O aumento da fraude de pagamentos automáticos autorizados (APP) tornou-se uma preocupação significativa para as empresas do Reino Unido e não só. De facto, de acordo com a UK Finance só em 2022, mais de 500 milhões de libras foram roubadas às empresas através da fraude APP".
Sean Moriarty, CFO,
AccessPay
No nosso recente webinar Como evitar a fraude APP: Falar sobre controlos de pagamento melhorados com um diretor financeiro, nós scom Sean Moriarty, Diretor Financeiro do AccessPay, para discutir a fraude APP, a sua prevalência e as medidas eficazes que as empresas podem tomar para a evitar.
Este blogue aprofunda a conversa, destacando as principais conclusões e estratégias discutidas.Ver o webinar completo a pedido
O que é a fraude APP?
A fraude de pagamento por impulso autorizado refere-se a um esquema sofisticado em que um fraudador engana uma empresa para que esta envie voluntariamente fundos para uma conta fraudulenta. Esta fraude envolve frequentemente o fraudador que se faz passar por um fornecedor, empregado ou instituição financeira genuínos. Um dos aspectos mais preocupantes deste tipo de fraude é o facto de operar sob o disfarce da autenticidade, recorrendo a tácticas de engenharia social e a ferramentas tecnológicas avançadas para enganar vítimas desprevenidas, normalmente dentro da equipa financeira.
Porque é que a fraude APP é tão frequente?
A fraude APP ganhou proeminência devido a uma combinação de factores. As recompensas financeiras para os autores de fraudes são aliciantes, uma vez que mesmo algumas tentativas bem sucedidas podem levar a ganhos substanciais para um indivíduo. Além disso, a era digital proporcionou aos autores de fraudes amplas ferramentas para executar os seus esquemas, incluindo a capacidade de invadir contas de correio eletrónico, criar documentos falsos e até imitar os estilos de comunicação de executivos de topo. Como o trabalho à distância e a comunicação eletrónica se tornaram a norma, as oportunidades para os autores de fraudes explorarem estas vulnerabilidades também só aumentam.
Um exemplo real de fraude APP
Durante a sua carreira como diretor financeiro, Sean viu muitos exemplos de fraude APP.
Um dos seus contactos como diretor financeiro salientou recentemente um exemplo chocante em que uma equipa financeira de uma empresa foi diretamente visada e sofreu uma perda financeira substancial.
O cenário: Descobrir um esquema de fraude de APP com partilha de ecrã
- Empresa: Anónimo
- Contacto inicial: A vítima recebe uma chamada que parece ser do Barclays, informando-a de actividades suspeitas na conta e de pagamentos bloqueados.
- Pedido de transferência de fundos: O autor da chamada convence a vítima a transferir fundos de uma conta de depósito para a conta da empresa, criando urgência.
- Partilha de ecrã: O burlão sugere uma sessão de partilha de ecrã para resolver o problema de forma mais eficiente e a vítima concorda.
- Manipulação do ecrã: Durante a sessão, o fraudador ganha controlo, apresentando transacções que pareciam genuínas para a vítima, mas que foram manipuladas.
- Pedido de código de autorização: O burlão pede à vítima que introduza um código de autorização, ocultando as transacções reais que estão a ser aprovadas.
- Transferência não intencional: A vítima autoriza inadvertidamente diferentes transacções, o que resulta numa perda de 200.000 libras para a empresa.
Este incidente serve para recordar a importância de implementar as verificações de segurança correctas para evitar este tipo de fraudes no futuro, uma lição que iremos aprofundar ao partilharmos exemplos de medidas preventivas.
3 formas de combater a fraude APP
Detetar os sinais de alerta e as tácticas comuns
Há vários exemplos de casos de fraude APP, que vão desde ataques sofisticados de spear phishing até à manipulação direta de processos de pagamento. Estes cenários do mundo real sublinham a importância de se manter vigilante e de implementar mecanismos de defesa a vários níveis nas organizações. Reconhecer as tácticas comuns utilizadas pelos autores de fraudes - como a criação de um sentimento de urgência, a exploração de dados pessoais e a manipulação da comunicação por correio eletrónico - pode ajudar as equipas financeiras a identificar potenciais fraudes antes que estas se agravem.
No caso mencionado acima, é evidente que a vítima deveria ter ligado de volta para o banco através de um número direto, mas a urgência criada pelo burlão foi suficiente para que a vítima se sentisse pressionada a resolver o problema rapidamente.
É sempre melhor falar diretamente com um colega mais graduado se alguma comunicação ou pagamento parecer irregular. Neste caso, a tática comum era a de "pôr a vítima em pânico" e, infelizmente, neste caso, a tática foi bem sucedida.
Sean dá um exemplo real de fraude APP e da forma como a ultrapassou.
Criar estratégias de defesa eficazes
Para combater eficazmente a fraude APP, as empresas têm de adotar uma abordagem abrangente que inclua a formação dos funcionários e soluções tecnológicas. É crucial estabelecer uma forte colaboração entre as equipas de finanças, segurança, TI e governação, risco e conformidade (GRC).
Sessões de formação regulares podem melhorar a capacidade dos funcionários para identificar e comunicar actividades suspeitas. Além disso, a integração de tecnologia, como os serviços de confirmação do beneficiário, pode fornecer verificações em tempo real dos detalhes da conta, garantindo que os pagamentos são dirigidos a destinatários legítimos.
Esta formação dota os indivíduos e as organizações dos conhecimentos necessários para identificar tácticas de fraude comuns, incluindo e-mails de phishing e comunicações manipuladoras. Salienta a importância de verificar os pedidos de pagamento e as informações do destinatário, promovendo práticas como a Confirmação do Beneficiário (CoP) (mais sobre isto adiante) para evitar transacções fraudulentas. Além disso, a formação incute hábitos digitais seguros, como a gestão sólida de palavras-passe e a vigilância contra ataques de phishing.
Em ambientes empresariais, a formação especializada aumenta a consciencialização dos funcionários, reduzindo o risco de ameaças internas. No caso que Sean mencionou, como os seus funcionários tinham recebido a formação correcta, estavam preparados e prontos para questionar tentativas de phishing dessa natureza, mas é claro que há situações em que as empresas não têm tanta sorte. Um lituano, Evaldas Rimasauskas, orquestrou um caso clássico de comprometimento de correio eletrónico empresarial (BEC) em que ele, juntamente com co-conspiradores, roubou com sucesso mais de $100 milhões do Facebook e da Google. Fizeram-se passar pela Quanta Computer, sediada em Taiwan, e enviaram e-mails de phishing convincentes contendo facturas e contratos falsos durante dois anos, de 2013 a 2015.
Quer saber mais sobre como implementar estratégias de defesa eficazes?
Descarregue o nosso guia gratuito: O Guia Prático de Combate à Fraude de Pagamento por Impulso Autorizado
Tirar partido da tecnologia para a prevenção
A confirmação do beneficiário (CoP) desempenha um papel fundamental para impedir as tentativas de fraude APP. A CoP permite às organizações cruzar referências de números de conta, códigos de ordenação e nomes de conta para garantir a sua correspondência. Ao efetuar estas verificações antes de iniciar as execuções de pagamento, as empresas podem identificar inconsistências e impedir que os fundos cheguem a contas fraudulentas, funcionando como uma camada de autenticação robusta. Qualquer diferença de nome acciona um alerta, levando o pagador a verificar o
transação. A CdP impede as tácticas de engenharia social utilizadas pelos autores de fraudes e aumenta a rastreabilidade em caso de violação.
Se a equipa desta vítima tivesse decidido efetuar um pagamento, a funcionalidade CdP teria sido crucial para proteger a organização. Teria assinalado as inconsistências entre o nome da conta e a pessoa a pagar, impedindo que o pagamento fosse autorizado até que estes pormenores fossem revistos.
Mais informações sobre como implementar e automatizar a CdP nos seus processos financeiros aqui
A fraude APP representa riscos significativos para empresas de todas as dimensões e sectores. No entanto, com uma abordagem proactiva que combine a formação dos funcionários e soluções tecnológicas, as organizações podem reduzir o risco de serem vítimas destes esquemas sofisticados.
Mantendo uma forte colaboração entre as equipas financeira e de segurança e tirando partido de ferramentas avançadas como a CdP, as empresas podem reforçar as suas defesas e proteger os seus activos da ameaça de fraude sempre presente.
Saiba mais sobre a confirmação do beneficiário e as formas de detetar transacções suspeitas antes de estas serem efectuadas, com a nossa Conjunto de prevenção de fraudes e erros.