Prática tem se tornado comum no "sequestro do Pix" e na abertura de contas laranjas               

A Account Takeover (ATO) corresponde à ameaça digital de invasão de contas, que pode trazer diversos prejuízos para pessoas e empresas. Não se trata somente de roubo de dados para a realização de uma compra ou contratação de serviços. Neste tipo de fraude, o criminoso invade a conta e modifica os dados de login, se apropriando daquela identidade.

Quando um fraudador altera as credenciais de um usuário, ele pode realizar qualquer tipo de transação financeira, fazer ataques contra pessoas físicas ou jurídicas, acessar redes sociais, plataformas corporativas e até games online. Enquanto isso, o usuário legítimo fica sem acesso às suas próprias contas.

É difícil traçar um padrão de comportamento do invasor de contas, pois não existe um perfil específico de vítimas. Este tipo de golpe ocorre no momento da abertura de conta e cadastro ou na etapa do acesso e login.

A prática de Account Takeover ocorre após ações fraudulentas, como a engenharia social, no qual o fraudador consegue o login e a senha monitorando os hábitos do usuário nas redes sociais. O phishing também é um recurso utilizado para conseguir a credencial do usuário por meio de uma réplica de uma página, e-mail ou aplicativo oficial.

Os ataques também podem ocorrer com bots programados para simulação de diferentes senhas por minuto, após o vazamento de informações ou ainda por descuido de segurança do próprio usuário.

Sequestro do Pix

Para alguns criminosos, o valor de um smartphone não está relacionado ao preço do item, mas nos dados pessoais e no acesso a apps de bancos, fintechs e carteiras digitais que a pessoa concentra no dispositivo.

O roubo de celular e o sequestro são crimes diferentes, porém atualmente estão atrelados. Estão se tornando comuns notícias sobre sequestro-relâmpago em que o smartphone da vítima é usado para realizar transações via Pix.

O celular do refém também acaba sendo utilizado para abertura de contas laranjas (criadas em nome de outra pessoa) em bancos digitais para receber dinheiro com Pix.

Importante ressaltar que não foi o surgimento do Pix que gerou esses tipos de ações fraudulentas, pois a fraude de Account Takeover só está sendo adaptada a esse sistema de pagamento instantâneo que se tornou popular por sua praticidade em um momento em que mais pessoas usam o celular para transações financeiras.

Verificação de Identidade e Prevenção à Fraude

Para mitigar riscos de fraudadores se passarem por outras pessoas é necessário que as empresas combinem tecnologias robustas para identificar se a pessoa é quem diz ser e entender se o padrão de criação de conta não é suspeito.

A verificação de identidade mostra se há risco ou não naquela situação, já que as informações solicitadas podem estar corretas, porém é preciso verificar se quem está utilizando aqueles dados é mesmo o usuário verdadeiro.

Outro ponto relevante é a identificação do dispositivo, pois é possível saber se um determinado smartphone é utilizado com frequência pelo usuário ou não. O comportamento de localização, por exemplo, alerta se o acesso é feito em um lugar que não consta no histórico de localizações.

A biometria facial é parte importante dessa combinação, já que a autenticação biométrica com o Liveness (Prova de Vida) consegue bloquear ações consequentes da Account Takeover, como a tentativa de manipular o reconhecimento facial para login.

Já a análise e verificação de documentos é uma camada que aumenta ainda mais a segurança, pois é possível investigar automaticamente irregularidades nos padrões de informações e formatações, evitando que fraudadores utilizem documentação falsa.

Sendo assim, para as jornadas de onboarding (cadastro) e de validação de acessos possuírem uma maior segurança são necessárias várias camadas de proteção por meio de ferramentas de análise de aberturas de contas ou cadastros, para monitoramento de transações e alerta de invasão de contas. A Serasa Experian oferece soluções antifraude que podem auxiliar as empresas na autenticação dos seus clientes.

Assuntos relacionados: