O mercado clandestino dos cupons de desconto parece ser um novo campo de exploração para os cibercriminosos. Segundo a Trend Micro, os esquemas da fraude de cupons são abundantes e próspero para os hackers.
O que a fraude de cupons significa para as empresas?
Em 2012, grandes fabricantes foram vítimas de cupons falsificados. Como por exemplo, uma empresa de bens de consumo com perdas de cerca de US$ 1,28 milhão. Outro esquema de fraude com cupons roubou pelo menos US$ 250 milhões das empresas.
Casos com fraude de cupons no mercado clandestino comprometem todo o processo da empresa, prejudicando componentes das operações comerciais, o que, por sua vez, afeta significativamente os resultados de um negócio.
Processo Comercial Comprometido
Os esquemas de fraudes com cupons são diversos. Há, no entanto, pontos que os interconectam – especialmente quando se trata de processos comerciais.
As transações com cupons geralmente envolvem a troca de dados entre o consumidor, o revendedor/provedor do cupom e uma varejista / fornecedor do cupom que classifica e audita os cupons. Os intermediários geralmente também fazem parte da equação – um distribuidor de cupom online, por exemplo, ou um provedor de serviços de mídia que promove cupons em nome do varejista.
Na verdade, existem muitos canais pelos quais os dados passam – e basta uma camada vulnerável para afetar toda a cadeia supply chain de uma companhia.
O mercado clandestino tem produtos e serviços especificamente criados para fazer isso: cupons promocionais que roubam ou decifram seus algoritmos e exploram vulnerabilidades na verificação de código. Um exemplo: a exploração da chamada “race condition” – (na qual o software depende da sequência/tempo de processos). Um hacker conseguiu o feito no aplicativo web que processa os cartões-presente da Starbucks. O resultado? Café ilimitado.
Os códigos de cupons/voucher específicos para um mercado ou região também foram explorados. Em um dos fóruns monitorados pela Trend Micro, um fornecedor vendeu códigos promocionais supostamente de uma empresa de telecomunicações que deu aos seus funcionários descontos em tarifas móveis de voz, SMS e internet.
Outro ataque envolveu o uso abusivo de tarifas corporativas que os hotéis dão aos funcionários de seus clientes em códigos digitados durante o processo de verificação da reserva.
Essa é apenas a ponta do iceberg. Muitos dos produtos e serviços vistos pela Trend Micro no mercado clandestino envolvem a automação de fraude – dimensionável o suficiente para gerar vários cupons/códigos promocionais falsos ou mal utilizados.
Também vale a pena notar que os preços vistos pela Trend Micro nos mercados clandestinos são frequentemente 3 a 10 vezes mais baratos do que os seus homólogos legítimos/originais.
Abaixo a lista de alguns dos esquemas notáveis à venda no mercado clandestino:
Códigos de força-bruta e exploração de vulnerabilidades: Softwares para verificar e forçar códigos de cupom são vendidos no mercado clandestino. Há também manuais em vídeo (carregados para canais de redes sociais), incluindo como decifrar os códigos de promoção de um determinado serviço de carona.
Os cupons têm códigos secretos que são “aleatoriamente” calculados pela empresa/varejista. Se um criminoso puder descobrir como pré-calcular ou forçar esses códigos, o fornecedor perderá o controle desses cupons. Em teoria, um código aleatório devidamente gerado dificilmente pode ser predeterminado.
Na prática, no entanto, é diferente. Vulnerabilidades no aplicativo web que geram ou verificam os códigos, por exemplo, podem ser um aliado para os hackers.
Cupons como um serviço: Cupons – falsificados ou não – são mais monetizados se forem vendidos para outros fraudadores. Há também geradores de cupom, que utilizam calculadoras de dígitos de verificação online, permitindo que os criminosos criem códigos de cupom supostamente válidos. Um dos destaques é um gerador de cupom para um fornecedor que usa programas crowdsourcing para promover seu conteúdo em mídias sociais.
Explorando “novos clientes”: A Trend Micro encontrou também “novas contas” vendidas no mercado clandestino, que podem ser vendidas no atacado. Essas contas aproveitam as vantagens ou outras ofertas gratuitas oferecidas pelos revendedores após o registro da conta. Um fórum fornece instruções sobre como usar de forma incorreta uma conta da Google Cloud Platform recém-registrada e fazer parte de uma grupo de mineração criptográfica.
Trabalhando como afiliado: Os cupons servem como uma moeda alternativa para outros fraudadores e são revendidos para anonimizar o serviço em si. Alguns vendem os bens físicos resgatados por cupons e outros recorrem a esquemas de pirâmide e marketing de afiliados, no qual os criminosos usam engenharia social para atrair e incentivar possíveis fraudadores.
Lições Aprendidas e boas práticas
Os cupons ajudam as empresas a trazer mais negócios, mantendo a visibilidade de seus produtos e serviços. Apesar das vantagens, as empresas devem ser mais cuidadosas – especialmente com relação àqueles que não jogam de acordo com as regras para ganhar brindes e descontos.
A Trend Micro compartilha abaixo o que as empresas podem fazer como medidas de proteção contra esses casos:
– Implementar medidas protetivas;
– Limitar a reutilização, distribuição e prazo dos códigos de cupom;
– Técnicas anti-falsificação: usar códigos de dados mais complexos como marca d’água, microimpressão e verificação de códigos que ajudem a impedir que os criminosos dupliquem os códigos;
– Definir códigos que expirem após o uso no ponto de venda. Trabalhar de forma proativa com os distribuidores, partes interessadas e autoridades policiais responsáveis na revisão, ajuste e aplicação de políticas mais fortes de resistência à fraude/gerenciamento de riscos em programas de cupom.
