Um patrimônio do Comércio Eletrônico

E-Commerce News: Home » Notícias » Pesquisas » Campanhas de Phishing alcançam taxa de conversão de até 45%, diz Return Path

Campanhas de Phishing alcançam taxa de conversão de até 45%, diz Return Path

E-Commerce News | 01/09/2015 - 16:56 PM | Comentários (0)

Anualmente, 4,5 bilhões de dólares são perdidos com fraudes por e-mail e 93% desses incidentes estão relacionados aos ataques de phishing, tipo de ameaça com taxa de conversão de até 45%. Os alarmantes dados foram apresentados pelos executivos da Return Path, durante o Fórum Mind The Sec, realizado nos dias 26 e 27 de agosto, em São Paulo, com o objetivo de discutir pilares da segurança da informação, como gestão, tecnologia e soluções.

Provedora global de soluções de dados, a Return Path participou do evento com a proposta de munir o mercado com informações sobre autenticações e sua plataforma de dados, além da visão de clientes e provedores de e-mail sobre os desafios da segurança da informação. Todos os discursos dos especialistas da empresa, seja nas palestras ou no painel, reafirmam a urgência para que as companhias tomem atitudes proativas em defesa de suas marcas e da segurança do dinheiro e dados de seus clientes, contra ataques de fraudes por e-mail.

Atualmente, a melhor medida de prevenção está relacionada à adoção do protocolo DMARC, cujo eBook gratuito com instruções pode ser baixado diretamente do site da Return Path (http://returnpath.com/pt-br/pesquisas/relatorio-de-inteligencia-do-dmarc/). “No Brasil, 75% das caixas de entradas dos consumidores estão protegidas, incluindo contas do Gmail, Hotmail e Yahoo!. Trata-se da melhor solução contra ataques de phishing e spoofing. Muitas marcas globais apresentaram uma redução drástica no abuso de suas marcas após a adoção ao DMARC, solução que permite monitorar as mensagens, coloca-las em quarentena ou rejeita-las”, explicou Brandon Dingae, diretor de Email Fraud Protection da Return Path.

A eficiência do DMARC, inclusive, fez com que ele se tornasse um dos 30 requisitos de segurança para a implantação do “.Bank”, novo tipo de domínio que será lançado para as instituições financeiras. O objetivo é eliminar fraudes por meio de mensagens dos bancos, garantindo transações mais seguras na internet.

A melhor defesa da marca é o monitoramento do negócio

Desde 2014, o mercado sofre uma mudança em relação a ataques online, com a necessidade de criar medidas que combatam as falhas humanas nesse processo – como clicar em um link malicioso -, além de análises de fraudes integradas à segurança da informação – como o monitoramento do comportamento do usuário. Empresas de varejo, por exemplo, se deparam com três tipos de fraudes: a efetiva, quando o falsário entra no site da loja e efetua uma compra com dados roubados; a amigável, quando quem faz a compra não é o dono do cartão e sim uma pessoa próxima a ele, como filho, esposa, amigo; e a autofraude, quando o verdadeiro dono usa o cartão de má fé para realizar a compra e depois não reconhecê-la.

As perdas financeiras evidenciam a real importância da gestão de riscos de violação de dados. Normalmente, os fraudadores exploram as fraquezas humanas e fogem do ataque a marcas onde encontram alguma resistência tecnológica. Dessa forma, a melhor forma de proteger a marca é por meio do monitoramento do negócio via sistemas antifraude, como a adoção ao protocolo DMARC, capaz de reduzir de maneira significativa a entrega de e-mails fraudulentos.

93% dos incidentes estão associados ao phishing

Todos os dias, milhões de ameaças virtuais são espalhadas pela internet, sendo que 93% do total desses incidentes estão associados ao phishing. Nessas mensagens, caracterizadas pelo senso de urgência, os fraudadores têm se utilizado com bastante frequência do abuso de marcas do comércio eletrônico, de saúde, logística e linhas aéreas. “Em geral, até serem descobertas, essas campanhas têm, em média, 32 horas de duração, mas é nos primeiros momentos que o criminoso garante a maior taxa de conversão. Daí, a urgência de se ter uma atitude proativa, como a adoção ao protocolo DMARC, para derrubar a ação fraudulenta”, explicou Pablo Dewes, consultor técnico sênior de Email Fraud Protection da Return Path, durante palestra no Fórum Mind The Sec sobre “protocolos de autenticação para garantir a segurança dos e-mails contra spoofing e phishing”.

O executivo ressaltou que muitas companhias só tomam conhecimento do uso indevido da própria marca por meio do SAC ou de portais de reclamações, portanto conseguem reagir aos ataques somente após eles terem atingido seus consumidores. “Com a adoção ao protocolo DMARC, é possível ter uma reação rápida e proativa, antes mesmo que o e-mail chegue à caixa de entrada do cliente. Dessa forma, protege-se o cliente e a própria reputação”, destacou Dewes.

O dinheiro não está na rua e sim no “mundo online”

No painel do Fórum Mind The Sec sobre “proteção contra fraudes por e-mail – os desafios e tendências de todas as partes que compõe o ecossistema de e-mail e seus papéis no combate à fraude”, Celso Gonzalez Hummel, diretor de vendas de Email Fraud Protection da Return Path, trouxe ao conhecimento dos participantes um dado interessante. Enquanto 40% das lojas de rua estão fechando, o eCommerce registra crescimento de 35%, ou seja, o comércio online segue como um ótimo “negócio” para os fraudadores, garantindo excelente custo-benefício. “Os dados do Google informam que a taxa de conversão do phishing é de 45%. Se compararmos esses dados às taxas de conversão de campanhas legítimas notamos que os usuários têm se apresentado mais propensos a clicar em mensagens falsas”, considerou Hummel.

Os painelistas ressaltaram a crescente especialização dos fraudadores na elaboração da arte de mensagens de phishing: “Antigas dicas de identificação como arrastar o mouse sobre a mensagem, verificar a grafia correta das palavras ou a presença do ícone de cadeado na barra do endereço, já não são mais sinônimos de segurança”, afirmou Leandro Bennaton, Global Security & Compliance Manager – Terra.com.br e Chief Security Ambassador – 11Paths. E Hummel completou: “Além de prejuízo para os clientes, o phishing gera muitos transtornos para a marca, como perda de credibilidade e trabalho de investigação para entender quem recebeu o e-mail, quem clicou, qual é o tamanho do prejuízo e qual ação reativa é necessária”. Conclui-se, então, que a melhor forma de defender a marca é se aliar à tecnologia.

A governança e a visibilidade são a chave para o combate às fraudes por e-mail

Ainda parte do painel, Fabio Mello, Líder Técnico e Product Owner – Segurança de Aplicações, Itaú, ressaltou a importância da governança, ou seja, identificar as fontes que enviam e-mails dos domínios da empresa, para poder autenticar todos os fluxos de maneira padronizada. Assim, é possível implementar o DMARC e seguir para a política de bloqueio das mensagens fraudulentas. Dessa forma, as empresas poderão confiar que estão instruindo os provedores corretamente a bloquear somente as fraudes, evitando que mensagens legítimas estejam com falhas de autenticação e sejam bloqueadas.

Além de governança e medidas de proteção contra fraudes em e-mails oriundos dos domínios que as empresas controlam, existem os processos de take down dos sites, criados imitando as marcas. Para estes casos, é essencial ter visibilidade a dados que permitam identificar a extensão dos ataques (para planejar as medidas corretivas), além de providenciar a derrubada do site com mais agilidade e diminuir o impacto do ataque. “A Return Path obtem dados de diversas fontes, incluindo painel de usuários finais e mais de 70 provedores mundialmente, para prover esta visibilidade aos seus clientes”, completa Hummel.

97% das pessoas não identificam um phishing

Estudos mostram que o Brasil é líder mundial em ataques de phishing e que, mundialmente, a modalidade cresceu cerca de 40%, apenas em 2014. Se considerarmos somente a América Latina, veremos que o País é alvo de 39% dos ataques. “Quem criou o e-mail não pensou que ele seria usado para fins criminosos, então as marcas devem ficar atentas às vulnerabilidades existentes. Hoje, 97% das pessoas não conseguem distinguir uma mensagem autêntica da falsa. Os e-mails e sites falsos estão cada vez mais convincentes e os usuários ainda se mostram um tanto inocentes”, disse Brandon Dingae, diretor de Email Fraud Protection da Return Path, durante palestra no Fórum Mind The Sec sobre o tema “evitando manchetes negativas e custos de recuperação de fraudes por e-mail e abusos de marca”.

Engana-se, porém, quem julga que os prejuízos financeiros de um ataque de phishing podem lesar apenas o bolso dos clientes. “Ao tomarem conhecimento do ataque, algumas marcas se comprometem a reembolsar os clientes, na tentativa de reverter uma publicidade negativa de forma rápida, além de dispensarem recursos financeiros e mão de obra na investigação reativa da causa e do alcance dos danos causados pelo ataque”, ressaltou Dingae.

Como consequência pela falta de uma proteção proativa das companhias, a tendência é que os clientes vítimas de fraude deixem de interagir com a marca, por simples medo. “Não dá para bloquear todas as mensagens fraudulentas, mas é possível evoluir no assunto proteção monitorando o domínio para identificar se a marca está sendo utilizada indevidamente. A ideia é fazer com que, cada vez mais, empresa e cliente voltem a acreditar no canal de e-mail”, finalizou Dingae.

Tags: E-commerce, Notícias E-commerce, pesquisa e-commerce, Return Path

Categoria: Pesquisas

Sobre E-Commerce News: Fundado no ano de 2009, o E-Commerce News é um site projetado para profissionais de todas as áreas, interessados nos mais recentes conteúdos sobre o e-commerce no Brasil e no mundo. Ver mais artigos deste autor.