Nos últimos seis meses, ocorreram diversas mudanças na maneira como os atores ligados à tecnologia de pagamentos e mobile têm tratado a segurança dos aplicativos para pagamentos. Muita gente esperava que o lançamento do Apple Pay, em outubro de 2014, teria grande impacto sobre o setor, em grande parte devido aos aspectos técnicos do serviço e à capacidade da Apple de usar o seu tamanho, ecossistema e marca para influenciar o mercado.
Algumas estimativas exageraram ao sugerirem que a Apple controlaria o ecossistema de pagamentos móveis, alterando totalmente o cenário dos meios de pagamento, o que não ocorreu. Fazendo uma retrospectiva: surgiram desafios logo após esse lançamento, incluindo questões durante o registro, que levaram os bancos apoiadores do projeto a repensarem seus processos de verificação. Veja o nosso texto sobre o assunto aqui.
No entanto, seis meses após o lançamento do Apple Pay, ocorreram grandes transformações no cenário das tecnologias mobile e de pagamentos, que prometem ser as primeiras de muitas mudanças.
- O volume de pagamentos via NFC dobrou no setor de varejo dos EUA
Novos sistemas de pagamentos apoiados pelos varejistas perderam a exclusividade dos clientes. Por exemplo, o Best Buy, membro do MCX, anunciou recentemente que adotará o Apple Pay até o final do ano.
- A expansão global do Apple Pay acelerou a oferta de serviços concorrentes
A suposição de que o Apple Pay será lançado em outros países acelerou os esforços dos concorrentes nessas regiões, incluindo aqueles apoiados pelos bancos, como o Zapp, no Reino Unido.
Mais recentemente, Samsung, Microsoft e Google se movimentaram para aumentar suas ofertas de produtos, adquirindo empresas ou lançando novas soluções. A Samsung tem planos para utilizar o NFC e a tecnologia da sua mais recente aquisição, a Looppay, que interage com leitores de tarja magnética, facilitando o lançamento nos EUA e em outros países nos quais o EMV e leitores sem contato ainda não foram lançados.
Neste momento, pouco se sabe sobre o Microsoft Pay, mas parece que ele usará Host Cloud Emulation (HCE) ao invés do Elemento Seguro.
A Google também tem considerado a tecnologia HCE no lançamento do Android Pay, utilizando a recente aquisição de tecnologia e propriedade intelectual dos produtores do agora inoperante aplicativo Softcard (antigo ISIS).
A tecnologia HCE é excelente tanto para a Microsoft como para a Google, pois contorna questões relacionadas ao controle do Elemento Seguro ligadas às operadoras de rede móvel (não é o caso da Apple, que possui SIM e elemento seguro próprios). A Google enfrentou problemas para ganhar o acesso ao elemento seguro, pois as operadoras de redes móveis criaram dificuldades para os aplicativos de pagamentos de terceiros, como o Softcard. No entanto, parece haver mais cooperação agora, com as empresas ajudando a Google e aceitando pré-instalar o Google Wallet em todos os telefones Android.
Quais foram os impactos do Apple Pay?
Em primeiro lugar, ficou bastante claro que os pagamentos móveis podem funcionar. Outros serviços de pagamento foram lançados antes, mas o Apple Pay parece ter sido o primeiro a causar uma grande impressão no público geral. As expectativas agora são de que o entendimento sobre esses serviços cresça significativamente quando Google, Microsoft, Samsung e outros se juntarem à Apple na oferta de serviços “Mobile Pay”.
Em segundo lugar, esses serviços tornam nossas vidas mais fáceis, removendo barreiras e permitindo que realizemos compras por novos meios. O Google em especial tem mostrado estar bastante comprometido com seus planos de promover uma camada de pagamentos móveis a ser utilizada por qualquer aplicativo ou API, permitindo que os desenvolvedores utilizem os pagamentos, sem se preocuparem com o modelo de negócio ou requisitos principais das suas empresas.
Em princípio, isso é fantástico, mas é importante lembrar que se deve ter muito cuidado ao proporcionar confiança e funcionalidades para aplicativos móveis.
Fraude móvel: cada vez mais criativa
Novas medidas avançadas de segurança estão sendo oferecidas para esses sistemas, mas nós devemos sempre lembrar que os fraudadores são especialistas em encontrar formas simples de contornar sistemas avançados de segurança.
Já vimos os fraudadores utilizarem perfis falsos em redes sociais para direcionar os clientes a sites de phishing que roubam senhas e nomes de usuário e infectam os dispositivos com softwares de interceptação de SMS. Isso mostra que mesmo os sistemas mais avançados podem ser burlados com truques e falsificações.
Ao invés de tentar desafiar a segurança dos aplicativos para dispositivos móveis, os fraudadores estão criando versões falsas desses apps e utilizando técnicas de engenharia social para enganar o usuário e fazê-lo baixar versões falsas de aplicativos populares. Atualmente, essa tendência tem sido utilizada principalmente para aplicativos bancários, mas, com o aumento do uso das APIs para pagamentos móveis por um número cada vez maior aplicativos, os fraudadores ampliarão esse escopo, atacando qualquer aplicativo que utilize essas APIs ou que seja utilizado para acessar detalhes de segurança.
Quando um usuário faz o download de um aplicativo falso ao invés do legítimo, ele permite que o criminoso realize uma série de ações, que variam do roubo de informações inseridas no aplicativo à solicitação de informações adicionais e modificação dos dados utilizados no aplicativo.
Adicionalmente, ataques multicamadas e multicanais são cada vez mais frequentes, tendo como alvo não somente os pagamentos via dispositivos móveis, mas todos os processos envolvidos, incluindo procedimentos de cadastro que utilizam verificação de dispositivo ou e-mail, gestão virtual de conta e transações off-line, nas quais o saldo disponível não é conhecido.
Para combater essas ameaças, bancos, varejistas e agora todos os aplicativos que utilizam as APIS “Mobile Pay” também precisam adotar uma abordagem multicamada para combater a fraude. No mundo moderno do “Mobile Pay”, qualquer estratégia antifraude deve englobar o monitoramento de aplicativos falsos, redes sociais, ataques de phishing, instalações de aplicativos maliciosos, mercado negro de cartões de crédito e débito roubados e anormalidades nas transações bancárias.