-sucedidas também podem ser difíceis de medir.

Muitos clientes se sentem envergonhados por acreditar no truque de um fraudador e perder dinheiro. Como tal, eles não estão dispostos a admitir que foram enganados, e muito menos relatar o incidente ao seu banco, principalmente porque sabem que não haverá a aplicação da lei ou qualquer investigação ou punição pelos órgão policiais ou jurídicos.

Algumas vítimas por acharem que não haverá reembolso dos bancos ficam céticas e não relatam o incidente.

À medida que os fraudadores desenvolvem táticas de engenharia social os famosos phishings, os bancos devem ajudar seus clientes antes, durante e depois de serem afetados por essas fraudes, ganhando assim credibilidade, relacionamento e admiração e garantindo assim fidelização de sua carteira de clientes.

Lembre-se, a sua instituição bancária precisa de soluções inteligentes e ágeis que protejam seus clientes. A única plataforma que pode proteger ao seu banco é a Feedzai. A única plataforma em nuvem, completa, que previne a fraude e o crime financeiro, agindo em toda a jornada do cliente.

Entre em contato e saiba como a Feedzai pode proteger a sua instituição financeira.