Por Patrick Drexler, Head de Business Development
Certamente você já ouviu uma história semelhante: em São Paulo, uma pessoa teve seu celular furtado no trânsito. Mesmo tendo feito um boletim de ocorrência e informado bancos, carteiras digitais e plataformas de investimento sobre o ocorrido, o usuário viu, dia após dia, o dinheiro sair de suas contas. As instituições financeiras se limitavam a dizer que o caso estava sendo analisado – e o prejuízo foi de mais de R$ 143 mil.
A situação parece absurda, mas está se tornando cada vez mais comum. Em 2021, houve um aumento de 55% nas fraudes de account takeover (ATO), em que um criminoso rouba a conta de um usuário verdadeiro. Um outro estudo, da Javelin Strategy and Research, aponta para um aumento de 90% nesse tipo de ataque nesse mesmo período.
Seja qual for o número correto, podemos afirmar que esse é um problema cada vez mais presente. Com o uso dos smartphones disseminado no cotidiano, os aparelhos são cada vez mais visados por fraudadores, que enxergam a oportunidade de ganhar dinheiro sem a necessidade de comprar dados vazados.
Com o aumento do volume de tentativas de fraude, todo negócio precisa estar pronto para lidar com as questões de account takeover. A próxima fronteira do combate ao cibercrime é identificar o uso fraudulento de uma conta real, que passa por todos os parâmetros tradicionais de verificação (como login e senha, além do uso no aparelho do cliente).
O elo mais fraco
Um ponto importante no que diz respeito às novas formas de fraude eletrônica é que os apps são tão suscetíveis às fraudes quanto qualquer computador. Especialmente para aqueles que costumam baixar muitos aplicativos gratuitos ou de fontes desconhecidas, vale aquela máxima: se algo é grátis, o produto é você.
Nas fraudes de ATO, o elo mais fraco da cadeia de segurança não é a tecnologia: são as pessoas. Por isso, varejistas, instituições financeiras e outros negócios precisam explicar para o público os riscos existentes e quais medidas podem ser tomadas para dificultar a ação criminosa. Do uso exclusivo de redes seguras, evitando wi-fi em lugares públicos, à adoção das melhores práticas de uso dos smartphones, é possível fazer muita coisa para evitar que os clientes caiam em golpes e exponham seus aparelhos.
Por isso, vale a pena explicar para seus clientes e colaboradores quais são os riscos envolvidos em vários tipos de situações:
Vazamentos de dados: uma empresa que não leve a sério as questões de segurança pode ser invadida e ter seus dados capturados por criminosos. Os colaboradores devem ser treinados a não abrir anexos de e-mail suspeitos, enquanto a área de TI da empresa precisa manter os sistemas atualizados para fechar brechas. Também é necessário explicar às equipes a importância de usar senhas fortes e substituir essas senhas de tempos em tempos, além de usar senhas diferentes em serviços diferentes.
Engenharia social: fraudadores tentam convencer suas vítimas de divulgar informações pessoais (do CPF ao login e senha da conta). Para isso, se passam por um funcionário do serviço de atendimento ou alguém que pareça ter uma razão séria para pedir essa informação. Essas fraudes podem acontecer por e-mail, SMS e até mesmo ligações telefônicas, normalmente com um senso de urgência por parte do fraudador.
Phishing: é a forma mais comum de engenharia social, em que uma mensagem ou e-mail parece legítima, mas leva a um website falso no qual as informações digitadas são coletadas pelos criminosos. A vítima acredita estar logando em sua conta, mas na realidade está entregando informações pessoais.
Malware: são programas maliciosos instalados no computador ou celular. Apps falsos, quando baixados, podem abrir vulnerabilidades para que fraudadores controlem smartphones e vejam tudo o que o cliente faz.
Quebra de senha: senhas fracas podem ser quebradas por “força bruta”, testando milhões de combinações. Por isso, senhas como “123456” ou a data de nascimento nunca são uma boa opção.
Uso de redes públicas: quando alguém se conecta a redes públicas, nunca se sabe realmente quem está controlando a rede ou se ela está sendo monitorada. Uma rede pública comprometida permite que um criminoso veja tudo o que está sendo digitado, incluindo senhas e informações bancárias.
Como tornar os sistemas menos vulneráveis
As instituições financeiras, varejistas e outras empresas que queiram proteger seus dados internos e/ou as informações de seus clientes precisam proteger todos os passos da jornada de consumo. Do registro de uma nova conta no sistema a todas as mensagens trocadas durante o relacionamento com o cliente, tudo pode ser usado por criminosos para tentar iludir suas vítimas.
Assim, proteger somente alguns passos, como os pagamentos, não é mais suficiente. Proteger parte do sistema faz com que uma fraude como o account takeover não seja reconhecida, pois as empresas não estão preparadas para lidar com ela. Se a única barreira é login e senha, qualquer pessoa que tome posse desses dados pode se comportar como um usuário legítimo.
É preciso ir além do básico para proteger os usuários e os negócios
Soluções de segurança são mais eficientes quando usam machine learning e Inteligência Artificial para analisar, de forma automática, o comportamento dos usuários não somente em cada transação, mas também em qualquer interação com a empresa. Um bom exemplo é o uso de biometria comportamental, que analisa não somente o dispositivo usado pelo cliente, mas também milhares de fatores, como informações do giroscópio do aparelho, a velocidade de digitação, utilização da área de transferência (copia e cola), padrão de toque na tela, entre outros.
Somente uma abordagem 360 graus para o combate às fraudes, utilizando tecnologias como a Know Your User, é capaz de detectar ataques do tipo account takeover e impedir que seus clientes passem dias angustiantes vendo o dinheiro sair da conta sem poder fazer nada. Uma fraude desse tipo pode causar um risco de imagem que implique na perda do cliente para sempre. Será que sua empresa está disposta a correr um risco tão grande?
Deixe um comentário