As suas suspeitas estão corretas: a fraude no eCommerce está a aumentar. Um aumento de quase 30%, para colocar um número exato, de acordo com um estudo anual da LexisNexis Risk Solutions. Ainda mais preocupante: esse número é quase o dobro do crescimento das vendas do eCommerce, com base nos dados do Digital Commerce 360.

Para piorar a situação, os comerciantes de eCommerce têm de combater a fraude em duas frentes diferentes. Para um, você tem que se proteger de esquemas que visam especificamente os comerciantes, como estornos fraudulentos ou imitação de sites (veja abaixo).

Mas além disso, você também tem que proteger seus clientes contra golpes. Abrigar golpistas em seu site é um beijo de morte para lojas on-line, mesmo que você seja tão vítima quanto seus compradores.

Felizmente, a prevenção da fraude no eCommerce também está em ascensão, com métodos tão sofisticados quanto os golpes que eles impedem. Neste artigo, delineamos os 7 piores e mais comuns esquemas de fraude para o eCommerce: como funcionam, que sinais de aviso a ter em conta, as suas melhores defesas e 10 ferramentas de prevenção de fraudes no eCommerce para optimizar a segurança.

Vamos começar!

Os 7 piores esquemas de eCommerce que devem ser observados

A sua primeira defesa contra a fraude no eCommerce é simplesmente saber o que procurar. Aqui estão as 7 lojas on-line mais comuns a que são vulneráveis.

1. Phishing ou e-mail phishing

A maioria das pessoas está familiarizada com golpes de phishing por e-mail, então vamos começar por aí. Estes são tão antigos como a própria Internet, por isso muitos de vocês provavelmente já abriram um e-mail de um estranho pedindo informações sobre uma conta sensível.

No entanto, ultimamente temos visto um aumento de golpistas que se fazem passar não por príncipes nigerianos, mas sim por lojas de eCommerce. Eles enviam e-mails disfarçados de confirmações de pedidos/entrega, com o objetivo de extrair dados de contas sensíveis ou levar as vítimas a um site fraudulento.

Exemplo de um e-mail de phishing que se faz passar por Amazon
Exemplo de um e-mail de phishing que se faz passar por Amazon (Fonte de imagem: SecureWorld)

No melhor dos cenários, estes levam a uma página de publicidade inesperada em vez de uma página oficial da loja. Outras vezes, não é tão inofensivo; links em e-mails de phishing muitas vezes vão para sites de armadilha com vírus, malware ou outros infortúnios relacionados ao hacking. É por isso que é sempre recomendável pairar sobre links suspeitos em vez de clicar neles.

2. Roubo de identidade

Se alguém perder suas informações de conta para um e-mail de phishing, o que acontece a seguir? O golpista pega essa informação e compra um monte de presentes caros para si mesmo, e adivinhe quem paga a conta. Se passar por você e fazer compras com suas informações financeiras é conhecido como roubo de identidade.

Por estranho que pareça, o revendedor é frequentemente o mais prejudicado pelo roubo de identidade: uma empresa de cartão de crédito geralmente inicia estornos em nome da vítima, mas sem a obrigação de devolver a mercadoria. Mesmo que o retalhista consiga recuperar os produtos, eles já não são novos. A única forma de um retalhista escapar incólume ao roubo de identidade é pará-lo antes que ele comece.

Também vale a pena mencionar que as lojas on-line também precisam estar atentas para se tornarem cúmplices involuntários no roubo de identidade. Se o seu site não for seguro, os hackers podem roubar a informação dos seus clientes mesmo debaixo do seu nariz – como foi o caso de um milhão de dólares nos hacks do Target 2013.

3. Pagejacking

Você está num site que já usou centenas de vezes antes, mas desta vez, nesta página em particular, algo parece… fora do lugar. Pode ser que o site tenha tido uma das suas páginas roubadas. Pagejacking é quando os hackers criam uma página web fraudulenta que imita um site já existente.

Casos mais avançados envolvem o pagejacking de um site de alto nível e sifonagem do tráfego do seu motor de busca. Pagejacking também é comumente associado com “mousetrapping”, no qual uma página impede que os usuários saiam, por exemplo, abrindo uma nova janela toda vez que o usuário tenta fechar o navegador ou inundar seu computador com infinitos pop-ups.

Mas no que diz respeito ao eCommerce, o pagejacking é outra técnica eficaz para o phishing, tal como imitar a página de login de um site para recolher nomes de utilizador e palavras-passe. A última coisa que uma marca de eCommerce quer é que os seus clientes duvidem da sua legitimidade cada vez que entram no sistema.

4. Fraude de estorno

A fraude de estorno é dolorosamente simples e terrivelmente comum. Basicamente, o golpista compra um grande pedido de eCommerce e depois cancela o pagamento após o envio. Eles guardam a mercadoria quando ela chega sem pagar um centavo.

Os métodos variam, embora possa ser tão fácil quanto o próprio golpista ligar para a empresa de cartão de crédito e dizer-lhes que sua identidade foi roubada.

Outra técnica popular é alegar que a entrega nunca chegou, por isso o golpista recebe um pedido duplicado de graça. Mesmo que o esquema seja apanhado a tempo, mesmo nas melhores situações, o comerciante ainda tem de investigar falsas alegações.

Para fazer com que os comerciantes tenham de diferenciar a “fraude amigável” da fraude real de estorno.

5. Fraude de triangulação

Vamos avançar para esquemas de fraude mais avançados, reservados a vigaristas mais espertos e experientes. Para explicar como funciona a fraude de triangulação, vamos dividi-la em etapas.

  1. O golpista cria uma listagem falsa para um produto real com uma marcação de preço significativa. Isto também nem sempre é tão fraudulento; sites como o eBay permitem que os usuários postem e vendam itens sem verificação.
  2. Um cliente “compra” o produto da listagem falsa, dando ao golpista todos os seus dados pessoais.
  3. O golpista pega os dados do cliente e compra o mesmo item para eles em um site diferente por menos. Eles têm o item enviado para o cliente.
  4. O cliente recebe o item que comprou, sem perceber que pagou demais. O golpista mantém o lucro da marca.

Uma das partes mais desonestas deste esquema é que as vítimas nem sequer sabem necessariamente que foram enganadas.

Além disso, os golpistas da triangulação bem sucedida acumulam longas listas de dados de contas e números de cartões de crédito. Na maioria das vezes, eles usam cartões de crédito diferentes para o passo 3, para disfarçar o seu cheiro.

Isso significa que a vítima de fraude de triangulação pode ter seus dados usados novamente em um esquema não relacionado meses ou anos depois.

6. Fraude de afiliados

Visando especificamente os comerciantes de eCommerce com programas de afiliados, a fraude de afiliados se refere a golpistas manipulando ou abusando de links de afiliados para obter um pagamento maior. Em outras palavras, se um afiliado é pago por cada visitante que envia um site, um golpista pode fazer parecer que enviou mais visitantes do que realmente enviou, ganhando um salário maior.

A fraude de afiliados muitas vezes envolve hacking e sistemas automatizados, mas em alguns casos, pode ser tão simples quanto usar um estábulo de perfis falsos. Os golpistas geralmente devem ter um certo nível de habilidades de informática para evitar habilmente a deteção.

7. Fraude de identidade do fornecedor

Por último, outro esquema de fraude específico do comerciante: o golpista faz-se passar por fabricante, fornecedor grossista ou outro negócio B2B, prometendo um serviço que nunca pretende prestar. As lojas on-line inscrevem-se, entregam algum dinheiro, mas nunca mais ouvem falar do fornecedor.

Esses esquemas atraem muito para outros esquemas como phishing e talvez até mesmo pagejacking, com a grande diferença de que eles têm como alvo empresas em vez de consumidores. É uma das razões pelas quais recomendamos sempre uma pesquisa profunda sobre com quem você está fazendo negócios.

Sinais de aviso de fraude do eCommerce: Pare os esquemas antes que eles comecem

Uma grama de prevenção vale um quilo de cura.

O método mais eficaz de prevenção da fraude no eCommerce é reconhecer os sinais de aviso com antecedência suficiente para os evitar. Aqui estão algumas bandeiras vermelhas que todas as lojas on-line devem ficar de olho:

  • O endereço de envio e fatura são diferentes. Como se muitas vezes se tratasse de roubo de identidade e fraude de triangulação, o proprietário do cartão não está a receber a mercadoria.
  • Várias ordens no mesmo item. Os golpistas do eCommerce tendem a visar itens de alto valor, e quando encontram um que gostam, vão usá-lo repetidamente. Muitas vezes a mercadoria é vedada de qualquer forma, por isso é mais sobre o valor monetário do que sobre o produto real.
  • Pedidos múltiplos para o mesmo endereço, mas cartões diferentes. A utilização excessiva dos mesmos números de cartão roubados traz atenção e suspeitas indesejadas, por isso os golpistas experientes gostam de mudar… e é mais fácil usar um número de cartão de crédito diferente do que ter a mercadoria enviada para um endereço diferente (Certifique-se de verificar o nosso guia sobre como prevenir e reduzir a fraude de cartão de crédito em 98% usando o Radar Stripe).
  • Pedidos suspeitosamente grandes (incluindo envio rápido). Como na maioria dos crimes, os golpistas querem ter a certeza de que as recompensas valem os riscos. É por isso que os esquemas de eCommerce envolvem frequentemente grandes encomendas, no caso de ser a última do fraudador. Eles também querem que as trocas sejam feitas o mais rápido possível antes que as vítimas se apoderem, por isso, o envio é rápido.
  • Endereços de e-mail ou números de telefone suspeitos. O roubo de identidade raramente é infalível – normalmente há um ou dois buracos. Fique atento a endereços de e-mail que não parecem somar (nomes diferentes, empresas que se fazem passar por indivíduos, etc.), bem como números de telefone suspeitos (ou seja, códigos de país ou de área diferentes do endereço de cobrança).
  • Transações recusadas repetidas. Acontece a toda a gente uma ou duas vezes que uma transação é recusada, mas as transações recusadas repetidas são uma bandeira vermelha. Embora às vezes inocente, pode ser um sinal de alguém tentando adivinhar informações sensíveis às quais não tem acesso legal.

Prevenção de fraudes no eCommerce: Sua defesa revestida de ferro

Agora que sabe todos os infortúnios que lhe podem acontecer, passemos à verdadeira razão de estar aqui: garantir que não aconteça! Aqui estão os melhores conselhos sobre a prevenção da fraude no eCommerce e a proteção da sua loja on-line contra fraudes.

Conformidade PCI

Primeiro, comece com as diretrizes oficiais para prevenção de fraudes no eCommerce: o Payment Card Industry Security Standards Council (PCI SSC). Basicamente, as maiores marcas de cartões de crédito do mundo se reuniram e delinearam uma lista de melhores práticas para evitar fraudes. Pense nisto como o mínimo necessário para a prevenção da fraude no eCommerce e como um bom ponto de partida.

Felizmente, muitos gateways de pagamento podem lidar com a conformidade PCI para você, para que você possa resolver o problema imediatamente, escolhendo outros mais seguros. Explicamos aqui como cumprir as diretrizes PCI ou você pode ir direto para a fonte com o blog PCI SSC.

Security Standards Council
Security Standards Council – PCI

AVS e CVV

Mais fruta de baixo peso para combater a fraude: Serviços de Verificação de Endereço (AVS) e Valor de Verificação de Cartão (CVV). Estas medidas de segurança padrão estão mais próximas das regras do que das recomendações.

A AVS garante que o endereço de faturação introduzido corresponde ao endereço de faturação em ficheiro, enquanto a CVV exige que os clientes introduzam o código de três números no verso do cartão (no caso de o ladrão só ter roubado os números do cartão, não o cartão propriamente dito).

Ambas as salvaguardas estão normalmente incluídas no processador de pagamento, portanto certifique-se de que elas estejam presentes antes de escolher a sua.

Assinatura requerida na entrega

Com tantos esquemas de eCommerce envolvendo identidades falsas, uma assinatura física pode carregar muito peso. Embora esta opção possa custar extra dependendo do seu envio, é uma grande defesa contra roubo de identidade, estornos fraudulentos e esquemas de triangulação.

Se os golpistas estão tentando convencê-lo de que são outra pessoa, ou que uma entrega nunca chegou, uma assinatura necessária os encurrala em sua própria armadilha.

Acompanhamento pessoal

Os vigaristas adoram vítimas preguiçosas. Eles nunca olham duas vezes.

Um golpe bem sucedido envolve coisas que caem pelas fendas, por isso uma das medidas preventivas mais eficazes é o acompanhamento de suspeitas. Se você tiver tempo livre, um pouco mais de atenção e graxa de cotovelo pode revelar exatamente o que o golpista não quer que você veja. Considere estas opções:

  • Envie um e-mail pessoalmente ao cliente para ver se o seu endereço de e-mail é autêntico. Clientes inocentes não se importarão se você explicar educadamente as suas suspeitas, mas os golpistas não saberão o que fazer. Preste atenção a coisas como gramática e ortografia em suas respostas para ver se o inglês é sua segunda língua.
  • Verificar a pessoa nas redes sociais. Procure seu nome e/ou nome de usuário para ver se eles são reais ou não, e se seus perfis correspondem às suas outras informações.
  • Ligue para o telefone do cliente. Este é o caminho mais rápido para verificar se alguém é quem dizem.
  • Atrasar o carregamento. Como já dissemos, os golpistas querem que suas operações sejam concluídas o mais rápido possível para diminuir as chances de serem pegos. Se você atrasar um carregamento de propósito e lhes disser o mesmo, isso pode assustá-los. Isto é um inconveniente para os compradores honestos, por isso só o use se tiver de o fazer.

Claro que você não tem tempo para fazer tudo isso para cada pedido, então um bom começo é desenvolver os seus instintos. Aprenda a identificar ordens suspeitas mais cedo, e se algo lhe parecer estranho – mesmo que só um pouco – por todos os meios, não o ignore.

Use sempre HTTPS

Qual é a diferença entre HTTP e HTTPS? Em uma palavra, criptografia. HTTPS funciona com outro protocolo, Secure Sockets Layer (SSL), para proteger os dados enquanto eles “se movem” através da Internet. HTTP (sem S) não o faz, portanto HTTPS é sempre melhor para evitar hackers. Pense nisso como o S significa “Segurança”.

HTTPS também tem outros benefícios, tais como melhor classificação SEO e dados de referência mais precisos. Se você estiver usando o WordPress, leia nosso guia detalhado sobre como alternar de HTTP para HTTPS. E se você está gerenciando uma loja WooCommerce, aqui está como instalar um certificado SSL.

Senhas mais seguras

Por último, mas não menos importante, você pode compartilhar o fardo da segurança com seus clientes, exigindo que eles tenham senhas mais seguras e elaboradas. Claro, ninguém gosta desses requisitos irritantes de senha, especialmente se eles têm contas em toneladas de sites… mas na verdade, ser vitimizado por um esquema de cartão de crédito é muito mais inconveniente do que lembrar de uma nova senha.

No momento, o padrão da indústria é de oito caracteres, uma letra maiúscula e um caracter especial. Outro menos do que isso é um risco, e para segurança extra, você pode adicionar mais requisitos como um número, ou mesmo senhas geradas aleatoriamente.

As 10 melhores ferramentas para a prevenção de fraudes no eCommerce

Você não está sozinho na sua luta contra a fraude, há toneladas de aliados se você souber onde procurar. Aqui estão os 10 melhores softwares para a prevenção de fraudes no eCommerce.

1. Signifyd

Signifyd
Signifyd

Com uma escala deslizante para acomodar grandes e pequenas empresas, o Signifyd é um dos primeiros lugares a procurar por software de prevenção de fraudes. Funciona no back-end da sua loja e atribui a cada compra uma “pontuação” com base na probabilidade de ser uma fraude.

Os utilizadores têm a opção de tratar do caso eles próprios ou de recorrer à ajuda da equipa do Signifyd. Eles também oferecem seguro em encomendas selecionadas, para maior tranquilidade no caso de haver algo suspeito em que não consiga pôr o dedo na ferida.

2. Sift

Sift
Sift

Anteriormente Sift Science, a ferramenta de prevenção de fraudes Sift é destinada a lojas de alto nível – mais recursos para mais dinheiro. Embora você possa comprar pacotes individuais, a suíte completa oferece:

  • avaliações de pedidos
  • prevenção de contas falsas
  • prevenção de aquisições de controle
  • prevenção do abuso de promoções
  • prevenção de spam para conteúdos
  • API de impressão digital do dispositivo

Sift touts sua aprendizagem da máquina como uma das melhores do setor, de modo que talvez, juntamente com as outras características, justifique a etiqueta de preço.

3. Simility

Simility
Simility

Simility é especializada em “impressões digitais de dispositivos”, identificando um dispositivo e avaliando seu nível de ameaça. Monitorizando os dados de um dispositivo – localização, SO, idioma, navegador web, nome de utilizador, até o nível da bateria! – A simplicidade cruza o dispositivo com qualquer lista negra e determina o seu nível de ameaça.

4. DupZapper

Dupzapper
Dupzapper

Fácil de usar, rápido de instalar e sem necessidade de integração API, DupZapper é um software de baixa manutenção e alto retorno. Concebido para regular os jogos on-line, o seu algoritmo detecta contas duplicadas, consistência geográfica, bloqueio de cookies e uso de proxy, entre outras coisas. Se você está procurando por ferramentas de prevenção de fraude indolor e sem esforço, esta é a nossa recomendação.

5. Kount

Kount
Kount

Uma das favoritas das empresas globais como Chase Bank e GNC, Kount é outra opção de alto custo e alta qualidade. Se você tiver o orçamento para isso, Kount alista algumas das tecnologias mais avançadas para acessar o risco de uma transação, utilizando mais de 200 variáveis de dados. O seu sistema é também um dos mais rápidos com um tempo de resposta de menos de um segundo (300 milissegundos, para ser mais preciso). Para as grandes empresas com orçamentos de grande dimensão, essa rapidez pode ser útil quando se trata de encomendas diárias.

6. Subuno

Subuno
Subuno

Subuno oferece muito por seu baixo preço: mais de 20 ferramentas de deteção de fraude que analisam mais de 100 fatores de risco. É uma excelente escolha para aqueles que não têm muito em seu orçamento, mas ainda assim priorizam a segurança do site, especialmente considerando que funciona com sites de eCommerce como Shopify e WooCommerce.

7. Riskified

Riskified
Riskified

 

O Riskified se diferencia de outros softwares de prevenção de fraudes no eCommerce de algumas maneiras. Para começar, eles usam relatórios rápidos de relâmpagos em tempo real. Uma boa escolha se você quiser a velocidade de um software de ponta como o Kount, mas sem o preço de nível empresarial.

Deixando de lado o modelo de “pontuação de fraude”, a Riskified apresenta uma análise clara de “aprovação/declínio” para cada pedido. Também funciona em uma escala móvel onde você só paga por pedidos aprovados que geram vendas, fazendo uma alternativa inteligente para lojas on-line menores.

8. FraudLabs Pro

FraudLabs Pro
FraudLabs Pro

 

O FraudLabs Pro tem um par de fortes vantagens sobre as outras ferramentas de prevenção de fraudes desta lista. Nomeadamente, usa métodos de deteção únicos, incluindo verificações de autenticidade para e-mail (como a idade do domínio de e-mail), redes sociais, ISP e nomes de usuário.

Mas a outra vantagem é ainda mais apelativa: um plano gratuito viável que aceita até 500 consultas por mês. Para pequenas lojas ou marcas que acabaram de ser lançadas, este é um achado de sorte para a segurança on-line.

9. Forter

Forter
Forter

Optimizada para transações móveis, a Forter oferece uma cobertura ampla e abrangente em quase todas as transações, independentemente da localização geográfica ou do método de pagamento. Uma das suas características favoritas é a sua personalização, permitindo que os utilizadores se sintonizem em perfis de risco específicos ou gateways de pagamento. Também utiliza relatórios rápidos, em tempo real, com um simples “sim/não”, em vez de uma pontuação de fraude.

10. Bolt

Bolt
Bolt

Tecnicamente falando, Bolt é mais uma solução de checkout UI do que uma solução de prevenção de fraudes… no entanto, como a prevenção de fraudes está embutida no seu sistema, ela se qualifica como ambas. Bolt é um sistema otimizado de checkout tanto para a deteção de fraudes quanto para a experiência do usuário, visando aumentar as vendas e diminuir o abandono através da usabilidade.

O Bolt examina mais de 200 pontos de dados comportamentais durante o checkout para avaliar os riscos. Isso, combinado com as suas vantagens de usabilidade, faz dela uma grande escolha para lojas on-line que precisam de ajuda em mais áreas do que apenas segurança on-line.

Resumo

As suas medidas de segurança de prevenção de fraude melhoram diretamente o sucesso da sua marca de eCommerce – ou, mais precisamente, o seu fracasso em prevenir esquemas de fraude impede diretamente o seu sucesso. E com a fraude no eCommerce a aumentar, a segurança é agora uma prioridade maior do que nunca para as lojas on-line.

Felizmente, se estiveres vigilante, podes sair do seu caminho. Reveja os 7 golpes mais comuns listados acima para que você “conheça seu inimigo”, por assim dizer, e se prepare para o que esperar. Da mesma forma, reveja os sinais de aviso e as bandeiras vermelhas que delineámos para que possa apanhar tentativas de fraude enquanto ainda são apenas “tentativas”.

Nós listamos métodos eficazes de prevenção de fraudes no eCommerce – técnicas que qualquer proprietário de loja on-line pode implementar por conta própria a partir do zero. Mas quanto maior for a sua marca de eCommerce, mais ajuda externa vai precisar. As 10 principais ferramentas de prevenção de fraudes oferecem algo para todos, portanto, dê uma olhada em nossas avaliações e encontre a que melhor se adapta às suas necessidades, objetivos e limitações.

Matteo Duò Kinsta

Editor-chefe da Kinsta e consultor de marketing de conteúdo para desenvolvedores de plugins do WordPress. Conecte-se com Matteo no Twitter.