A pandemia acelerou o ritmo da transformação digital, fazendo com que cada vez mais consumidores adotassem o mobile banking. O problema é que os criminosos também se adaptaram a esse novo ambiente, desenvolvendo as mais variadas táticas para assumir o controle das contas. Diante desse quadro crítico, quais medidas as organizações financeiras podem tomar para proteger seus clientes?
- Desde abril de 2020, início da pandemia de Covid-19, houve um aumento exponencial no uso de serviços bancários móveis (mobile banking). No entanto, uma nova pesquisa do Aite Group indica um crescimento, na mesma proporção, nos chamados ataques de “controle de contas” (ATOs, na sigla em inglês).
- Os fraudadores valem-se de inúmeros artifícios para perpetrar esses ataques de apropriação de contas, incluindo preenchimento de credenciais, phishing e engenharia social.
- Todos os departamentos de uma instituição financeira devem tomar precauções rigorosas para mitigar a ameaça de ATOs aos clientes –e isso começa com a atualização e otimização dos processos de autenticação.
Em abril de 2020, os maiores bancos do mundo se depararam com um salto de cerca de 200% em novos registros para utilizar seus serviços de mobile banking (oferta de soluções bancárias por meio de aplicativos que podem ser baixados em celulares, tablets, relógios tecnológicos e outros dispositivos móveis). E ao longo de todo o ano passado, plataformas de pagamentos peer-to-peer (P2P ou ponto a ponto, em português) viram um número recorde de transações em suas redes.
Ambas as tendências são responsáveis pelo salto na adoção de contas e pagamentos digitais –e mais consumidores do que nunca contam com contas digitais para fazer transações diárias.
Contudo, paralelamente a esses avanços, criminosos que se dedicam a fraudes financeiras perceberam a nova oportunidade e deram um jeito de aprimorar suas investidas contra essas contas por meio do que ficou conhecido como ataques de “controle de contas” (ATOs, na sigla em inglês), em que o hacker sequestra contas de consumidores para obter qualquer informação pessoal armazenada que possa ser monetizada na dark web.
Oficialmente definido como o “controle não autorizado de uma conta existente e legítima”, o ATO tem se tornado cada vez mais comum. Na verdade, de acordo com um relatório do Aite Group, intitulado “U.S. Identity Theft: The Stark Reality” e subscrito pela GIACT (uma empresa Refinitiv), mais de um terço (38%) dos consumidores dos EUA foram vítimas de ATOs nos últimos dois anos.
Leia o white paper: “Understanding Account Takeover 2021”
Estatégias de ATO
Em seus golpes, operadores de esquemas de fraude tiram proveito das informações de identificação pessoal (PII, na sigla em inglês) disponíveis na dark web, além de outros dados dos consumidores que podem ser facilmente acessados nas redes sociais ou por simples pesquisas na internet.
Ao longo dos anos, esses fraudadores aperfeiçoaram sua arte, implantando tanto táticas convencionais quanto outras bem mais sofisticadas. Entre elas estão:
- Ataques de “força bruta”: os cibercriminosos recorrem a scripts automatizados que giram em combinações de senha para validar as credenciais de login.
- Preenchimento de credenciais: é semelhante aos ataques de “força bruta”, mas conduzido por meio de “suposições fundamentadas” que aproveitam as informações de identificação pessoal (PII) disponíveis.
- Phishing: tática de e-mail usada para induzir a vítima a clicar em malware ou para fazer com que ela insira PII (inclusive credenciais de login) em um domínio de aparência legítima.
- Engenharia social: cobre uma ampla gama de táticas –de e-mail, mídias sociais, texto e chamadas de voz – em que os criminosos manipulam socialmente as vítimas para que entreguem informações ou transfiram fundos. Isso geralmente é feito por indivíduos que se passam por uma entidade legítima (empresa ou governo) e pode incluir ameaças e até mesmo chantagem.
- Fraude de identidade sintética: um esquema de fraude de identidade que usa uma combinação de PII reais e fictícios para abrir ou obter acesso a uma conta.
- Fraude amigável ou familiar: uma estratégia infeliz, mas muito comum por trás de ATOs, ocorre quando o crime é cometido por alguém conhecido da vítima.
Assista o vídeo: Refinitiv adquire GIACT para aprimorar a segurança de sua empresa de ponta a ponta
Consequências dos ataques de “controle de contas”
Se obtiverem sucesso nesses esquemas iniciais, os cibercriminosos podem então partir para uma série de outras atividades ilegais, que variam de acordo com o tipo de conta.
O novo relatório do Aite Group aponta que, após se apropriarem da conta, os fraudadores se dedicaram a:
A ampla variedade de atividades ilícitas e de tipos de contas mostra o quanto a fraude migrou para além das contas bancárias tradicionais. Conforme vimos acima, aplicativos P2P, sistemas de pagamento de contas, pontos de programas recompensa e até mesmo –pasme!— seguro médico estão sendo alvos dos hackers. E não há indícios de que seja uma onda passageira; muito pelo contrário.
Práticas recomendadas para prevenir ATOs
Dado o crescimento da comunicação digital e do armazenamento de dados na nuvem, os golpistas agora têm vários pontos de entrada possíveis para acessar informações de identificação pessoal (PII).
Portanto, é fundamental que os departamentos organizacionais internos, como os de tecnologia da informação, recursos humanos, contabilidade e administração estejam cientes dos riscos de segurança cibernética relacionados às redes da empresa e aos bancos de dados que contêm informações confidenciais de funcionários, folhas de pagamento e outros dados financeiros – todos os quais são altamente valiosos para redes de fraude.
Quaisquer precauções que as organizações tomem para mitigar riscos de golpes de apropriação de contas devem começar pela adoção de uma atitude proativa na atualização dos métodos de autenticação. Isso porque os fraudadores detectam cada vez mais maneiras de desvendar senhas fracas, o que há muito tempo vem recompensando os hackers e tirando o sono dos especialistas em segurança cibernética.
Operadores de esquemas de fraude também têm mirado em contas não financeiras desprotegidas (e-mails, redes sociais, celulares) para obter dados confidenciais que possam colaborar com as ATOs.
As organizações podem reduzir o risco de ATOs utilizando um sistema que pode proteger seus clientes de fraude de pagamentos e de identidade por meio de uma abordagem holística e integrada.
Essa conduta deve incluir métodos para identificar positivamente as contas de consumidores e de empresas usando:
- Várias fontes de dados tradicionais e não tradicionais para melhorar a subscrição.
- Gerenciamento de risco e processos de Know Your Customer (KYC).
- Verificação de conta em tempo real e autenticação de clientes e de empresas antes da inscrição do cliente ou de processamento de pagamento ACH.
- Autenticação móvel e identificação e verificação em tempo real em todos os pontos de contato do cliente.
- Verificação de identidade em tempo real e autenticação de IDs digitalizados e de pagamentos em cheque.
Além disso, manter-se proativo com métodos de autenticação avançados, como a adoção de single-sign-on (SSO) e de gerenciadores de senha, permitirá aos administradores de segurança aplicar algum tipo de “limpeza de senha”.
Outras práticas recomendadas englobam o uso de biometria física e comportamental, identidades digitais que incluem reconhecimento de dispositivo, geofencing e outras tecnologias inovadoras que ajudam a realizar a autenticação dos consumidores de forma mais confiável do que simplesmente por senhas.
Entre esses recursos de última geração estão a autenticação de dois fatores (2FA); questões baseadas no conhecimento; rastreadores de banco de dados de terceiros baseados em IA; e, não menos importante, alerta a clientes e funcionários sobre golpes, bem como fraudes amigáveis/familiares.
