A fraude de pagamento é, em essência, uma transação falsa ou ilegítima. Antes da internet, a fraude de pagamento geralmente se resumia a casos simples de cheques sem fundos ou estornos indevidos. No entanto, com o avanço do comércio eletrônico, a fraude de pagamento se tornou muito mais complexa.

Os consumidores estão perdendo dados de identidade pessoal e números de cartão de crédito para golpes de phishing, links de malware em mensagens de texto e mensagens instantâneas, e chamadas telefônicas falsas. À medida que os fraudadores se tornam mais sofisticados, suas medidas de gestão de fraudes também precisam evoluir — para proteger seus clientes e sua empresa de prejuízos financeiros.

Só em 2024, o mercado global de moda no e-commerce foi estimado em 781,5 bilhões de dólares. De acordo com um estudo da Juniper Research, as perdas cumulativas de lojistas devido à fraude de pagamento online globalmente até 2027 superarão Us$ 343 bilhões.

Infelizmente, fraudadores são atraídos por esse mercado em expansão em busca de ganhos financeiros ilícitos — muitas vezes atuando como parte de esquemas maiores de crime organizado.

Proteger tanto os dados pessoais quanto as informações de pagamento é fundamental para deter ataques de fraude de pagamento. Conhecer os tipos de métodos de pagamento mais visados por fraudadores é o primeiro passo para prevenir a fraude de pagamento. Vamos analisar sete formas comuns que uma empresa pode usar para processar um pagamento.

Tipos de pagamento que uma empresa pode processar

• Cartão presente (CP): As transações de pagamento com cartão presente ocorrem em locais físicos onde os compradores precisam apresentar um cartão físico para fazer uma compra. O lojista geralmente usa um sistema de ponto de venda (POS) que inclui um leitor de cartão para processar transações CP.
• Cartão não presente (CNP): Transações CNP ocorrem quando um cliente faz compras sem um cartão físico. Os compradores online não podem apresentar um cartão físico a um lojista de e-commerce, portanto as transações são feitas com o número do cartão, data de validade e número CVV. As transações CNP também podem ser realizadas por correio ou telefone.
• Pagamentos via câmara de compensação automatizada (ACH): Este tipo de pagamento apresenta um pagamento eletrônico de banco para banco e é comum em plataformas de software como serviço (SaaS) e modelos de assinatura que exigem pagamentos mensais regulares. O comprador precisa informar o número da agência e da conta bancária para realizar esse tipo de transação.
• Compre agora, pague depois (BNPL): Compre agora, pague depois oferece financiamento de curto prazo que permite aos consumidores fazer compras e pagá-las em parcelas iguais ao longo do tempo, muitas vezes com pouco ou nenhum juro. O BNPL se tornou uma das tendências mais populares em pagamentos nos últimos anos, com expectativa de que esses pagamentos representem quase um quarto de todas as transações globais de comércio eletrônico até 2026, um aumento em relação aos apenas 9% em 2021.
• Carteiras digitais: Este método de pagamento opera sem contato e eletronicamente, e permite que os clientes salvem seu cartão de crédito ou débito em seus smartphones para fazer pagamentos. As carteiras digitais simplificam as experiências de checkout com apenas um clique, tornando-se um dos métodos de pagamento mais práticos e populares tanto para os lojistas quanto para consumidores. As carteiras digitais representaram quase metade dos pagamentos de e-commerce em todo o mundo, e projetava-se que representariam 53% em 2024.
• Fatura aberta: Típico em pagamentos B2B, uma fatura aberta é uma fatura que não foi paga. As faturas geralmente incluem um número de fatura e número de pedido (PO), assim como o nome, endereço e detalhes de contato do pagador e beneficiário.
• Pontos de fidelidade: Por anos, os emissores de cartões de crédito premiaram seus clientes com pontos de fidelidade em troca de dólares gastos no cartão. Os consumidores podem, então, usar esses pontos para realizar compras. As categorias comuns para gastos de pontos de fidelidade incluem viagens, alimentação, bens de consumo e mais. Além disso, algumas empresas e linhas aéreas permitem que seus clientes usem pontos de fidelidade para fazer compras em suas plataformas.

Para pagar com qualquer um desses métodos de pagamento, os consumidores divulgam informações de pagamento através de números de conta exclusivos, seja um cartão de crédito ou um número de conta bancária. Para os fraudadores, isso representa uma oportunidade: números são fáceis de roubar — e esse é o cerne do problema da fraude de pagamento. Os consumidores precisam proteger suas informações, e os lojistas fazem o seu melhor para protegê-las, mas hackers e ladrões de identidade são especialistas em contornar as medidas de segurança.

Tipos mais comuns de fraude de pagamento

• A fraude de pagamento ocorre quando um agente mal-intencionado utiliza informações de pagamento falsas ou roubadas para realizar uma compra. Pode ocorrer em todos os métodos de pagamento, e os fraudadores estão ficando mais sofisticados a cada ano. Aqui estão alguns exemplos de ataques comuns de fraude de pagamento.
• Fraude de cartão de crédito: Uma das primeiras formas de fraude de pagamento, esse tipo de fraude envolve um fraudador usando detalhes de cartão de crédito roubados para fazer compras não autorizadas.
• Fraude de cartão não presente (CNP): Como o próprio nome diz, a fraude de cartão não presente ocorre quando um cliente não apresenta um cartão físico para fazer uma compra, como em um pedido online ou por telefone. A fraude CNP normalmente acontece após informações de cartão de crédito ou pagamento terem sido roubadas através de vazamentos de dados ou compradas ilegalmente na dark web.
• Fraude de gateway de pagamento: Este tipo de fraude em e-commerce ocorre quando um cibercriminoso usa identidades e dados de cartão roubados para inserir informações pessoais e de pagamento em um site ou aplicativo de comércio eletrônico. Ela também inclui tentativas como os ataques de identificação bancária (BIN attacks), em que o fraudador utiliza softwares automatizados para testar combinações e encontrar números de cartão válidos a partir do BIN — os seis primeiros dígitos de um cartão.
• Fraude por apropriação de conta (ATO): Nesta tática de fraude, um fraudador obtém acesso não autorizado à conta online de um cliente legítimo sem o consentimento do proprietário, geralmente como resultado de um vazamento de dados. Quando um agente mal-intencionado obtém acesso à conta de um cliente — seja em um site de e-commerce, conta bancária, e-mail ou perfil em redes sociais — ele pode aplicar diferentes tipos de fraude: desde realizar compras usando métodos de pagamento salvos até resgatar pontos de fidelidade ou explorar informações pessoais valiosas.
• Fraude de carteira digital: Embora as carteiras digitais venham com muitos protocolos e recursos de segurança avançados, elas não são à prova de fraude.
  
  Os fraudadores costumam usar quatro táticas focadas em carteiras digitais:

1. Criar novas contas de carteiras digitais com dados roubados
2. Inserir um chip (SIM) roubado em outro celular para se passar pela vítima e fazer compras
3. Falsificação de biometria — deepfakes, máscaras faciais, impressões digitais artificiais e dados de voz falsos
4. Ataques de engenharia social que manipulam consumidores desavisados para fornecerem suas credenciais de acesso

Como golpistas praticam fraudes em pagamentos?

Como verdadeiros mestres da manipulação, os golpistas arquitetam golpes para se aproveitar das suas vítimas. Fraudadores se valem de diversas táticas de engenharia social para induzir as vítimas a revelar e transferir dados sensíveis — como informações pessoais e de pagamento — ou então lançam malwares para capturar essas informações de forma clandestina. Eles podem assumir uma identidade falsa, como afirmar ser um pesquisador ou uma autoridade, para ganhar a confiança da vítima.

Tipos de engenharia social dos fraudadores incluem:

• Phishing é uma forma de engenharia social que envolve o envio de um e-mail ou a configuração de um site malicioso para se passar por uma organização respeitável. Normalmente, esse método informa a vítima sobre um problema e que, para resolver a questão, a vítima precisa fornecer informações de pagamento imediatamente.

• Smishing, outra forma de engenharia social, usa mensagens de texto e SMS para adquirir informações privadas para fins maliciosos. Fraudadores frequentemente utilizam mensagens de texto contendo links que redirecionam para páginas fraudulentas, endereços de e-mail ou números de telefone controlados por eles. A intenção é induzir o destinatário a responder, entrar em contato ou compartilhar informações sensíveis, facilitando o roubo de dados pessoais e financeiros.

• Vishing busca fazer com que a vítima ligue para um número de telefone para compartilhar seus detalhes da conta. Golpistas frequentemente falsificam o identificador de chamadas (caller Id) para que pareça que o cliente está falando com a transportadora, o suporte da loja ou o banco. Assim, convencem a pessoa a fornecer dados de pagamento, códigos de verificação ou até autorizar transações que depois são usadas para compras fraudulentas ou tomada de conta de contas de cliente.

Uma vez que os fraudadores obtêm as informações de que precisam para um ataque por qualquer um desses meios, eles atacam. Os fraudadores também podem atuar em equipes ou em grupos de crime organizado para realizar ataques em grande escala. Eles procuram pontos fracos de segurança, como gateways de pagamento desprotegidos e medidas de prevenção de fraudes insuficientes, para explorar vulnerabilidades e penetrar nos sistemas das empresas.

Boas práticas de prevenção a fraudes para lojas virtuais

O primeiro passo para prevenir a fraude de pagamento em sua empresa é ficar atualizado sobre as tendências de fraude. Os hackers fazem questão de acompanhar todas as últimas tendências de cibercrime para explorar você, portanto, entender suas táticas pode ajudá-lo a detê-los.

• Considere contratar um hacker ético: Esses indivíduos têm o mesmo conjunto de habilidades que os hackers de “chapéu preto”. Encare isso como um “teste de resistência” para garantir a segurança dos seus clientes e prevenir fraudes em pagamentos.

• Proteja contas de clientes: Empresas de e-commerce podem adotar esforços digitais para impedir a tomada de contas dos clientes:

• Verifique a inscrição por e-mail: Exija que novos usuários verifiquem seu e-mail ao se registrar para garantir que a conta esteja associada ao usuário correto.
• Aplique autenticação multifator (MFA) para dificultar que os fraudadores obtenham acesso às contas. Envie notificações sempre que o cliente mudar endereço ou e-mail, ou quando pedir para revalidar ou excluir um meio de pagamento salvo. Se você ativar o pagamento automático, peça a revalidação do CVV para o método de pagamento armazenado.

• Defina um protocolo de call center: Para minimizar ataques de engenharia social, crie uma política apropriada sobre o que você exige de um cliente para fazer alterações na conta por telefone.

• Implemente um protocolo de senha: Pedir aos clientes que mudem suas senhas periodicamente pode parecer um inconveniente, mas é uma medida de segurança para a proteção deles. Toda mudança faz com que os hackers comecem tudo de novo. Algumas dicas:

• Exija senhas fortes para contas de clientes que incluam caracteres especiais e limite de caracteres. Implemente um procedimento de bloqueio temporário ou permanente após um determinado número de tentativas de senha incorretas para impedir que o hacker descubra a senha.

• Escreva uma política de privacidade e segurança: Os clientes precisam de segurança de que suas transações são seguras. Escreva uma política de privacidade e segurança para explicar o que você está fazendo nessas áreas. Publique essas políticas em seu site onde os clientes possam ver os links e clicar facilmente neles para referência rápida.

• Exija um login do usuário para compras: Esse recurso às vezes confunde os clientes porque parece que eles foram desconectados enquanto navegavam em seu site, mas não é o caso. Exigir um login adicional antes que os clientes concluam a compra é uma medida de segurança. Essa medida assegura que o comprador não esteja apenas utilizando o celular do titular real da conta, aproveitando dados salvos automaticamente para fazer compras com o cartão dele.

• Codifique seu site com um logout temporizado: O logout automático fecha o aplicativo se o usuário estiver inativo por um período específico. É comum que os clientes se afastem do computador ou celular e esqueçam quais aplicativos permaneceram abertos. Fazer isso acidentalmente em um lugar público os deixa vulneráveis a ladrões de identidade e “ladrões de lojas” online.

• Eduque seus funcionários e clientes: Aprender os sinais de alerta de ataques de engenharia social pode ajudar a impedir que os fraudadores obtenham as informações necessárias para cometer fraude de pagamento. Compartilhe esses sinais de alerta com seus funcionários e clientes para ajudar a prevenir que agentes maliciosos ganhem acesso.

• Verifique o endereço de e-mail do remetente: Peça aos seus funcionários para observar atentamente o endereço de e-mail do remetente, pois ele pode frequentemente parecer de uma organização legítima, omitindo apenas algumas letras. Nunca responda a e-mails enviados de endereços suspeitos; encaminhe-os imediatamente para a equipe interna de segurança avaliar.
• A comunicação não é personalizada: Se a saudação (Olá, Senhora ou Senhor) e o conteúdo do e-mail forem genéricos, isso pode ser um sinal de que você está sendo alvo de phishing.
• Links e anexos maliciosos: Peça a seus funcionários e clientes para passar o mouse sobre os links antes de clicarem neles. Se os links não corresponderem ao texto quando você passar o mouse sobre eles, isso é um sinal de que são suspeitos. Fraudadores frequentemente enviam mensagens com anexos suspeitos, acompanhados de frases como “baixe agora” ou “é urgente”. O objetivo é induzir a vítima a agir rapidamente, sem avaliar a legitimidade do arquivo. Esses anexos podem conter malwares projetados para roubar credenciais de login, dados de pagamento e até acessar sistemas internos da loja virtual. Isso é um sinal de alerta. Se for malicioso, de repente, seu sistema estará sob controle de cibercriminosos.

Garanta a segurança da sua empresa adotando uma solução de prevenção a fraudes

Com a jornada digital do cliente sob ataques quase constantes de atividades fraudulentas sofisticadas, ferramentas de detecção e gestão de fraudes podem trazer tranquilidade. O parceiro certo em prevenção de fraudes pode ajudá-lo a minimizar riscos, expandir para novos mercados e produtos, adotar novos métodos de pagamento, oferecer experiências perfeitas para clientes verificados e, por fim, aumentar as vendas, proporcionando melhor previsibilidade de custos e redução de riscos com um investimento menor de tempo e recursos.

O combate à fraude em pagamentos é um desafio constante que requer acompanhar de perto as novas táticas e tendências usadas pelos criminosos. Esteja sempre atento, adotando uma estratégia de prevenção a fraudes que seja proativa e completa. A fraude nunca vai desaparecer por completo, mas seguindo essas medidas é possível reduzir sua frequência e limitar os danos ao seu negócio.

Elimine a fraude, maximize os lucros

Descubra estratégias de gestão de fraudes que protegerão seu resultado, otimizarão a receita e impulsionarão o crescimento sustentável.

Obtenha o guia

O que significa fraude de tomada de conta de conta de cliente?