Tendencias de fraude en eCommerce en el 2020: la carrera armamentística continúa
Una de nuestras tradiciones favoritas para empezar el año es predecir qué tipo de ataques de fraude surgirán en los próximos doce meses.
Los estafadores y los sistemas de fraude están en una carrera armamentista constante. Mientras que los proveedores de soluciones de gestión de fraude desarrollan constantemente nuevas herramientas, los estafadores perfeccionan su oficio al estudiar nuevas formas de sortear cualquier muro que se levante para mantenerlos alejados. Por ejemplo, las estafas de mulas solían ser bastante simples, y los estafadores usaban esfuerzos básicos de redireccionamiento de paquetes para recibir sus bienes robados. Pero las estafas de mulas de hoy cuentan con tácticas de ingeniería social para apuntar a posibles víctimas.
Los estafadores ahora no solo buscan escapar del fraude, sino también invertir más tiempo y recursos para escalar sus operaciones y aumentar su ROI mediante la explotación de tres puntos de contacto principales de los clientes de comercio electrónico: compras, pagos y recuperación. Deben parecer clientes legítimos en cada uno de estos pasos, por lo que están concentrando sus esfuerzos en encontrar nuevas vulnerabilidades. Entonces, ¿qué nuevos fraudes aparecerán en 2020?
Tendencias en el 2020
1. Nueva y mejorada suplantación de identidad
La suplantación de identidad es la práctica de ocultar su verdadera identidad en línea personificando la de otro. De ninguna manera es una nueva táctica ya que los servidores proxy han existido durante años. Pero la suplantación de identidad de llamadas es un buen ejemplo de cómo funciona este método hoy en día. Un estafador puede usar una aplicación de suplantación de identidad que hace que parezca que está llamando desde el número de teléfono de una persona en la que confiamos. Este método permite al estafador disfrazar su identidad en línea y hacerse pasar por un buen cliente, utilizando el primer punto de contacto del cliente.
A medida que la capacidad de detectar indicadores arriesgados como el dispositivo, el navegador o la dirección IP se mejoran con el paso de los años, los estafadores también encuentran mejores formas de esconderse. Comienzan a enmascarar características de información de sesión más exclusivas, como la zona horaria y el control táctil, que son características de comportamiento basadas en el usuario. Hasta hace poco, solo los estafadores más experimentados podían llevar a cabo estas operaciones con éxito. Pero ahora con los datos del usuario que se encuentran fácilmente en la web oscura y las aplicaciones gratuitas que generan datos simulados, la suplantación de identidad se ha vuelto más común. Por eso esperamos un aumento en los ataques de falsificación en 2020. El año pasado, vimos muchos pedidos falsos y descubrimos que los pedidos con indicaciones de falsificación eran 130 veces más propensos a ser fraudulentos que las que no tenían ninguna.
Entonces, ¿qué pueden hacer los comerciantes? Para empezar, deben familiarizarse con las irregularidades que encuentren durante la sesión. Por ejemplo, el navegador web Safari informa de un único idioma por sesión, por lo que la detección de varios idiomas en una compra donde el usuario dice usar un navegador Safari, sería un fuerte indicador de intento de falsificación.
2. Dirección de codificación
El segundo punto de contacto se produce durante el pago, que ocurre cuando los estafadores deben ingresar la información de facturación y envío. Saben que las soluciones antifraude tienden a buscar una coincidencia entre estos dos datos para garantizar la fiabilidad de la compra. Para evitar o retrasar los bloqueos de pedidos del comerciante, codifican la información de envío insertando caracteres adicionales en los campos de dirección para confundir los sistemas de los comerciantes y hacer que las direcciones parezcan únicas.
Esto solía hacerse manualmente y solo con unas pocas direcciones. Hoy los estafadores han ampliado esta táctica, utilizando bots para generar miles de alteraciones de direcciones, con solo una dirección válida oculta entre ellas. El año pasado, en un ataque de una red de estafadores vimos direcciones llenas de caracteres aleatorios en un intento de defraudar a un minorista más de $40 millones en bienes.
Creemos que los bots seguirán siendo el método preferido para futuros ataques de fraude y que los estafadores los usarán mejor. Esto significa que las soluciones antifraude deberán continuar desarrollando y mejorando su detección de bots. Una forma de hacerlo es diseñar características que aborden específicamente la amenaza de los bots. La orientación del dispositivo y el patrón de desplazamiento son dos indicadores efectivos del uso de bots y pueden ayudar a prevenir ataques de codificación de direcciones a gran escala.
3. Estafas de mulas de ingeniería social
Una vez que los estafadores pueden pedir productos de forma efectiva, vemos las estafas de mulas como la solución de los estafadores para el punto más difícil de superar: la recogida de los bienes. En el pasado han ofrecido puestos de trabajo con el fin de enviar mulas al código postal de la víctima y que todo coincida. Al enviar los productos a un área cercana al lugar donde el estafador realizó el pedido, el estafador permanece invisible para la mayoría de las soluciones antifraude. Y hoy sabemos que la estrategia de los estafadores se ha vuelto más sofisticada.
Los estafadores en estos días localizan y atacan a las víctimas manualmente, en algunos casos fomentando relaciones cercanas con ellas. De hecho, cada año, millones de personas mayores son víctimas de algún tipo de fraude financiero. Muchos estafadores usan páginas para encontrar pareja con el fin de dar con víctimas más vulnerables. Otros se hacen pasar por soporte técnico, ofreciendo solucionar problemas inexistentes para obtener acceso al ordenador de la víctima. También hemos visto a estafadores atacar a activistas y voluntarios, convenciéndolos de que los productos son para personas sin hogar o para una organización sin fines de lucro. Cualquiera que sea el enfoque, este tipo de manipulaciones tienen éxito y la estafa de mulas surte efecto gracias al tiempo, los recursos y la experiencia que los estafadores dedican a estos esfuerzos de ingeniería social. Una vez que se aseguran una mula, los estafadores se hacen pasar por el titular legítimo de la tarjeta de crédito y cambian la información de facturación registrada en el banco para que coincida con la de la mula. Una vez que la mula recibe el paquete, lo envía a los estafadores.
Para los sistemas de detección fraudes, los pedidos de mulas son especialmente difíciles porque parecen ser “perfectos”, no aparece ningún desajuste. Gracias a los miles de millones de pedidos que hemos revisado, hemos descubierto que los electrodomésticos caros y los metales preciosos suelen ser el objetivo de este tipo de ataque. De hecho, encontramos un mismo BIN de tarjeta de crédito utilizado para el 65% de los pedidos relacionados. Tras el descubrimiento, integramos rápidamente una nueva fuente de datos para detectar dicho BIN y nuestros modelos pudieron evitar que esta red de fraude causara más daños.
Además de este tipo de detección de anomalías, un método importante para identificar y bloquear pedidos de mulas es a través de la vinculación. Cuando un cliente con años de pedidos de bajo coste de repente compra oro por un valor de $5,000, o un cliente mayor compra repentinamente varios ordenadores portátiles Apple MacBook, saltan todas las alarmas.
Mirando hacia el futuro
En un mundo ideal, los ataques de fraude se detendrían antes de que ocurrieran. Siendo realistas, los comerciantes pueden abordar el fraude aprovechando la mejor solución de gestión del fraude: una que evoluciona para adaptarse a los últimos vectores de ataque, con tecnología que puede registrar y analizar la gran cantidad de flujos de datos de comercio electrónico. Junto con una extensa red de pedidos, los comerciantes pueden obtener información entre la industria y el mercado que los estafadores nunca tendrían. Los equipos antifraude con los recursos adecuados pueden comenzar el 2020 combatiendo nuevos tipos de fraude y asegurando y aumentando los ingresos. Para obtener más información sobre cómo Riskified puede ayudar a su negocio a crecer y defenderse contra el fraude, contáctenos en [email protected].
