A Account Takeover (ATO) corresponde à ameaça digital de invasão de contas, que pode trazer diversos prejuízos para pessoas e empresas. Não se trata somente de roubo de dados para a realização de uma compra ou contratação de serviços. Neste tipo de fraude, o criminoso invade a conta e modifica os dados de login, se apropriando daquela identidade.

Quando um fraudador altera as credenciais de um usuário, ele pode realizar qualquer tipo de transação financeira, fazer ataques contra pessoas físicas ou jurídicas, acessar redes sociais, plataformas corporativas e até games online. Enquanto isso, o usuário legítimo fica sem acesso às suas próprias contas.

É difícil traçar um padrão de comportamento do invasor de contas, pois não existe um perfil específico de vítimas. Este tipo de golpe ocorre no momento da abertura de conta e cadastro ou na etapa do acesso e login.

A prática de Account Takeover ocorre após ações fraudulentas para a obtenção dos dados do usuário. Uma delas é a engenharia social, no qual o fraudador consegue o login e a senha monitorando os hábitos do usuário nas redes sociais. O Phishing também é um recurso utilizado para conseguir a credencial do usuário por meio de uma réplica de uma página, e-mail ou aplicativo oficial.

Os ataques também podem ocorrer com bots programados para simulação de diferentes senhas por minuto, após o vazamento de informações ou ainda por descuido de segurança do próprio usuário.

Validação do cliente

Para mitigar riscos de fraudadores se passarem por outras pessoas é necessário que as empresas combinem tecnologias robustas para identificar se a pessoa é quem diz ser e entender se o padrão de criação de conta não é suspeito.

A validação cadastral mostra se há risco ou não naquela situação, já que as informações solicitadas podem estar corretas, porém é preciso verificar se quem está utilizando aqueles dados é mesmo o usuário verdadeiro.

Outro ponto relevante é a identificação do dispositivo, pois é possível saber se um determinado smartphone é utilizado com frequência pelo usuário ou não. O comportamento de localização também é uma ferramenta de validação, pois alerta se o acesso é feito em um lugar que não consta no histórico de localizações.

Sendo assim, para as jornadas de cadastro e de validação de acessos possuírem uma maior segurança são necessárias várias camadas de proteção por meio de ferramentas de análise de aberturas de contas ou cadastros, para monitoramento de transações e alerta de invasão de contas. A Serasa Experian oferece soluções antifraude que podem auxiliar as empresas na autenticação dos seus clientes.