De forma contrária ao que podemos imaginar, a fraude móvel não é um "grande evento nefasto, mas um fluxo contínuo de violações contínuas de menor proporção ou tentativas de violações que são muitas vezes, difíceis de detectar. Quando não forem tratados, estes múltiplos ataques poderiam ter um impacto agregado e sério sobre um determinado negócio. De acordo com a abordagem sobre quais as empresas estariam mais propensas aos riscos desencadeados pelas práticas de fraude móvel, é importante ressaltar que a fraude começa em sistemas que não podem ser controlados. Sendo assim, é importante salientar que as equipes de segurança corporativas, assumem algum nível de controle sobre os dispositivos autorizados a acessar os sistemas de uma empresa. Programas de BYOD utilizam ferramentas como soluções de gerenciamento de dispositivo móvel (MDM), com a intenção de controlar a postura de segurança do dispositivo. Este nível de controle é muito mais difícil, e às vezes impossível, quando se trata de "dispositivos não gerenciados" do cliente em um ambiente de B2C.
Práticas de BYOD, Problemas com Educação dos Usuários e Suscetibilidade dos Dispositivos Relacionada à Ocorrência de Malware
Embora a segurança de TI seja proficiente no que diz respeito à proteção dos ativos corporativos, como terminais, servidores e bancos de dados, ela é desafiada com relação à proteção de ativos controlados não corporativos, especificamente os dispositivos de clientes. De certa forma, esse é o problema original do "BYOD" - protegendo o acesso dos usuários e transações, sem que haja controle do dispositivo subjacente. Além do mais, os esforços para educar os usuários sobre como proteger-se, tiveram um nível de sucesso limitado; isso porque a natureza humana é suscetível a esquemas de engenharia social e lapsos temporários de julgamento. E muitos usuários às vezes fazem jailbreak ou root de um dispositivo móvel para instalar aplicações maliciosas. Um dispositivo "jailbroken" ou rooted é suscetível a ser infectado por malware, pragas estas que podem assumir funções críticas do dispositivo, tais como SMS; pode ser utilizado para a potencializar os mecanismos de autenticação e pode levar ao roubo de credenciais e perdas monetárias. E devido aos dispositivos móveis terem limitado o espaço na tela, muitas vezes é mais difícil para os usuários identificarem URLs de phishing falsas, que são facilmente incorporados em e-mails.
Gerenciamento de Registros de Fraudes e Necessidade de Engajamento Máximo para Combater Ameaças
Na sequência dos registros referentes aos riscos abordados, os processos de gerenciamento de fraude são uma atividade de conflito de "alta freqüência". Nesse contexto, muitos mercados nos EUA perdem cerca de US$ 190 a cada ano por causa de fraudes de cartão de crédito. E quando transações fraudulentas comprometem os sistemas corporativos, elas desencadeiam uma série de ações necessárias para lidar com a parte afetada (cliente, parceiro ou fornecedor). A partir daí, a equipe de suporte se envolve na situação, para gerenciar a interação com a vítima de fraude. Dessa forma, analistas e investigadores precisam rever dados forenses para descobrir o que aconteceu, para onde o dinheiro foi transferido e tentar recuperar os fundos antes que eles se percam de vez. Portanto, uma recuperação em modo "business as usual", muitas vezes, exige que a vítima passe a investir tempo e esforço em verificar se os seus sistemas são seguros realmente. Quando a pessoa leva em conta que esses casos de fraude estão acontecendo com uma frequência elevada, é necessário que haja um engajamento intenso para combater esses eventos.
Além do mais, quando estamos falando sobre de segurança dentro do próprio sistema de uma empresa, violações única e reais que levam à perda de dados - e que são relativamente raras as ocorrências - requerem um trabalho mais elaborado para combatê-las. Por exemplo, de acordo com o Instituto Ponemon, apenas 22 por cento das violações de dados envolvem pelo menos 10.000 registros.
Visibilidade das Fraudes para o Mundo Inteiro
Muitos clientes que estão enfrentando problemas com fraude, acabam perdendo a confiança no canal móvel ou de forma geral nos negócios. Se os prejuízos não são automaticamente englobados pela empresa (como é o que acontece quando as contas bancárias de empresas estão comprometidas), as ações fraudulentas podem continuar gerando impacto negativo em relação ao nome da organização. Mesmo em uma escala menor, os incidentes de fraude podem ser compartilhados por clientes insatisfeitos através das redes sociais e isso pode levar à perda de clientes. Importante ressaltar que algumas violações de segurança que acontecem nas empresas podem não se tornar públicas, a menos que os dados perdidos precisem ser divulgadas como parte de uma exigência regulamentar ou de conformidade. Assim, vimos claramente que a segurança empresarial móvel e a prevenção da fraude móvel compartilham o objetivo comum de proteção de ativos comerciais sensíveis e informações confidenciais de clientes. Infelizmente, muitas equipes de segurança e organizações ainda estão encarando a segurança móvel e a questão preventiva da fraude móvel como uma entidade singular, e não percebem que sua estratégia atual não pode protegê-las da maneira e com a eficácia que essas equipes gostariam.
Saiba Mais:
[1] Information Week - Dark Reading http://www.darkreading.com/attacks-b.../d-id/1320248?