46% das fraudes no mundo estão no turismo no segmento de emissão de passagens aéreas. As fraudes podem surgir de vários métodos, sendo a mais comum o phishing, que é quando alguém envia um e-mail ou até um site falso para o alvo dizendo ser uma empresa que não é, e solicita dados e informações pessoais, como senhas e documentos de identidade. Um exemplo comum são as newsletters de programas de fidelidade pedindo para o participante atualizar seu cadastro. O golpe cresceu tanto, que as cias aéreas tiveram que fazer campanhas informando que não enviam e-mails para seus participantes atualizarem seus cadastros.
O phishing corresponde a 48% das fraudes no turismo, bem à frente do velho conhecido vírus cavalo de tróia, responsável por 25%. Entretanto, o campeão das fraudes é a compra com cartão de crédito clonado. Isso porque as agências só pegam o número do cartão, a data de validade e senha de segurança e mandam para o banco. Se eles falarem que o crédito é suficiente para a compra, pronto, vende! Sem pedir mais dados que comprovem a autenticidade do viajante.
A INDUSTRIA DO TURISMO É O ALVO FAVORITO DOS GOLPISTAS
Os dois principais motivos para isso são:
1) A quantidade de transações diárias de dados que acontecem no dia a dia da escada cliente-agência-operador-consolidadora.
2) A informalidade da troca de informações.
E é nesse ponto que a informalidade ronda o mercado. Por mais que seja um modo de agilizar as vendas e aumentar a comodidade do consumidor, torna-se uma bomba nas mãos da indústria de Turismo. O uso constante do Whatsapp, e até mesmo de e-mails, para enviar os dados de cartões de crédito do cliente para a agência, ou da agência para a operadora, faz das empresas de Turismo um prato cheio para crackers que buscam roubar dados de cartões para clonar e, enfim, realizar a compra.
O golpista leva a vantagem, principalmente com o crescimento dos negócios pelas redes sociais, de não precisar estar cara a cara com o agente para realizar a compra. Ele faz o pedido pela rede e a agência dá sequência à compra. Quando descobre que o cartão era clonado e o pagamento não chega, já é tarde demais. O voo já terá acontecido e a dívida sobra para a agência.
EXISTE PROFISSIONAIS DO TURISMO ENVOLVIDOS NOS GOLPES?
Os fraudadores, geralmente, têm um conhecimento profundo das engrenagens do mercado de Turismo. Ex-funcionários de agências, operadoras, consolidadoras, ou até mesmo golpistas com contatos internos das empresas foram citados como possíveis origens de tal conhecimento - determinar a fonte, porém, é tão complicado quanto prender um fraudador.
Os golpistas que costumam fraudar as agências de viagens praticam engenharia social utilizando documentação e dados furtados ou clonados. Eles buscam obter o máximo de informações sobre a agência, seus proprietários, funcionários e até clientes para elaborar uma história convincente e, assim, aplicar os golpes em agências se passando por passageiros ou empresas.
PARA EVITAR OS GOLPES É PRECISO CONHECER O PERFIL DO GOLPISTA
Boa parte das fraudes segue uma lógica como proximidade do voo, categoria, trajetos fora da cidade de compra, nome do viajante ser diferente do nome do titular do cartão, solicitações de viagens próximas do horário de encerramento do expediente da agência ou no horário de almoço, etc.
Proximidade do embarque: a característica mais batida do mercado quando se pensa em compras fraudulentas. Comprar uma passagem extremamente próxima da data de embarque - pode ser na mesma semana, no dia seguinte ou até mesmo a poucas horas do voo - torna mais difícil que as diversas empresas envolvidas na compra descubram a artimanha antes de que o voo seja realizado.
Isso porque, na maioria das vezes, o pagamento em um golpe é feito por um cartão de crédito clonado; ou seja, seu proprietário verdadeiro possivelmente só descobre a compra que não é sua no momento da fatura, o que pode levar até um mês - isso quando seu celular não está conectado à sua conta do cartão, pois neste caso a pessoa recebe um SMS informando a compra.
Neste esquema, o dinheiro nunca chega a cair na conta da companhia aérea. A pequena antecedência do voo faz com que o verdadeiro portador do cartão de crédito não perceba a compra e a cancele antes do trajeto acontecer. Quando a empresa aérea notar que o dinheiro não veio, o passageiro com a passagem fraudada já terá chegado ao destino! E pior: o viajante que usufruiu da passagem muitas vezes pode nem saber que comprou de um golpista; logo, não poderia ser cobrado pela companhia aérea ou demais empresas envolvidas na compra, já que estão protegidos pela lei.
Rotas sem relação com local da compra: compras de passagens sem muita relação com o local da agência. O fraudador se vale do benefício de não necessitar estar presencialmente na agência para realizar uma compra, e adquire a passagem de empresas em Estados distantes do País. Por exemplo: você é de Porto Alegre e recebe uma solicitação de compra partindo de Mato Grosso para Brasília.
Categorias elevadas: o comprador da passagem fraudada costuma escolher aquelas das classes mais elevadas, como executiva e primeira classe - afinal, envolve valores maiores e, com isso, a quantia embolsada pelo golpista é também maior. Nesse esquema, os valores altos são relacionados também à proximidade do voo, ou seja, nas compras de última hora.
Clientes desconhecidos e poucas informações: por fim, quase sempre o comprador que for tentar dar um golpe na agência é um cliente novo da empresa. É comum o fraudador ligar para uma agência citando uma indicação qualquer, como meio de passar maior veracidade. Você acha que está em segurança, mas o verdadeiro titular do cartão nega o débito e logo chega o chargeback através do seu consolidador.
Golpistas compram agências: Uma fraude que recentemente vem sendo praticada é a compra de agências por um preço acima de mercado, apenas para utilizar seu acesso com fornecedores - consolidadoras, aéreas... - para a aquisição de passagens fraudadas.
O novo método, revelado pelo diretor de Relacionamento da Iata com a Indústria no Brasil, Jefferson Simões, foi caracterizado como um dos mais "sofisticados" já observados no mercado.
Os alvos são principalmente pequenas agências que querem vender seu negócio. Digamos que uma delas vale R$ 50 mil. Um comprador chega e fala que quer pagar R$ 80 mil para adquirir ela, mas pede para já começar a realizar negócios utilizando seu nome e CNPJ antes da aquisição ser concluída. Nesse ponto, antes de transferir o nome da agência, o fraudador já começa a realizar as compras de passagens com cartões clonados, fazem compras na casa dos milhões e então desaparecem.
Duas delas sofreram este tipo de ataque no mês de julho de 2018 e realizaram compras fraudulentas de bilhetes aéreos que chegaram, em apenas dois dias, a um valor total de R$ 15 milhões, despesa que caiu na conta das companhias aéreas, consolidadoras e agências envolvidas. O "laranja", foi preso, mas a quadrilha que organizou o golpe mantém-se foragida.
Abertura de agência fraudulenta: são agências nascidas do zero com o intuito de realizar fraudes com fornecedores - aéreas, consolidadoras, entre outras. Elas se criam, se estabelecem, funcionam durante um período como agência idônea, e após conseguir confiança de alguns fornecedores fazem algumas grandes fraudes e se pulverizam, deixando para trás o prejuízo ao nosso mercado.
COMBATE AS FRAUDES
O combate as fraudes depara-se com a burocratização do processo de vendas, algo temido pelas empresas que buscam agilidade nos negócios. Criar mais etapas para vender para seus clientes que já contam com crédito para compra na consolidadora apenas os afastará, e as agências buscarão alguma empresa de consolidação que aceite vender sem essa tarefa a mais - o que inclui acrescentar dados como CPF, RG, endereço do passageiro…
Logo, sistemas automáticos tiveram de ser criados. Programas de autenticação da compra, tokens, big data e até inteligência artificial surgiram como possíveis soluções.
Confira abaixo algumas delas:
1) Programas de Autenticação - São programas plugados no sistema de venda, que consideram uma série de parâmetros para aprovar, ou não, uma venda - tudo de forma automática. Entre os critérios analisados, o período de antecedência da compra, a origem ou destino da rota coincidir com a cidade da agência, a categoria do voo, os documentos fornecidos junto ao cartão de crédito…
Nas compras que não são aprovadas nesse processo, uma equipe analisa pessoalmente os pontos de risco nessa venda. Ele então liga pra agência e fala: você conhece mesmo? Tem essa certeza de que é confiável? E as vezes, mesmo a agência confirmando, os sinais são tão claros de que se trata de uma fraude que a consolidadora simplesmente nega a venda.
2) Token - O método mais repetido entre as consolidadoras. Utilizar tokenização em etapas e transações como acesso ao sistema, emissões, cancelamentos, reemissões… Usar isso como segundo fator de aprovação reduz o prejuízo com fraudes para zero, se somado às demais práticas de segurança internas da empresa.
3) Inteligência artificial, Big Data, Machine Learning… - Tecnologias diferentes, mas utilizadas em consonância para coletar dados dos viajantes, aprender seus costumes e tipos de compra e, assim, identificar as compras suspeitas - quando saem do comum para o cliente.
As vendas on-line passam por uma análise de risco utilizando inteligência artificial. O equipamento aprende o comportamento dos clientes, horários de acesso, trechos que costumam vender, valores, trechos de alta incidência de fraudes… isso tem garantido um sucesso na mitigação de riscos e fraudes. Já o big data e machine learning são usados como sistema de análise de risco para identificação de emissões suspeitas. Assim, caso não seja aprovado pelo programa de autenticação ou programa de inteligência artificial, a compra é barrada pela empresa.
4) Certificação Payment Card Industry Data Security Standard - ou apenas PCI DSS - trata-se de um conjunto de requisitos exigidos a todas as agências credenciadas na Iata, que nada mais é, do que um conjunto de regras para gerar mais proteção nas transações via internet e também em lojas físicas. Elas devem sempre ser realizadas em ambiente totalmente seguro, acompanhadas por certificados digitais SSL. Tais exigências, são:
a) Instalar e manter a configuração de firewall de proteção de dados em transações pela internet,
b) Codificar a transmissão dos dados do titular do cartão e demais informações por meio de redes públicas,
c) Usar regularmente o antivírus, sempre atualizado,
d) Tornar mais rigoroso o acesso ao controle de acesso,
e) Restringir o acesso aos dados,
f) Atribui um ID único para cada pessoa com acesso ao computador,
g) Restringir o acesso físico aos dados do portador do cartão.
OUTRAS PRÁTICAS DE SEGURANÇA:
- Criação de políticas, regulamento interno e código de conduta para colaboradores e fornecedores,
- Criação de uma equipe de inteligência cibernética treinada e dedicada ao combate de fraudes e vendas suspeitas,
- Sinergia entre as áreas de segurança da informação e o trabalho em parceria com as administradoras de cartão de créditos e bancos,
- Manter os computadores protegidos com softwares de segurança,
- Nunca armazenar dados de cartão de crédito seja no computador ou em papel,
- Alterar as senhas de uso periodicamente,
- Nunca compartilhar senhas,
- Sempre bloquear o computador quando se afastar dele,
- Verificar a integridade dos sistemas onde os dados são armazenados.
Nenhum comentário:
Postar um comentário