Las grandes empresas siguen luchando contra todo tipo de fraude, desde amenazas internas hasta fraude de pagos e ingeniería social. Pero a menudo se pasa por alto a las pequeñas empresas, que libran las mismas batallas.
El vicepresidente senior de Visa y director international de soluciones de identidad y riesgo, James Mirfin, y el director de seguridad de la información de Jotform, Johannes Wiklund, le dijeron a Karen Webster que las pequeñas empresas están demostrando ser una trampa para los estafadores.
“Como propietario de una pequeña empresa, uno no se levanta por la mañana pensando en el fraude y los malos, y en cómo lo persiguen”, dijo Mirfin.
Las pequeñas empresas son especialmente vulnerables a los ataques, dijeron Mirfin y Wiklund. Al configurar tiendas en línea y operaciones de comercio electrónico, también publican formularios en línea que completan los clientes, con datos de tarjetas y detalles personales, para que los pedidos lleguen, se completen, envíen y paguen.
Eso es si las cosas van bien, como dijeron Mirfin y Wiklund en la última entrega de la serie Visa SMBTV.
Puntos de entrada para los estafadores
Esos puntos iniciales de interacción son también puertos de entrada del fraude. Los malos actores son expertos en poblar esos mismos formularios con credenciales de tarjetas robadas, identidades sintéticas y todo tipo de interacciones, cada vez más ayudadas por tecnologías avanzadas, que hacen que el daño esté hecho y descubierto sólo cuando ya es demasiado tarde.
Mirfin dijo que los productos de fraude como Authorize.web de Visa utilizan un enfoque basado en el riesgo, con reglas y un ojo puesto en nuevos vectores de ataque que pueden ayudar a mantener a las empresas en el lado correcto del fraude con tarjetas. Hay algunos hilos comunes de los propios esquemas que pueden generar señales de alerta, como cuando las direcciones de facturación y envío no coinciden, lo que indica que es posible que se haya robado una tarjeta. Las pruebas de tarjetas son un esquema favorito, donde las pequeñas compras, si tienen éxito, abren la puerta a un fraude más generalizado.
“Monitoreamos ese tipo de intentos repetidos y esencialmente podemos bloquear transacciones o identificar esencialmente direcciones IP de origen de las que provienen múltiples transacciones fallidas”, dijo Mirfin. “Y ponemos varios umbrales o límites en función de lo que implique el escenario”.
Pero los estafadores son expertos en cambiar sus tácticas, y en los últimos meses hemos visto el surgimiento del “reembolsador profesional”, que cobrará a los consumidores una tarifa por sus servicios, apuntando a los comerciantes e instigando el fraude en las devoluciones.
En otros lugares, en nuevos intentos de robar datos de tarjetas de crédito, los atacantes pueden utilizar ChatGPT para crear correos electrónicos de phishing convincentes. Un estafador podría mostrar una página internet falsa que indique a un consumidor involuntario que sus credenciales con un proveedor de servicios han caducado y que necesita ingresar un nuevo número de tarjeta, y luego tomar esas credenciales para cometer fraude en el comercio electrónico.
Si ingresa suficiente fraude al sistema, un emisor que vea a un comerciante lidiando con ataques de prueba de tarjetas podría hablar con los adquirentes y cerrar el procesamiento de pagos. Para el comerciante, perder 10.000 dólares y su capacidad de procesamiento de pagos podría sellar la ruina de una empresa.
Protección contra el fraude
Proveedores como Visa (a través de su solución Authorize.web) y Jotform, que ayuda a las empresas clientes a diseñar esos formularios en línea, pueden ayudar a las empresas a identificar buenos clientes mientras mantienen a raya las amenazas y los estafadores. El acto de equilibrio es una combinación de arte y ciencia, afirmó Mirfin.
“La forma en que lo hacemos es analizando cosas como direcciones IP o direcciones de envío y teniendo visibilidad de las credenciales comprometidas que las personas también podrían usar para intentar pagar las transacciones”, dijo Mirfin.
Jotform, como creador de formularios, también es un destacado socio de integración con procesadores de pagos como Authorize.web de Visa, dijo Wiklund. Los clientes van desde grandes empresas hasta entidades gubernamentales, pasando por sistemas escolares y pequeñas empresas individuales. Los formularios abarcan desde formularios de registro, pedidos, pagos y donaciones, encuestas, formularios de solicitud y acuerdos generales.
Si bien Jotform permite a personas sin conocimientos técnicos crear formularios basados en la internet, es posible que esas mismas personas no comprendan las preocupaciones de seguridad y privacidad tan bien como lo harían sus pares técnicos, dijo Wiklund. Las herramientas de Jotform cumplen con HIPAA, SOC 2 Tipo II, PCI DSS, GDPR y otras leyes, y Jotform tiene certificaciones de seguridad y cumplimiento que ayudan a los consumidores a sentirse seguros de que sus datos están siendo protegidos.
“A pesar de [the business] es el propietario de los datos, Jotform es el procesador de datos y los datos se almacenan sanos y salvos dentro de nuestros sistemas”, dijo Wiklund.
Existen mejores prácticas que ayudan a protegerse de los ataques. Mirfin y Wiklund abogaron por que los empleados de las empresas no hagan clic en enlaces o archivos adjuntos que lleguen a sus negocios y que nunca envíen información private o de tarjetas de crédito por correo electrónico sin cifrar. Educar al private sobre cómo son las comunicaciones y transacciones “típicas” puede ayudar a detectar anomalías.
Mirfin agregó: “Si cuenta con los socios adecuados y si ha pensado en cosas como la verificación del cliente desde el principio y cómo puede realmente seleccionar a los clientes, asegurándose de tener las reglas correctas, y también que “Si piensas en cómo suele ser un buen cliente para tu negocio, estarás preparado cuando aparezca ese mal actor”.
