A fraude de apropriação de contas é uma ameaça global que impacta a todos em nosso mundo cada vez mais conectado e digital. Conhecida coloquialmente como hacking de contas, é uma forma de acesso não autorizado por fraudadores a contas online de usuários, seguida pela apropriação - uma forma de roubo de identidade digital.

Os ataques de ATO (Account Takeover) têm aumentado desde 2019 em tamanho, escala e sofisticação, crescendo em 90% apenas em 2021, totalizando $11,4 bilhões em perdas - de acordo com a Javelin Strategy. 

Os fraudadores podem executar uma apropriação de conta (ATO) por meio de várias técnicas, como engenharia social, phishing ou uso de malwares. Assim que executado com sucesso, o fraudador explora a conta para ganho pessoal, realizando várias transações fraudulentas.

As fintechs e outros financiadores online são particularmente vulneráveis a ATO devido à sua dependência de contas online acessadas remotamente pelos usuários. A crescente popularidade dos serviços de banco online e móvel tornou o ATO um desafio significativo de segurança, já que uma conta bancária é um dos alvos mais lucrativos para fraudes.

Neste artigo, vamos guiá-lo pelas ameaças de ATOs, bem como nas medidas de segurança práticas que você pode adotar, desde a implantação adequada de Autenticação Multifator (MFA) até o uso de sofisticados softwares antifraude para proteger seus usuários.

Impacto dos ataques de ATO

Os ataques de apropriação de contas têm impactos graves e de largo alcance nos negócios, afetando não apenas sua estabilidade financeira, mas também sua reputação e a confiança dos clientes. 

Aqui estão alguns impactos-chave dos ataques de ATO em uma empresa:

• Perdas financeiras: Os fraudadores exploram contas comprometidas para realizar transações não autorizadas, fazer compras fraudulentas ou transferir fundos para suas próprias contas.

• Danos à reputação: Se os clientes experimentarem acesso não autorizado às suas contas ou atividades fraudulentas, podem perder a confiança na capacidade da empresa de proteger suas informações sensíveis. Isso pode resultar em revisões negativas, perda de clientes e dano à reputação da marca da empresa.

• Questões legais e de conformidade: Dependendo da natureza do ataque e da indústria, as empresas podem estar sujeitas a investigações regulatórias e enfrentar penalidades ou multas por falharem em proteger adequadamente as informações dos clientes: sob o GDPR (Regulamento Geral sobre a Proteção de Dados), as empresas podem enfrentar multas de até €20 milhões ou 4% do faturamento global anual.

Disrupções operacionais: As organizações podem precisar investir tempo e recursos significativos na investigação dos ataques, na implementação de medidas de segurança adicionais e no gerenciamento de consultas e suporte ao cliente.

Obviamente, é do seu interesse proteger seus usuários do roubo de identidade. No entanto, errar nas medidas de proteção pode causar muito atrito para seus usuários, o que significa menos satisfação do cliente e uma probabilidade aumentada de perda de clientes.

O principal alvo do ATO: uma conta bancária

De acordo com pesquisas recentes, logins bancários online estão sendo vendidos em mercados da darknet por um preço médio de $40 por conta. 

O valor de uma conta bancária no mercado da darknet pode variar dependendo do histórico de transações da conta, do saldo da conta e das práticas de segurança do banco. 

Por exemplo, contas com um saldo de $3.000 de grandes bancos como Bank of America, JPMorgan Chase e Wells Fargo foram supostamente vendidas por $300, enquanto detalhes de login de conta para outros bancos foram vendidos por tão pouco quanto $5.

Como a revolução fintech tornou o movimento de dinheiro mais fácil do que nunca, essas contas financeiras online tornaram-se um alvo principal para o roubo de identidade.

Para proteger adequadamente contra o ATO, as fintechs precisam entender os métodos que os fraudadores usam para ganhar acesso às contas dos usuários. As organizações que oferecem serviços financeiros online precisam acompanhar as novas táticas de cibercrime, que avançam continuamente para escapar das medidas de segurança.

Como o ATO funciona? Um mergulho mais profundo

Os ataques de apropriação de contas tornaram-se cada vez mais sofisticados e prevalentes nos últimos 5-10 anos, com os fraudadores continuamente evoluindo suas técnicas.

Em geral, a fraude de apropriação de contas envolve os fraudadores ganhando acesso não autorizado às contas dos usuários e assumindo o controle delas para fins maliciosos. Esses ataques geralmente começam com a aquisição de credenciais de login através de vários métodos, como phishing, engenharia social ou uso de malwares.

As violações de dados também são um benefício para os cibercriminosos, tornando fácil para eles ganhar acesso automaticamente a contas online usando credenciais roubadas.

Uma vez que os fraudadores tenham obtido os detalhes de login, eles os usam para fazer login nas contas-alvo. Em alguns casos, eles podem empregar técnicas de força-bruta como stuffing de credenciais ou ataques de dicionário para ganhar acesso.

Stuffing de credenciais ou ataques de dicionário são uma maneira automatizada de abrir um grande número de contas usando detalhes de login obtidos de várias violações de dados, que invariavelmente produzem resultados devido ao hábito comum de reutilização de senhas entre os usuários.

Uma vez dentro, os fraudadores frequentemente mudam detalhes da conta, como senhas e informações de contato. Ao fazer isso, o fraudador impede que o usuário legítimo acesse e dificulta para ele recuperar o controle de sua conta. 

Com o controle da conta online, os fraudadores podem conduzir transações não autorizadas, explorar informações pessoais ou até mesmo vender contas bancárias roubadas e credenciais na dark web.

Além disso, os fraudadores também começaram a aproveitar técnicas avançadas como spear-phishing, onde eles adaptam seu ataque para indivíduos ou organizações específicas para aumentar suas chances de sucesso. Eles também podem empregar táticas de engenharia social como se passando por agentes de suporte ao cliente ou enviando alertas de segurança falsos para enganar usuários a revelar suas credenciais de login.

Exemplo de ataque de phishing da FTC

Agora vamos analisar algumas das melhores práticas em uso hoje e como evoluímos de resetar senhas a cada poucos meses para formas mais sutis e eficientes de prevenir apropriações de contas.

Prevenção da apropriação de contas: das senhas à avaliação contínua e adaptativa de risco e confiança

A evolução da proteção de contas, das senhas ao modelo de confiança adaptativa contínua, representa uma mudança na abordagem à cibersegurança, focando em avaliação de riscos em tempo real e tomada de decisão adaptativa.

Tradicionalmente, a proteção de contas dependeu amplamente das senhas como método primário de autenticação. No entanto, com a crescente sofisticação das ameaças cibernéticas e as vulnerabilidades associadas à autenticação baseada em senhas, novas abordagens surgiram para melhorar a segurança.

O modelo de confiança adaptativa contínua, também conhecido como Avaliação Contínua de Risco e Confiança Adaptativa (CARTA), enfatiza avaliações contínuas de cibersegurança e tomada de decisão contextual baseada em avaliações adaptativas de risco e confiança.

Este modelo reconhece que os níveis de risco e confiança não são estáticos, mas mudam dinamicamente com base em vários fatores, como comportamento do usuário, condições de rede e inteligência de ameaças.

Em vez de depender apenas de senhas, o modelo de confiança adaptativa contínua incorpora autenticação multifator, análise comportamental e algoritmos de aprendizagem de máquina para avaliar o risco e a confiabilidade das atividades do usuário. 

Além disso, medidas de segurança avançadas monitoram e avaliam continuamente o comportamento do usuário, as atividades da rede e as informações contextuais em tempo real para detectar anomalias e potenciais ameaças de segurança.

Isso permite que as organizações ajustem dinamicamente as medidas de segurança com base na postura de risco atual, permitindo uma abordagem de segurança mais proativa e ágil.

O software moderno antifraude, como o Oscilar, permite que você leve em conta tanto dados históricos quanto em tempo real para aplicar autenticação baseada em risco aos seus usuários - equilibrando cuidadosamente entre prevenir fraudes de apropriação de contas sem introduzir muito atrito para seus usuários.

Os perigos da Autenticação Multifator

A autenticação multifator (MFA) é geralmente considerada um método mais seguro de autenticação em comparação com confiar apenas em senhas. No entanto, ainda existem fraquezas na MFA que os fraudadores podem explorar. 

Aqui estão algumas fraquezas comuns e exemplos de como fraudadores abusam da MFA:

• Ataques de engenharia social: Fraudadores podem manipular indivíduos a fornecerem seus códigos MFA para contornar o processo de autenticação. Eles podem fingir ser uma entidade confiável e enganar os usuários para revelar suas credenciais de autenticação através de e-mails de phishing, chamadas telefônicas ou sites maliciosos.

• Vulnerabilidades do SMS: O uso de SMS para entrega de códigos MFA pode ser explorado. Fraudadores podem interceptar mensagens SMS através de troca de SIM, onde convencem uma operadora móvel a transferir o número de telefone de uma vítima para um dispositivo sob seu controle. Isso lhes permite receber os códigos MFA e burlar o processo de autenticação.

• Phishing e malware: Fraudadores podem usar técnicas de phishing para enganar usuários a fornecer suas credenciais MFA em sites fraudulentos. Eles também podem infectar dispositivos com malware que captura códigos MFA ou grava secretamente interações do usuário, dando-lhes acesso às credenciais de autenticação.

• Comprometimentos de dispositivos: Se o dispositivo de um usuário estiver comprometido, fraudadores podem ganhar acesso não autorizado aos códigos MFA ou interceptar a comunicação entre o dispositivo e o servidor de autenticação. Isso pode ser feito através de malware, keyloggers ou outras técnicas que exploram vulnerabilidades no sistema operacional do dispositivo ou nos aplicativos.

• Erro humano: Usuários podem involuntariamente minar a segurança da MFA reutilizando senhas, compartilhando credenciais de autenticação ou falhando em proteger adequadamente seus dispositivos. Essas ações podem oferecer oportunidades para fraudadores ganharem acesso não autorizado.

Como exemplo, os agressores estão cada vez mais contando com o que é conhecido como 'fadiga da MFA' - bombardeando continuamente a vítima com notificações push, que acabam cedendo seu código ao agressor apenas para fazer as notificações pararem.

É importante manter essas fraquezas em mente ao implementar a MFA, por isso organizações e indivíduos devem considerar seguir práticas "melhores práticas" adicionais que foram adotadas em vários setores.

Principais 4 melhores práticas para detectar e prevenir fraudes de apropriação de contas

1. Implementar métodos mais seguros de MFA, como tokens de hardware ou aplicativos de autenticação, que são menos suscetíveis a vulnerabilidades de SMS.

2. Educar os usuários sobre técnicas de engenharia social e a importância de verificar a autenticidade de solicitações de códigos MFA ou informações pessoais.

3. Impedir o uso de senhas que são conhecidas por estarem associadas a violações de dados.

4. Monitorar e analisar regularmente logs e alertas de segurança para qualquer atividade suspeita que possa indicar tentativas de apropriação de conta.

Além disso, qualquer que seja o software que você utilize para prevenir apropriações de contas, sua equipe de risco ou segurança e confiança deve ser capacitada para intervir rapidamente quando necessário. 

Seu motor de decisão deve permitir a modificação das jornadas dos usuários com base em sinais de risco que são descobertos em tempo real, sem a necessidade de depender de suas equipes de cibersegurança ou desenvolvedores no calor do momento.

A importância da detecção e prevenção de fraudes em tempo real

Sistemas de detecção de fraudes em tempo real desempenham um papel crucial na prevenção de fraudes de apropriação de contas (ATO). O ATO ocorre quando um atacante cibernético ganha controle de uma conta legítima e a usa para fins maliciosos.

Sistemas de detecção de fraudes em tempo real monitoram continuamente as atividades dos usuários e identificam padrões que são consistentes com comportamentos fraudulentos. Eles podem rapidamente detectar e bloquear tentativas de login não autorizadas, impedindo que invasores obtenham acesso a contas e roubem informações sensíveis.

Sistemas de detecção de fraudes em tempo real usam várias técnicas para detectar atividades fraudulentas, como reconhecimento de dispositivos, biometria comportamental, aprendizado de máquina e inteligência artificial.

Essas técnicas ajudam a criar um perfil abrangente do comportamento legítimo do usuário e identificar desvios desse comportamento. Quando um desvio é detectado, o sistema pode tomar ação imediata para prevenir acesso não autorizado adicional e alertar proprietários de contas ou administradores.

Um dos principais benefícios dos sistemas de detecção de fraudes em tempo real é que eles reduzem a janela de exposição à fraude. Ao detectar e bloquear atividades fraudulentas em tempo real, esses sistemas limitam o tempo que os invasores têm para causar danos.

Eles também fornecem um mecanismo de defesa proativo que pode prevenir a própria fraude de identidade antes que ocorra, em vez de depender de esforços de remediação reativos após um ataque já ter ocorrido.

Além disso, sistemas de detecção de fraudes em tempo real podem ajudar a reduzir falsos positivos e minimizar o atrito do cliente. Ao estudar continuamente o comportamento do usuário, esses sistemas podem identificar tentativas de login legítimas e diferenciá-las de atividades suspeitas.

Isso reduz o número de falsos positivos e garante que clientes genuínos possam acessar suas contas com atrito mínimo.

No geral, sistemas de detecção de fraudes em tempo real são um componente crítico de qualquer estratégia eficaz de prevenção de fraudes de apropriação de contas. Eles fornecem uma defesa proativa contra fraudes, reduzem a janela de exposição, e minimizam falsos positivos e fricção do cliente.

Monitoramento de atividades de contas e perfilamento de usuários

O monitoramento de atividades de contas e o perfilamento de usuários são cruciais na prevenção de fraudes de apropriação de contas, pois ajudam a detectar comportamentos suspeitos ou anormais que podem indicar que um invasor obteve acesso a uma conta.

O monitoramento de atividades de contas envolve monitorar continuamente as interações dos usuários e analisar padrões para detectar alterações que possam indicar atividades maliciosas. Por outro lado, o perfilamento de usuários envolve analisar o comportamento do usuário para construir uma linha de base de comportamento normal e sinalizar quaisquer desvios desse comportamento.

Ao implementar essas técnicas, as organizações podem identificar atividades suspeitas e responder prontamente para evitar acesso não autorizado adicional.

O perfilamento de usuários pode ajudar a detectar sinais de alerta precoce de uma tentativa de ataque de apropriação de conta, como horários de login alterados, geolocalizações incomuns ou tipos de transações inusitados. A monitoramento e análise em tempo real da atividade do usuário também pode oferecer insights sobre atividades fraudulentas, como ataques automatizados de bots ou tentativas de forçar bruta.

No geral, o monitoramento de atividades de contas e o perfilamento de usuários são essenciais na prevenção de roubo de identidade e fraudes de apropriação de contas, proporcionando às organizações a capacidade de detectar e responder rapidamente a atividades suspeitas. Embora a implementação de tal monitoramento e perfilamento possa ser complexa e intensiva em recursos, os benefícios da detecção precoce e prevenção superam em muito o custo.

Conclusão

A fraude de apropriação de contas permanece como uma das principais ameaças para empresas que dependem de seus usuários terem contas online - especialmente fintechs.

Na Oscilar, estamos construindo a próxima geração de plataforma de operação de risco. Esta solução sem código dá autonomia às equipes de risco - permitindo que estejam à frente no combate a fraudadores e na proteção das contas dos seus usuários.

Se você está curioso para saber como nossa solução funciona, considere agendar uma demonstração abaixo.