4 dicas para adotar a inovação digital sem arriscar fraude de aquisição de conta e atrito com o cliente
Muitos comerciantes e organizações de serviços on-line enfrentam um paradoxo: Os clientes estão exigindo serviços digitais mais convenientes ao mesmo tempo em que os ataques cibernéticos direcionados ao comércio eletrônico e serviços online estão aumentando vertiginosamente, tanto em número quanto em impacto. Isso coloca as empresas on-line na infeliz posição de tentar abraçar as preferências dos clientes pela inovação digital enquanto se expõem a um risco maior de fraude e outras formas de crimes cibernéticos.
No centro desse enigma estão três motivadores principais. Primeiro, cada novo serviço digital ou site de comércio eletrônico que as organizações lançam expande a superfície de ataque existente, dando aos criminosos um alvo maior e tornando a detecção e a mitigação mais complexas. Em seguida, na maioria das organizações, os grupos mais focados na defesa contra crimes cibernéticos são as equipes de segurança e fraude, que geralmente existem em seus próprios silos, raramente colaborando em estratégias cibernéticas ou táticas de defesa. Isso dificulta uma abordagem coordenada à segurança cibernética que poderia limitar ou prevenir ataques e acabar com violações e fraudes mais rapidamente.
Por fim, e de forma um tanto irônica, certos hábitos e comportamentos dos clientes aumentam involuntariamente a exposição de fornecedores e provedores de serviços on-line. Cerca de dois terços dos consumidores reutilizam as mesmas credenciais (nomes de usuário e senhas) em vários sites, de acordo com uma pesquisa do Google . E quem pode culpá-los? Existem quase 33 milhões de sites de comércio eletrônico na Internet, de acordo com um relatório de distribuição de uso de comércio eletrônico da BuiltWith , e quase todos exigirão algum tipo de nome de usuário e senha para fazer uma compra.
No entanto, a reutilização repetida de credenciais cria vulnerabilidades que são facilmente exploradas por criminosos cibernéticos e seus exércitos de bots automatizados. Credenciais roubadas ou comprometidas são responsáveis por 54% de todas as violações de segurança, de acordo com o Hacker News , abrindo caminho para um dos vetores de ameaças cibernéticas de maior impacto: apropriação indébita de conta, ou ATO. Usando exércitos de bots, o invasor realiza tentativas de login automatizadas em grande escala, uma prática chamada credential stuffing, para descobrir quais pares de credenciais são válidos em vários formulários de login. Como uma fração significativa das credenciais violadas também servirá para obter acesso a contas em outros sites, os invasores podem assumir o controle das contas, alterar credenciais para bloquear o proprietário legítimo da conta, drenar os ativos e usar as contas para cometer atos adicionais de fraude.
Os ATOs aumentaram no primeiro semestre de 2022, aumentando 131% em relação ao mesmo período do ano anterior, de acordo com um relatório do VentureBeat . Os impactos são reais: De acordo com o Estudo de Fraude de Identidade Javelin 2022 , 22% dos adultos dos EUA foram vítimas de ATO, e as perdas por fraude digital devem ultrapassar US$ 343 bilhões globalmente entre 2023 e 2027, de acordo com relatórios do American Banker .
Parece claro que, para muitos serviços de comércio eletrônico e online, a adoção da inovação digital também aumenta o risco de ataques cibernéticos e possíveis perdas por fraude. Mas isso não significa que as organizações devem restringir a inovação e o investimento em novos serviços e experiências digitais ao cliente. Isso significa que as organizações devem adotar a inovação técnica para proteger seus canais digitais contra ameaças de segurança e fraude.
Quatro Passos para Salvaguardar a Inovação Digital
Aqui estão quatro medidas proativas que as empresas podem tomar para ajudá-las a mitigar riscos em seus canais digitais:
- Mitigar bots maliciosos. Mais da metade de todo o tráfego na Internet vem de bots e, embora alguns desses bots sejam úteis (chatbots, rastreadores de mecanismos de busca), a maioria é maliciosa. Bots maliciosos escalam ataques automatizados que abocanham mercadorias, acumulam estoque, criam contas falsas para cometer fraudes, reduzem o desempenho da web e de aplicativos e realizam ATO por meio de preenchimento de credenciais. Assuma o controle da atividade de bots em suas redes e propriedades da web com soluções avançadas de mitigação de bots que usam coleta avançada de sinais do lado do cliente, coleta de dados agregados e aprendizado de máquina para evitar ataques de bots em tempo real, automatizando a prevenção de ATO.
- Acabe com a fraude manual. Quando o ROI é alto o suficiente, os invasores ignoram os controles antiautomação com fraudes manuais mais difíceis de monitorar. Identificar fraudes manuais de ATO em canais digitais requer avaliar a veracidade da identidade dos usuários e estabelecer sua intenção, mas isso deve ser feito sem impactar a experiência do usuário de clientes legítimos. As soluções sofisticadas de fraude de hoje empregam sistemas baseados em IA treinados em dados humanos verificados para avaliar a verdade e a intenção para ajudar a impedir fraudes manuais em tempo real sem interromper a jornada do cliente para clientes reais.
- Elimine os silos organizacionais entre as equipes de segurança e fraude. Embora as equipes de fraude e segurança lidem com as complexidades dos ataques cibernéticos, elas geralmente abordam o problema de ângulos diferentes e com ferramentas diferentes. As equipes de segurança protegem redes de computação e aplicativos externos contra infiltrações e explorações, enquanto os departamentos de fraude se concentram na proteção de transações digitais on-line e na resposta a incidentes. Ambas as equipes podem estar lidando com os impactos do mesmo incidente ou exploração, mas se as equipes não se comunicarem, a inteligência de ameaças pode ser perdida e a escala do ataque pode não ser revelada, uma situação que só beneficia os invasores. A colaboração entre equipes de fraude e segurança proporciona melhor visibilidade dos ataques, melhora o monitoramento e a detecção e permite respostas mais focadas.
- Reduza fraudes sem interromper a experiência do cliente. Se as organizações tomarem medidas para mitigar o tráfego automatizado de bots, configurar proteções contra fraudes manuais e convergir as equipes de segurança e fraude para maior colaboração e resposta mais eficaz a explorações, elas estarão em posição de reduzir as defesas antifraude convencionais que adicionam atrito aos processos de jornada do cliente. Em outras palavras, quando o risco de fraude é controlado, as empresas podem remover em grande parte os irritantes quebra-cabeças CAPTCHA e outros testes de desafio-resposta, proporcionando uma experiência de usuário muito melhorada para clientes legítimos, sem introduzir risco de fraude em seus canais digitais.
Expandir seus sites de comércio eletrônico e outros serviços digitais não precisa aumentar também o risco de ataques cibernéticos. Soluções avançadas de mitigação de bots e fraudes, como o F5 Distributed Cloud Bot Defense, ajudam você a ficar à frente dos invasores e, ao mesmo tempo, eliminar atritos de segurança frustrantes para melhorar a segurança e a experiência online dos seus clientes. Usando tecnologias sofisticadas, como modelagem de inteligência de ameaças e aprendizado de máquina para detectar técnicas de invasores, o Distributed Cloud Bot Defense implementa contramedidas apropriadas em tempo real para combater fraudes e ATO com máxima eficácia, permitindo que sua organização adote a inovação digital sem correr o risco de fraudes e atritos com o cliente.
Para descobrir o impacto econômico dos bots na sua organização, agende uma sessão gratuita de consultoria sobre ROI de negócios em gerenciamento de bots. Para saber mais sobre ataques de preenchimento de credenciais que levam à tomada de conta, leia o e-book F5 Credential Stuffing 2022: As últimas tendências e ferramentas de ataque . Ou leia esta visão geral da solução para saber como o F5 Distributed Cloud Bot Defense pode ajudar a proteger seus canais online contra ataques e fraudes.