Anualmente, 4,5 bilhões de dólares são perdidos com fraudes por e-mail e 93% desses incidentes estão relacionados aos ataques de phishing, tipo de ameaça com taxa de conversão de até 45%. Os alarmantes dados reafirmam a urgência para que as companhias tomem atitudes proativas em defesa de suas marcas e da segurança do dinheiro e dados de seus clientes, contra ataques de fraudes por e-mail.
Atualmente, a melhor medida de prevenção, com garantia de redução drástica no abuso das marcas, está relacionada à adoção do protocolo DMARC. Até o momento, a solução, que considero ser a melhor contra ataques de phishing e spoofing, protege 75% das caixas de entradas dos consumidores do Brasil, incluindo contas do Gmail, Hotmail e Yahoo! Por meio do DMARC, é possível monitorar as mensagens, colocá-las em quarentena ou rejeitá-las.
A eficiência do DMARC, inclusive, fez com que ele se tornasse um dos 30 requisitos de segurança para a implantação do “.Bank”, novo tipo de domínio que será lançado para as instituições financeiras. O objetivo é eliminar fraudes por meio de mensagens dos bancos, garantindo transações mais seguras na internet.
A melhor defesa da marca é o monitoramento do negócio
Desde 2014, o mercado sofre uma mudança em relação a ataques online, com a necessidade de criar medidas que combatam as falhas humanas nesse processo – como clicar em um link malicioso -, além de análises de fraudes integradas à segurança da informação – como o monitoramento do comportamento do usuário.
Empresas de varejo, por exemplo, se deparam com três tipos de fraudes: a efetiva, quando o falsário entra no site da loja e efetua uma compra com dados roubados; a amigável, quando quem faz a compra não é o dono do cartão e sim uma pessoa próxima a ele, como filho, esposa, amigo; e a autofraude, quando o verdadeiro dono usa o cartão de má fé para realizar a compra e depois não a reconhecer.
As perdas financeiras evidenciam a real importância da gestão de riscos de violação de dados. Normalmente, os fraudadores exploram as fraquezas humanas e fogem do ataque a marcas onde encontram alguma resistência tecnológica. Dessa forma, a melhor forma de proteger a marca é por meio do monitoramento do negócio via sistemas antifraude, como a adoção ao protocolo DMARC, capaz de reduzir de maneira significativa a entrega de e-mails fraudulentos.
93% dos incidentes estão associados ao phishing
Todos os dias, milhões de ameaças virtuais são espalhadas pela internet, sendo que 93% do total desses incidentes estão associados ao phishing. Nessas mensagens, caracterizadas pelo senso de urgência, os fraudadores têm se utilizado com bastante frequência do abuso de marcas do comércio eletrônico, de saúde, logística e linhas aéreas.
Em geral, até serem descobertas, essas campanhas têm, em média, 32 horas de duração, mas é nos primeiros momentos que o criminoso garante a maior taxa de conversão. Daí, a urgência de se ter uma atitude proativa, como a adoção ao protocolo DMARC, para derrubar a ação fraudulenta.
Em minha experiência com Email Fraud Protection, constato constantemente que ainda é grande o número de companhias que só tomam conhecimento do uso indevido da própria marca por meio do SAC ou de portais de reclamações, ou seja, conseguem reagir aos ataques de forma reativa, depois dos consumidores já terem sido impactados.
Diante desse cenário, o DMARC apresenta-se como solução para uma reação rápida e proativa, antes mesmo que o e-mail chegue à caixa de entrada do cliente. Dessa forma, protege-se o cliente e a própria reputação da companhia.
O dinheiro não está na rua e sim no “mundo online”
De acordo com dados fornecidos pelo Google, a taxa de conversão do phishing é de 45%, um número bem superior ao apresentado por campanhas legítimas. Essa informação fica ainda mais preocupante quando somada ao fato de que, enquanto 40% das lojas de rua estão fechando, o eCommerce registra crescimento de 35%. Em resumo, o comércio online segue como um ótimo “negócio” para os fraudadores, garantindo excelente custo-benefício.
É verdade, que a especialização dos fraudadores na elaboração da arte de mensagens de phishing tem contribuído para que as pessoas cliquem em mensagens falsas.
Mas, as marcas devem ter em mente que além de prejuízo para os clientes, o phishing gera muitos transtornos para a companhia que sofre abuso, como perda de credibilidade e trabalho de investigação para entender quem recebeu o e-mail, quem clicou, qual é o tamanho do prejuízo e qual ação reativa é necessária. A melhor forma de defender a marca é se aliar à tecnologia.
A governança e a visibilidade são a chave para o combate às fraudes por e-mail
Importantes marcas do mercado têm comprovado na prática a importância da governança, ou seja, identificar as fontes que enviam e-mails dos domínios da empresa, para poder autenticar todos os fluxos de maneira padronizada. Assim, é possível implementar o DMARC e seguir para a política de bloqueio das mensagens fraudulentas. Dessa forma, as empresas poderão confiar que estão instruindo os provedores corretamente a bloquear somente as fraudes, evitando que mensagens legítimas estejam com falhas de autenticação e sejam bloqueadas.
Além de governança e medidas de proteção contra fraudes em e-mails oriundos dos domínios que as empresas controlam, existem os processos de take down de sites maliciosos e páginas que imitam as legítimas para realizar o roubo de dados confidenciais.
Para estes casos, é essencial conhecer a extensão dos ataques, com o objetivo de planejar as medidas corretivas e a derrubada do site malicioso. Visibilidade e agilidade são essenciais para reduzir o impacto do ataque.
97% das pessoas não identificam um phishing
Estudos mostram que o Brasil é líder mundial em ataques de phishing e que, globalmente, a modalidade cresceu cerca de 40%, apenas em 2014. Se considerarmos somente a América Latina, veremos que o País é alvo de 39% dos ataques. Há ainda pesquisas afirmando que 97% das pessoas não conseguem distinguir uma mensagem autêntica da falsa.
A pergunta que fica é: por que as marcas resistem a adotar medidas proativas diante de dados tão expressivos e com a habilidade dos fraudadores em constante evolução? Engana-se, porém, quem julga que os prejuízos financeiros de um ataque de phishing podem lesar apenas o bolso dos clientes.
Já soube de marcas que, ao tomarem conhecimento do ataque, se comprometem a reembolsar os clientes, na tentativa de reverter uma publicidade negativa de forma rápida, além de dispensarem recursos financeiros e mão de obra na investigação reativa da causa e do alcance dos danos causados pelo ataque.
E os prejuízos não param por aí. Como consequência pela falta de uma proteção proativa das companhias, a tendência é que os clientes vítimas de fraude deixem de interagir com a marca, por simples medo. O DMARC não garante o bloqueio total de todas as mensagens fraudulentas, mas sim uma evolução significativa no monitoramento e proteção da sua marca e, como consequência, lapidando o relacionamento com o cliente.
Com estas novas tecnologias é possível controlar o problema reduzindo a dependência de educar o usuário final, pois os e-mails de fraude que utilizam domínios pertencentes às empresas podem ser bloqueados e nem chegarão aos consumidores; e quando chegam às caixas de entrada usando domínios falsos (que imitam os legítimos), é possível desativar os sites fraudulentos com maior rapidez.