La seguridad en Internet es un problema de todos. Con cierta confianza, todos escucharon sobre piratas informáticos, robos de datos y dinero. Pero, ¿está listo para responder ahora mismo de qué lado puede verse amenazado su negocio? ¿Puede nombrar las principales vulnerabilidades de su tienda en línea? Cien a uno será un fracaso.
A todos nos han hecho preguntas contundentes. ¿Qué preferimos hacer en tal caso? Claro, elegimos dejarlo hasta un tiempo razonable, un día lo olvidamos con éxito y todo encaja o se deshace.
Hemos decidido que es hora de salir de tu zona de confort y arreglar esto. Conozca los últimos tipos de fraude en comercio electrónico, los casos más destacados en 2017 y cómo proteger su tienda en línea y todos los segmentos de clientes contra actividades maliciosas. Te ofrecemos darle sentido a todo.
Resumen del artículo [ ocultar ]
- ¿Qué es el fraude informático? ¿Qué es el fraude de comercio electrónico?
- 6 jugosos ataques de ciberseguridad con los que esperamos no te hayas topado en 2017
- Corredores de sombra
- Quiero llorar
- Petya/ NoPetya/ Nyetya/ Goldeneye
- Bóveda 7
- sangrado de nubes
- Aadhaar-Scam con ICICI Bank
- Tipos de fraude de comercio electrónico
- Los principales tipos de fraude en el comercio electrónico
- Adquisición de cuenta
- El robo de identidad
- Subtipos de fraude de comercio electrónico
- Fraude con tarjeta de crédito o tarjeta no presente
- Hackear
- Fraude de triangulación
- Fraude limpio
- Fraude de afiliados
- Estafas de tarifas y transferencias bancarias
- Fraude de contracargo
- fraude amistoso
- Vulnerabilidades específicas de la plataforma
- Los principales tipos de fraude en el comercio electrónico
- Detección de fraude en comercio electrónico
- Revisión manual
- A. Verificación de la dirección IP
- B. verificación de la dirección de correo electrónico
- C. verificación del número de teléfono
- D. verificación de la dirección de envío
- E. pedidos múltiples con verificación de productos duplicados
- F. lista de clientes fraudulentos confirmados
- G. Detección de fraude Magento
- Revisión manual
- Herramientas de prevención de fraude en comercio electrónico
- Cumplimiento de PCI: políticas de prevención de fraude y monitoreo de fraude
- Un procesador de pagos de terceros confiable
- HTTPS
- AVS y CVV
- Software actualizado
- Protección de aplicaciones móviles de comercio electrónico
- Autenticación fuerte
- Medidas de prevención de fraude en comercio electrónico para Magento
- Formación del personal sobre su protección de datos privados
- Cumplimiento de PCI: políticas de prevención de fraude y monitoreo de fraude
- ¿Qué debo hacer si experimenté un fraude de comercio electrónico como comerciante?
- ¿Qué íbamos a decir?
¿Qué es el fraude informático? ¿Qué es el fraude de comercio electrónico?
“Hará falta un director ejecutivo o director de finanzas valiente de cualquier organización para argumentar que el impacto del fraude en su organización es menor de lo que este informe considera que es el caso: más de dos tercios de los ejercicios que se revisaron mostraron pérdidas de más del 3% del gasto, con una media de 19 años del 5,85% y un aumento del 28% desde 2007”.
Jim Gee
Socio y Jefe de Servicios Forenses y Antifraude
de Crowe Clark Whitehill LLP y Profesor Visitante
y Presidente del Centro de Estudios Antifraude
de la Universidad de Portsmouth.
Confiar en el Código 18 de los EE. UU. § 1030 – Fraude y actividades relacionadas en conexión con computadoras,
fraude informático o de Internet presupone las siguientes condiciones:
(6) quienquiera que tenga la intención de defraudar trafica (contraseñas, información privada) mediante el cual una computadora o sistema protegido se puede acceder sin autorización; cuando afecte el comercio interestatal o exterior ; quien lo haga con la intención de extorsionar dinero o cosas de valor a cualquier persona o perjudique la confidencialidad de los datos obtenidos como resultado del acceso no autorizado a una computadora o sistema protegido.
* Aquí solo se presenta información de muestra. Para ver un capítulo completo con todas las referencias, siga el enlace .
Definido de manera simple, el fraude informático o de Internet supone un uso delictivo intencional de una computadora protegida¹ e Internet.
¹ Hoy en día, los tribunales estadounidenses definen el término «computadora protegida» como cualquier computadora conectada a Internet, que se invoca en la Cláusula de Comercio .
Ampliamente, una acción de fraude tiene varias formas. El fraude de comercio electrónico o fraude de compra es una de las formas que puede adoptar el fraude informático. La definición asume a un delincuente que accede intencionalmente al sistema de un comerciante privado con el fin de realizar transacciones comerciales ilegales.
¡Entonces, le ofrecemos mirar los últimos datos para calcular a qué pérdidas llegamos en 2017!
Según el último Informe de ACFE sobre Fraude Laboral , más del 50% de los encuestados (más de 500 CFE seleccionados al azar) han declarado que el fraude en el comercio electrónico aumentó significativamente en los últimos 12 meses en referencia al nivel de fraude que habían inspeccionado antes.
En línea con el Online Fraud Benchmark Report 2017 , los encuestados (466 empresas de EE. UU. y Canadá) verificaron que un fraude de comercio electrónico anual promedio afecta a todas las líneas de pedidos. Por lo tanto, la pérdida financiera realizada:
- 0,9% en el canal de pedidos de la tienda web;
- 0,8% en móvil;
- y todavía alrededor del 0,3% en el canal de teléfono/correo.
No es tan malo: sin embargo, los informes también han demostrado que las empresas de comercio electrónico lograron cierto éxito al enfrentarse al fraude.
Los negocios en línea sofisticados y de nueva creación continúan controlando las pérdidas por fraude mientras reducen la cantidad de pedidos sospechosos a través de la revisión manual y soluciones técnicas actualizadas.
Aún así, no saques conclusiones precipitadas. Solo piénselo, ¿cómo puede elegir una solución de protección adecuada si tiene:
- una noción confusa de los tipos de fraude de comercio electrónico;
- ¿No tienes idea de las vulnerabilidades de tu sistema?
6 jugosos ataques de ciberseguridad con los que esperamos no te hayas topado en 2017
Tómese un descanso : prepare una taza de café negro caliente, siéntese y relájese mientras tiene estadísticas bastante escalofriantes por delante. Este no es un lugar para los débiles de corazón.
El fraude de comercio electrónico se divide aún más en múltiples tipos y subtipos. Pero antes de continuar con esta conversación, veamos lo que merece una atención especial.
Corredores de sombra
El grupo de piratas informáticos cometió ataques de ransomware de alto perfil a través de errores y vulnerabilidades en productos comerciales como el sistema operativo Windows para robar información.
Quiero llorar
El ransomware causó tales consecuencias debido a las vulnerabilidades de Windows OS Shadow Brokers, EternalBlue. Y aunque el parche MS17-010 para el error se lanzó en marzo, muchas empresas no lo aplicaron a tiempo.
Petya/ NoPetya/ Nyetya/ Goldeneye
El ransomware era más avanzado que WannaCry. Principalmente, afectó el sistema de pago sensible.
Bóveda 7
La documentación de las operaciones de espionaje y las herramientas de piratería utilizadas por la CIA y publicada en WikiLeaks reveló las vulnerabilidades de iOS, Android y Windows utilizadas para rastrear la ubicación del dispositivo y convertir los dispositivos inteligentes en escuchas.
sangrado de nubes
Cloudflare, una empresa de servicios de seguridad, anunció que un error en su plataforma provocó una fuga aleatoria de datos de clientes potencialmente confidenciales. Aunque se afirmó que los datos expuestos no tenían posibilidades de monetizarse de manera eficiente, la fuga creó riesgos.
Aadhaar-Scam con ICICI Bank
Los estafadores se identificaron como funcionarios bancarios y engañaron a los clientes para que pasaran sus OTP.
Plantea la pregunta : ¿Estarán las empresas mejor preparadas para 2018?
El 82 por ciento de los que respondieron en Twitter suponen ‘No’. Bueno, ya veremos.
Tipos de fraude de comercio electrónico
En cuanto a los tipos de fraude de comercio electrónico y las formas que puede tomar, echemos un vistazo a los datos estadísticos anticuados.
Los tipos de delitos en línea más frecuentes reconocidos en el Reino Unido son:
- virus informáticos (13K);
- piratería informática (4K) y vandalismo en sitios web (4K);
- robo de dinero en línea (3K);
- robo de información (1K):
No es tan malo: el phishing no llegó a las estadísticas. Probablemente, los usuarios se han educado mejor y ya no caen en los ataques.
El panorama general de la distribución de comercio electrónico muestra que más del 50 % del fraude de pagos en línea corresponde a los EE. UU. Donde el segmento minorista más afectado son las aerolíneas (49%). Ciertos expertos en seguridad aseguran que fue evocado por la simplificación del sistema de pago y las dificultades asociadas con el seguimiento de una gran cantidad de pedidos durante la temporada navideña:
Según el informe Fraude con tarjeta no presente en todo el mundo del Foro de pagos de EE. UU., EE. UU., Bélgica y Francia son los países donde la esfera del comercio electrónico afecta las mayores tasas de ataques de fraude.
El documento técnico sobre el fraude en los pagos en línea de Juniper Research demostró una vez más que los EE. UU. y la región de América del Norte llevaron a cabo el nivel más alto de ataques de fraude en el comercio electrónico.
Solo podemos adivinar las razones: los países con una economía más desarrollada y un mejor nivel de vida se reparten la mayor parte del comercio electrónico mundial y, por lo tanto, se llevan todo el calor. Donde el tipo de comerciante más influenciado es un servicio de suscripción:
El estudio realizado por el grupo Riskified dice que la esfera de los viajes sufrió importantes ataques de fraude de comercio electrónico el año pasado. Los sectores de la electrónica, la cosmética, la moda y el hogar se mantienen unidos quedando a medias detrás de los viajes. De alguna manera, el crecimiento continuo de la industria de los viajes y su contribución económica global explica la primera posición en las estadísticas:
En referencia a la investigación de Juniper mencionada , entre los principales comerciantes afectados por transacciones fraudulentas se encuentran las aerolíneas mencionadas anteriormente, las transferencias de dinero, que afectan a toda la esfera del comercio electrónico y las computadoras/electrónica:
Eso es rico : ponte al día con la lectura para aprender cómo asegurarlo.
Los principales tipos de fraude en el comercio electrónico
Si nos alejamos de las estadísticas y recurrimos a la opinión de CFE (Certified Fraud Examiner) sobre los tipos de fraude en el comercio electrónico, los especialistas suelen destacar dos de ellos: la usurpación de cuenta y el robo de identidad.
Adquisición de cuenta
☝ Podemos hablar del caso de toma de control de una cuenta si un estafador actúa intencionalmente como un cliente real, de modo que obtiene el control de una cuenta y realiza una transacción financiera/de información no autorizada con el objetivo de obtener un beneficio material.
Se puede poner en riesgo cualquier ‘cuenta’ privada: banco, tarjeta de crédito, tienda, correo electrónico, cuentas de otros servicios. Una de las principales razones por las que el tipo ha adquirido tales escalas es la presencia global de la posibilidad de «pago con un solo clic». Las empresas de comercio electrónico y los minoristas corren un riesgo creciente de experimentar la amenaza, ya que las empresas se ocupan de cuentas de usuario y/o sistemas de membresía. Así, en 2017 las pérdidas en comercio electrónico por apropiación de cuentas han ascendido a 2.300 millones de dólares.
El robo de identidad
☝ La forma de fraude presupone el robo intencional de la información confidencial de otra persona para realizar transacciones financieras en un sitio web de comercio electrónico (en otro lugar) en nombre de la persona.
En el comercio electrónico, las transacciones normalmente las paga el minorista. Uno de los subtipos más comunes es el fraude de contracargo . El robo de identidad se puede realizar mediante el uso de los datos privados de los minoristas y los proveedores. En este caso, hablamos del fraude de identidad del comerciante .
Subtipos de fraude de comercio electrónico
Ahora, cuando se enteró de los principales tipos de fraude de comercio electrónico y las tasas de penetración más altas a nivel mundial, procedemos con los numerosos subtipos:
Fraude con tarjeta de crédito o tarjeta no presente
El fraude tiene lugar cuando quien intencionalmente usa su tarjeta de crédito o cuenta de tarjeta de crédito para comprar algo que usted no ha autorizado. En este caso, un estafador roba el número de cuenta de su tarjeta de crédito, el PIN o el código de seguridad para realizar una transacción financiera sin una tarjeta de crédito física. Los comerciantes o servicios de procesamiento de pagos que no cumplen con el PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) se encuentran en un grupo de alto riesgo de verse afectados por el formulario de fraude.
Revelado : El caso del hacker TJX Albert Gonzalez condenado . Condenado a penas de 20 años de cárcel, Gonzales había robado más de 90 millones de números de tarjetas de crédito/débito de TJX y otros minoristas.
Hackear
La piratería ocurre cuando quien intenta explotar intencionalmente un sistema informático, una red privada o comete un acceso no autorizado a una computadora/sistema protegido con un propósito ilícito. No necesariamente tiene lugar a través de computadoras, sino también de teléfonos inteligentes, tabletas, todos los dispositivos móviles más nuevos, sistemas de seguridad y cualquier otro dispositivo conectado a Internet.
Revelado : Una (no) historia de amor de Lauri . Si el hacker se niega a aceptar un acuerdo de culpabilidad, tendrá que pagar 9 millones de dólares (£ 6,8 millones) en multas y será condenado a una pena de prisión de hasta 99 años.
Fraude de triangulación
El tipo ha heredado mucho del puro hacking. Como el nombre se explica por sí mismo, el tipo implica tres pasos complicados para la actividad fraudulenta:
- (un cliente victimizado) El primer paso es un proceso complicado, que incluye la creación de una tienda en línea falsa y el almacenamiento de datos privados de los clientes. Con demasiada frecuencia, existen copias espejo de los sitios web oficiales de comercio electrónico. Además, no necesariamente deben ser pequeñas tiendas en línea. De hecho, los estafadores eligen tiendas como eBay para cometer el fraude de triangulación (por ejemplo, una subasta para vender un artículo que los estafadores aún no poseen);
- (una tienda electrónica oficial) Una vez que un ‘cliente víctima’ realiza un pedido, el pirata informático ejecuta un ‘fraude puro’ en el sitio de la tienda en línea legal para enviar el producto al cliente utilizando otra información de tarjeta de crédito robada;
- (un estafador) Después de la ejecución, un estafador recolecta dinero y una base de datos con información genuina utilizable para futuras especulaciones. La tienda online legal y un ‘cliente víctima’ quedan fuera del negocio.
Revelado : la comunidad de eBay escribe sobre lo que sabe . La historia de un cliente sobre protección contra pulgas para mascotas por $126.00 que nunca ha pedido.
Fraude limpio
Podemos hablar de fraude limpio cuando un estafador utiliza los datos de una tarjeta de crédito robada de una manera que excluye la posibilidad de «ser atrapado con los bienes». Cuando esto ocurre, un estafador intenta robar la mayor cantidad de información posible sobre el titular de la tarjeta para pasar cualquier procedimiento de transacción sin ser testigo. El tipo de fraude es el más difícil de identificar, ya que la información que puede utilizar el usuario malicioso es genuina.
Revelado : escándalo de Olympus por 529 millones de dólares. El expresidente Tsuyoshi Kikukawa y otros 15 son responsables de 529 millones de dólares.
Fraude de afiliados
Si un estafador manipula la información almacenada por el enlace de afiliado proporcionado a una empresa por un minorista para hacer que el minorista pague más las capacidades financieras, esto es fraude de afiliado. El tipo puede ser cometido por una persona real usando perfiles falsos o utilizando un proceso automatizado. No es una excepción cuando un estafador emplea la simbiosis de los enfoques para evitar ser baneado de antemano.
Revelado : El caso de Shawn Hogan, el CEO de Digital Point Solutions . eBay le pagó $ 28 millones en comisiones de ventas de marketing de afiliados.
Estafas de tarifas y transferencias bancarias
La estafa también se conoce como ‘Nigerian Prince’ . Un delincuente pide dinero a los representantes de la empresa comercial por adelantado a cambio de una suma mayor de dinero más adelante. El público objetivo de los delincuentes son las empresas que prestan servicios.
El estafador se pone en contacto con el propietario o los representantes de la empresa por correo electrónico como cliente potencial. El delincuente afirma pedir una cantidad impresionante de trabajo (servicio) o un posible proyecto de la empresa, pero coopera con una empresa de terceros y también debe pagar por ellos. Sin embargo, debido a algunas circunstancias ficticias, no pueden hacerlo en este momento (por ejemplo: el estafador está en el extranjero y tiene un número limitado de transferencias internacionales, etc.).
Revelado : la versión original del príncipe nigeriano por $ 3,000,000 dólares estadounidenses.
Fraude de contracargo
Se afirma que el fraude de devolución de cargo es uno de los tipos más simples de fraude de comercio electrónico. Sin embargo, el formulario no incluye necesariamente el robo de identidad. El fraude ocurre cuando un cliente ordena productos de un sitio web de comercio electrónico utilizando un método de pago fácil de extraer, por ejemplo, tarjeta de crédito/débito (no es una excepción que un cliente malicioso use su tarjeta genuina).
Cuando los artículos se envían o están fuera del control del comerciante, el cliente afirma que le robaron su identidad y solicita un contracargo dejando la compra gratis.
Normalmente, el cliente realiza la notificación el último día para realizar la devolución. El proceso de verificación lleva tiempo y muchos comerciantes optan por realizar el reembolso en lugar de desarrollar una mala reputación de la empresa.
fraude amistoso
El tipo de fraude es muy parecido al fraude de contracargo. Sin embargo, esta forma se comete sin ninguna intención maliciosa. En caso de fraude amistoso, un cliente real realiza una compra y se solicita la devolución del cargo por algo inocente (un paquete robado, la ortografía extraña del nombre de un comerciante, etc.). Sin embargo, al final, la amistad cuesta una fortuna.
Infórmese : otros subtipos de fraude informático que no hemos mencionado aquí son típicos no solo del ámbito del comercio electrónico: el cambio de dirección postal, skimming, phishing y vishing, fraude telefónico, fraude de refinanciamiento de hipotecas, fraude de cheques y otros.
Vulnerabilidades específicas de la plataforma
Además de los tipos de fraude de comercio electrónico más comunes, debe conocer las áreas de vulnerabilidad de su plataforma. Basándonos en la información sobre las debilidades de la plataforma Magento, podemos señalar los casos de ataques de fraude como el robo masivo de información de facturación de las tiendas Magento en 2013 , los ataques de Kevin Mitnick y casos particulares de fraude informático.
Magento es un sitio web y, dado que es un sitio web, utiliza tecnologías como cookies, MySQL, PHP, etc. Dichas aplicaciones tienen sus propias debilidades y vulnerabilidades. Por lo tanto, al desarrollar una tienda o módulos, es necesario considerar problemas típicos como varios tipos de inyecciones, piratería a través de cookies y otros.
Aquí está la lista de las principales vulnerabilidades de aplicaciones web 2017, según el Open Web Application Security Project :
Detección de fraude en comercio electrónico
Por lo tanto, el conocimiento de los últimos tipos de fraude de comercio electrónico es esencial. Sin embargo, no exime a su tienda en línea de los riesgos. Todo lo que necesita es saber cómo detectar oportunamente las amenazas y prevenir los resultados no deseados de forma manual y con el uso de herramientas avanzadas.
Revisión manual
Para reconocer signos de actividad sospechosa, un usuario administrador experimentado supervisa:
- pedidos con datos de cliente/pedido ilógicos o falsos. Por ejemplo: formularios de clientes con números de teléfono falsos o direcciones de correo electrónico sospechosas (por ejemplo: 12345ASD@gmail.com : combinaciones de números/letras generadas aleatoriamente); pedidos con información de dirección sospechosa (p. ej., un código postal no coincide con el estado/ciudad mencionado);
- pedidos de compradores primerizos con compras inusualmente grandes/de alto precio;
- historial del cliente con múltiples pedidos de diferentes tarjetas de crédito;
- grandes pedidos con productos duplicados;
- historial de pedidos del cliente con numerosas transacciones rechazadas.
A continuación se describen las medidas más simples de revisión manual que se pueden tomar para detectar pedidos sospechosos.
A. Verificación de la dirección IP
Cuando observe datos ilógicos o falsos de un cliente y/o se dé cuenta de que el cliente es un primer comprador, eche un vistazo a la dirección IP desde la que se realiza el pedido. La IP de un cliente puede ser un útil detector de amenazas potenciales. Intente completar las siguientes tareas mientras define la geolocalización de un cliente sospechoso:
- asegurarse de que la dirección IP del usuario coincida con la dirección de facturación indicada en el formulario del cliente;
- confirmar que la IP no pertenece a una empresa de alojamiento web;
- verifique que la IP no sea la dirección de un servidor proxy público.
En caso de que encuentre alguno de los puntos coincidiendo con la información de su pedido sospechoso, contacte con el cliente para comprobar la autenticidad. Sin embargo, la verificación no siempre funciona, ya que un cliente puede quedarse en otro país de vacaciones y pedir productos a su domicilio.
B. verificación de la dirección de correo electrónico
La forma más sencilla de verificar una dirección de correo electrónico sospechosa es verificarla a través de motores de búsqueda populares como Google, Yahoo, etc. El resultado de la búsqueda puede ayudarlo a detectar si la dirección se usó para intentos de fraude. El correo electrónico se puede mencionar en listas negras compartidas, en foros, blogs, comercio electrónico o cualquier otra publicación de medios que hable sobre cualquier experiencia fraudulenta relacionada con el correo electrónico.
C. verificación del número de teléfono
Haga que el ‘número de teléfono del cliente’ sea obligatorio para el formulario de solicitud. Entonces podrá verificar un pedido sospechoso utilizando la información. No es un secreto, los clientes fraudulentos normalmente completan números de teléfono no válidos. Sin embargo, la declaración requiere un examen más profundo, porque no todos los clientes legales están de acuerdo en dar sus números de teléfono genuinos.
D. verificación de la dirección de envío
Asegúrese de que la dirección de envío coincida con la dirección de facturación completada en el formulario del cliente. Para esto, puede aplicar cualquier mapa digital conveniente (por ejemplo: Google Map) para fijar las direcciones en el mapa y medir la distancia entre los dos. Si las direcciones van más allá de dos estados diferentes, es más probable que el pedido sea fraudulento.
Sin embargo, antes de sacar conclusiones, debe ponerse en contacto con el cliente. Un ejemplo sencillo en el que las dos direcciones pueden diferir significativamente es cuando un cliente (dirección de facturación) que pide un artículo envía los productos pedidos como regalo a otra persona (dirección de envío).
Por lo tanto, el caso requiere una mayor atención cuando varios pedidos utilizan diferentes direcciones de facturación pero la misma dirección de envío. (!) Los pedidos múltiples que tienen varias direcciones de facturación en diferentes estados pero comparten la misma dirección de envío es un caso típico de fraude de comercio electrónico.
E. pedidos múltiples con verificación de productos duplicados
Los pedidos más grandes con artículos de productos duplicados normalmente despiertan la sospecha del comerciante. Al recibir un pedido, que difiere suficientemente en el total del pedido, cantidad de artículos o artículos recurrentes de un pedido promedio en la tienda, verifique la identidad del cliente de cualquier manera posible.
F. lista de clientes fraudulentos confirmados
Mantenga toda la información disponible alineada con intentos/actos fraudulentos anteriores en un archivo separado. Pueden ser direcciones de correo electrónico, lugares de envío, números de teléfono y cualquier otro dato. Verificar la lista de intentos de fraude de bandera roja hace que el procesamiento de pedidos sospechosos sea más rápido y eficiente.
Eso es rico : manténgase al día con las últimas actualizaciones de seguridad de Magento .
G. Detección de fraude Magento
Todos los métodos de revisión manual de detección de fraude normalmente se adaptan a cualquier plataforma de comercio electrónico. Los usuarios administradores de Magento, así como los usuarios de otras plataformas de comercio electrónico, también deben verificar regularmente los registros del servidor web para revelar errores y actividades sospechosas de manera oportuna. Esto puede ayudar a proteger la tienda de pérdidas de información financiera y confidencial. Así, Magento ha ofrecido una integración con el sistema de protección contra fraudes de Signifyd .
Herramientas de prevención de fraude en comercio electrónico
De acuerdo con el Online Fraud Benchmark Report 2017 , entre las herramientas de detección de fraude más adoptadas se encuentran:
- CVN y AVS (88%);
- historial de pedidos de clientes (72%);
- listas negativas compartidas (27%) e información de geolocalización del cliente (56%).
Donde las herramientas antifraude más efectivas son AVS, CVN y huellas dactilares de dispositivos:
En opinión de los especialistas del US Payments Forum, las herramientas CVN y AVS también son las de mejor desempeño:
La popularidad de los servicios de validación de fraude está provocada por la insuficiencia del control manual. Además, el mercado de servicios de herramientas antifraude ofrece una lista completa de soluciones de seguridad listas para usar para todos los gustos y presupuestos. La posibilidad de detectar pedidos sospechosos simplifica automáticamente el procesamiento de pedidos y reduce los riesgos de caer en el anzuelo de un delincuente.
Las últimas tecnologías, como el aprendizaje automático, permiten a los comerciantes acelerar y ampliar la gama de señales de fraude de comercio electrónico procesadas. El flujo de trabajo automatizado ofrece sustituir la revisión manual con la verificación automática de pagos fraudulentos, el bloqueo de dispositivos sospechosos y la eliminación de pedidos fraudulentos. Los paneles de Insights permiten monitorear actividades sospechosas en una sola interfaz, lo que simplifica la revisión manual.
Las técnicas y herramientas de detección de fraude que se presentan a continuación son generalmente aceptadas en el ámbito del comercio electrónico:
Cumplimiento de PCI: políticas de prevención de fraude y monitoreo de fraude
El Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) es un foro global abierto que desarrolla y administra los estándares PCI.
El consejo incluye cinco compañías fundadoras de tarjetas de crédito: American Express; Descubra los servicios financieros; JCB Internacional; MasterCard en todo el mundo; Visa Inc. y ofrece cuatro tipos diferentes de SAQ (A, B, C, D).
Basándose en las exigencias de cumplimiento de SAQ, cualquier proveedor que procese millones de transacciones financieras por año está obligado a pasar una auditoría in situ realizada por un asesor de seguridad calificado. Los doce requisitos principales para el cumplimiento incluyen medidas preventivas contra el fraude tales como:
- una red segura y su monitoreo regular;
- datos protegidos del titular de la tarjeta;
- un programa de gestión de vulnerabilidades;
- software antivirus y otros.
Al cumplir con las reglas de PCI, adquiere el equipo antifraude necesario y pasa una auditoría independiente. En caso de que no esté técnica y materialmente preparado para pasar el procedimiento que consume tiempo y dinero, puede utilizar un procesador de pagos de terceros.
Un procesador de pagos de terceros confiable
La elección de un procesador de pago de terceros depende de muchos factores. Los aspectos clave incluyen:
- su modelo de negocio;
- la industria en la que trabaja;
- su historial comercial;
- volumen;
- riesgos crediticios, y otros.
Al seleccionar un procesador de pagos independiente, preste atención no solo a las tarifas iniciales/establecidas/regulares/de devolución de cargo, los costos de procesamiento, el depósito y el período de liquidación, sino también al cumplimiento total de la seguridad PCI DSS. Esto lo ayudará a eliminar el almacenamiento de datos confidenciales de los clientes, lo que reduce la cantidad de intentos de fraude de comercio electrónico contra el sistema de su tienda.
HTTPS
El protocolo de transferencia de hipertexto se sustituye continuamente por HTTPS, que implica el uso de un certificado SSL. SSL crea una conexión cifrada entre un servidor web y un navegador web. Sin el certificado SSL, cualquier dato transferido entre un servidor web y un dispositivo conectado es inseguro.
El nuevo protocolo seguro (HTTPS) es esencial para todos los sitios, sin mencionar los sitios web que transmiten datos sensibles (privados, confidenciales) a través de la conexión. HTTPS no es una panacea para todos los problemas, es solo una forma de proteger su tienda web contra los ataques más comunes. Por lo tanto, para los sitios de comercio electrónico que aceptan pagos con tarjeta en línea y normalmente almacenan las credenciales de los usuarios, la medida es imprescindible. Si aún no ha iniciado la implementación, consulte los pasos necesarios aquí .
AVS y CVV
Como ya se ha dicho, los servicios de verificación dominan entre otras herramientas de detección de fraude. La incorporación surge por el hecho de que muchos bancos aprueban transacciones financieras incluso si se dan cuenta de que la información de la dirección (Valor de verificación de la tarjeta) no coincide con los datos que tienen en el archivo.
El uso de las reglas AVS (Address Verification System) y CVV junto con un terminal virtual (sistema de punto de venta) rechaza automáticamente las transacciones sospechosas basándose en los códigos de respuesta devueltos por el banco. De esta manera, solo los tarjetahabientes autorizados pueden realizar una compra, ya que el proceso de pago requiere un código CVV colocado en el reverso de la mayoría de las tarjetas.
Software actualizado
Si aprobó las reglas de cumplimiento de PCI SSC, sabe que las últimas versiones de software son uno de los requisitos básicos de certificación. La plataforma de comercio electrónico que utilice debe publicar actualizaciones periódicas y escaneos PCI para proteger su tienda contra las amenazas de fraude en el comercio electrónico. La implementación de la actualización programada de la plataforma (y el software secundario) evita nuevas vulnerabilidades frente al fraude, los virus y el malware.
Protección de aplicaciones móviles de comercio electrónico
La seguridad en las aplicaciones móviles de comercio electrónico, que ganan ritmo y se vuelven aún más populares entre los clientes promedio que una versión web de la tienda, no es menos importante. Sin medidas de seguridad avanzadas integradas en las aplicaciones móviles de comercio electrónico, corre el riesgo de ‘perder’ información confidencial.
Las medidas de prevención de fraude de comercio electrónico aplicables a las aplicaciones de comercio electrónico móvil son el diseño y la actualización oportuna de la política de seguridad, el uso de su propio servidor web para un mejor cifrado del tráfico, la habilitación de WAF (Web Application Firewall), la prueba y el monitoreo constantes.
Autenticación fuerte
Este método de prevención del fraude en el comercio electrónico es uno de los más eficientes. Al implementar métodos de autenticación de punto final/doble/teléfono en el sistema backend, hará que su plataforma sea estable frente a interferencias externas no deseadas.
Medidas de prevención de fraude en comercio electrónico para Magento
En primer lugar, consulte la lista de verificación de seguridad de Magento para proteger su tienda de las actividades fraudulentas y encuentre nuevos enfoques que no haya utilizado antes. De la lista, aprenderá acerca de la necesidad de:
- actualización oportuna;
- copia de seguridad regular de Magento;
- contraseñas seguras;
- Autenticación de dos factores;
- uso de cortafuegos;
- errores y registros sospechosos;
- cambio de URL de back-end;
- Uso de HTTPS y muchos más.
Luego, revise las últimas noticias de seguridad de Magento desde el punto de vista de nuestro desarrollador y evaluador. Infórmese sobre los riesgos de las inyecciones maliciosas de SQL a través de formularios, URL, cookies, etc. y conozca la forma de resolver el problema.
Aprenda a reducir la probabilidad de incidentes de fraude utilizando los parches de seguridad de Magento. Escanee su tienda Magento con la última herramienta de vulnerabilidades de seguridad y obtenga información sobre cómo instalar parches de seguridad . Sin embargo, antes de continuar con la instalación de los parches de seguridad, se recomienda conocer las extensiones de Magento y la compatibilidad de los parches de seguridad.
Formación del personal sobre su protección de datos privados
La mala práctica es cuando un nuevo empleado llega el día de la orientación y firma un acuerdo de confidencialidad y protección de datos de la empresa pero no tiene noción de protección de datos privados. El estado de cosas obsoleto debe ser eliminado. Todos los empleados y empleados independientes deben saber cómo hacer que sus datos privados sean inalcanzables para los estafadores. La capacitación del personal sobre la protección de sus datos privados ayudará a que su negocio sea resistente a las fugas de datos confidenciales.
¿Qué debo hacer si experimenté un fraude de comercio electrónico como comerciante?
Tómese un descanso : en primer lugar, mantenga la cabeza. Ya ha sufrido una pérdida financiera, daño causado a su reputación o imagen de marca. No lleves la situación al punto de ebullición, ya que definitivamente no ayudará.
Casi siempre, el fraude de comercio electrónico está asociado con la tecnología y el software. Por eso es tan importante elegir una plataforma confiable, buenas extensiones y temas, desarrolladores y evaluadores experimentados. Antes de lanzar una tienda en línea, debe cuidar el mañana e implementar todas las tecnologías progresivas por adelantado.
Y, sin embargo, una vez que experimentó un fraude de comercio electrónico, debe abordar el problema:
- preparar toda la documentación necesaria que pueda reunir sobre la transacción fraudulenta. Encuentre toda la información que un delincuente le proporcionó durante la transacción y cualquier dato posterior a la venta. Verifique quién del personal firmó la(s) transacción(es) de entrega;
- luego debe transmitir la información a la autoridad gubernamental correspondiente . La elección de una autoridad gubernamental adecuada depende del tamaño de su empresa y de la suma de dinero que haya perdido. La causa penal puede alcanzar escala local, nacional o internacional. Las agencias gubernamentales a las que puede apelar en los EE. UU. se enumeran aquí ;
- En caso de que su negocio esté registrado fuera de los EE. UU., debe buscar autoridades gubernamentales a las que pueda dirigirse en su lugar o dirigirse a las agencias de apoyo , como INTERPOL o el Centro Europeo de Delitos Cibernéticos . Además, puede ponerse en contacto con el equipo de soporte de la compañía de tarjeta de crédito en uso para solicitar la devolución del dinero;
- Las acciones posteriores dependen de la respuesta que reciba . Por ejemplo, si perdiste una suma de dinero insuficiente, en su opinión, es posible que se nieguen a investigarlo. Además, no hay mucho que las autoridades gubernamentales puedan hacer con respecto al fraude internacional;
- Paralelamente a esto, debe consultar a especialistas para comprender qué brechas o fallas técnicas se utilizaron para cometer el fraude . Intente deshacerse del problema para evitar el mismo error;
- Además, vale la pena hacer una auditoría de seguridad de la tienda , ya que donde hay un problema, hay muchos;
- Además de todos los problemas técnicos, es posible que haya ignorado los requisitos de contraseñas seguras de los clientes, el cifrado de datos confidenciales y el descuido de los usuarios administradores.
Piense en los nuevos métodos de detección de fraude para su tienda. Todo eso cuesta dinero, pero es mucho mejor pagar por la protección que sufrir las pérdidas de dinero. Mitigar nuevos intentos de fraude invirtiendo en nuevos sistemas antifraude.
¿Qué íbamos a decir?
La protección contra el fraude no es lo menos importante, debería ser una parte rutinaria de las actividades de cualquier tienda en línea . El estado actual del volumen de ataques de fraude de comercio electrónico ha demostrado que EE. UU., Reino Unido, Francia, Alemania y otros países avanzados se vieron más afectados que otros. Cualquier sistema no es perfecto y tiene sus vulnerabilidades específicas. Incluso el software de seguridad más avanzado puede sufrir ataques de fraude a través de una vulnerabilidad integrada o casos causados por desgracias.
Lamentablemente, las últimas investigaciones indicaron que el fraude en los pagos afecta tanto a los comerciantes con tarjeta presente como a los que no la tienen . Sin embargo, si se comparan las pérdidas de los dos tipos de comerciantes en 2017, los comerciantes sin tarjeta sufrieron diez veces más debido a actividades fraudulentas que los comerciantes con tarjeta: 3 bps a 38 bps.
Como todo el mundo sabe y en consonancia con el informe de entornos de TI objeto de ciberataques , el comercio electrónico es lo primero . Donde el 12% de los ataques cibernéticos globales se cometieron dentro de las industrias de seguros y finanzas. Haciendo una reverencia a las opiniones de los clientes, más del 59 % de los encuestados de EE . UU . afirmaron que les preocupan sus datos personales cuando usan pagos móviles. En cuanto al resultado de la encuesta realizada en Finlandia , descubrimos que más del 47 % de los encuestados teme el mal uso de los datos al aplicar la banca en línea y el 44 % compartió sus preocupaciones sobre la seguridad de los pagos en línea.
De cara al futuro, se afirma que mCommerce continuará expandiendo su importancia en el comercio minorista en línea global. Se supone que los pagos móviles seguirán creciendo en 2018. Según el informe de Businessinsider , los pagos móviles en tiendas alcanzarán los 128.000 millones de dólares en 2021 . Y basándose en el Informe Nilson, se perderán $ 31 mil millones debido a devoluciones de cargo para 2020 .
No importa qué tipo de elección haga, recuerde que la lealtad y el respeto de sus clientes están en sus manos. Invierta en las soluciones de seguridad actualizadas, administre la revisión manual y siga las últimas noticias sobre fraudes en el comercio electrónico .