Fraudes feitas por funcionários: o crime nasce na empresa

Uma empresa de serviços digitais descobriu, recentemente, que image002.jpg@01D2E438era vítima de fraudes perpetradas por seus próprios funcionários. Profissionais internos renovavam continuamente pacotes de degustação de serviços oferecidos gratuitamente a vários clientes. Dessa forma, alguns usuários tinham acesso pleno à oferta desta empresa sem, no entanto, pagar um centavo por isso.

Parceiros externos desta corporação também estavam envolvidos no golpe. O quadro de fraudes era agravado, ainda, pelo fato de ocorrer constantemente o roubo ou a compra de senhas de acesso às aplicações de negócios desta empresa – os sistemas que, ativados, autorizariam a entrega dos serviços digitais. Uma investigação policial mostrou, posteriormente, que essas ações criminosas eram provocadas por pressões e ameaças de traficantes aos operadores do contact center desta empresa.

Em plena era de transformação digital, cada etapa desta fraude ocorreu por meio do uso indevido das aplicações corporativas, sistemas responsáveis por manter os processos e os negócios dessa corporação funcionando. Ao final do dia, milhões de reais se perderam, e essa empresa teve de iniciar uma revolução interna e externa para garantir a segurança de seus processos e aplicações.

A fraude ocupacional, também conhecida como desfalque, ocorre quando, por meio de um processo deliberado, um colaborador faz mau uso ou emprega mal os recursos ou o patrimônio de uma empresa em seu próprio benefício pessoal. Segundo a empresa de pesquisas de mercado Static Brain, em 2014 funcionários norte-americanos roubaram US$ 50 milhões das empresas onde trabalham.

Um dado preocupante é que esse ataque interno é difícil de ser descoberto: o tempo médio de ocorrência da fraude antes de sua detecção é de 2 anos.

Em 2014, dados do Estudo Global de Fraudes (um levantamento realizado pela maior entidade de fiscais de fraudes dos EUA, a Association of Certified Fraud Examiners), mostraram que 77% das fraudes ocupacionais foram cometidas por funcionários das áreas de contabilidade, operações, vendas, gestão executiva, atendimento ao cliente, compras ou finanças. Quanto aos setores da economia, bancos e serviços financeiros, governo e administração pública, telecomunicações e indústria tenderam a ter o maior número de casos de fraude. Somente no mercado norte-americano de Telecom, por exemplo, estima-se que as fraudes tragam prejuízos anuais de mais de US$ 40 bilhões por ano (dado da Communications Fraud Control Association).

A fraude ocorre primariamente em empresas com claras vulnerabilidades em seus processos e sistemas. São corporações que já vivem a transformação digital, mas ainda não contam com políticas e tecnologias de segurança à altura da engenhosidade dos criminosos. Neste quadro, os sistemas de faturamento (entre outras aplicações de negócios) e as vulnerabilidades das redes são facilmente explorados para obter acesso. Uma das fraudes mais comuns é o roubo de identidades – somente este tipo de crime gerou, nos EUA, no ano passado, perdas na ordem de US$ 4,32 bilhões.

O roubo de identidade é especialmente eficaz na hora do criminoso acessar os dados essenciais para que se cometa o desfalque.

Complexas aplicações corporativas rodando na nuvem ou fora da nuvem são o alvo preferencial: usuários internos irão disparar ações que estão além de sua área de trabalho e dos direitos de acesso que receberam de seu empregador, passando a autorizar, de forma fraudulenta, a compra ou venda de serviços, o cadastramento de novos clientes, a transferência de recursos, etc.

A luta contra esse tipo de fraude é algo que alia soluções tecnológicas a novos processos, treinamentos e controles (foco em pessoas). Algumas das melhores práticas para reduzir o risco de fraudes incluem estabelecer uma central de atendimento antifraude pronta a receber denúncias (anônimas ou não). É importante, ainda, efetuar auditorias de surpresa.

Nesta empreitada é fundamental, ainda, implementar sistemas que monitorem e analisem ativamente os dados e as aplicações da empresa. Esses sistemas “lerão” o comportamento da aplicação e emitirão um alerta no caso de acessos estranhos ocorrerem. A plataforma IAM (Identity and Access Management, gerenciamento de identidade e acesso) pode ajudar nesta luta. Essa tecnologia de segurança autentica com grande precisão a identidade (e os consequentes direitos de acesso) da pessoa que deseja interagir com a aplicação missão crítica.

As soluções IAM são um aliado importante do CISO na defesa dos sistemas que mantém o negócio funcionando – não por acaso, os mesmos sistemas que o fraudador tenta penetrar.

Uma das missões dessas soluções é analisar o contexto de onde está sendo feito o acesso do usuário. Onde ele está? Por qual tipo de dispositivo a pessoa está acessando a aplicação? O acesso está sendo feito no horário comercial? Esse usuário passou pelo crivo da tecnologia MFA (Multiple Factor Authentication, autenticação realizada a partir de múltiplos fatores – senha, reconhecimento biométrico, posse de um token)? É recomendável que o uso de soluções como estas esteja inserido num quadro de ações que visem a transformação da cultura corporativa e a interiorização, por parte dos funcionários, de novos valores.

A checagem de cada um desses pontos aumenta a inviolabilidade do ambiente corporativo e dificulta a realização das fraudes. Em tempos de transformação digital, derrota a fraude quem, entre várias iniciativas, protege o coração do negócio: a aplicação.