Autenticação avançada: Um plano de ataque para seu stack de autenticação

Samuel Bakken, 27 de Agosto de 2021

O último ano trouxe uma expansão drástica nos serviços bancários digitais, e isso está criando a necessidade de métodos de autenticação modernos e avançados. Na verdade, durante março e abril de 2020, alguns bancos reportaram um aumento de até 200% no número de clientes que acessaram canais digitais de autoatendimento bancário pela primeira vez, por meio de um dispositivo móvel ou navegador de internet. Ao menos quatro a cada cinco ou mais desses novos usuários finais continuarão a realizar parte de suas atividades bancárias on-line. Com golpistas mirando agressivamente em usuários de serviços bancários digitais, isso aumenta a urgência para que os bancos fortaleçam a gestão de acesso e se atualizem para um stack de autenticação moderno para proteger as transações e informações confidenciais dos clientes.  

Recentemente, a OneSpan realizou um webinário sobre como as instituições financeiras podem criar um plano para modernizar sua autenticação, superar a relutância em investir na autenticação e conquistar os executivos. O webinário foi apresentado por David Mattei, Analista Sênior de práticas de Fraude e Antilavagem de dinheiro do Grupo Aite-Novarica e da OneSpan.

Se você perdeu, veja as principais conclusões. Você também pode assistir ao webinário completo sob demanda .

Elos fracos nas defesas contra fraude e autenticação básica

As pesquisas do Grupo Aite-Novaricamostram que aproximadamente entre 2005 e 2012, os bancos se destacavam como líderes na proteção de contas on-line.

Ainda assim, hoje em dia, as senhas se tornaram um problema persistente. O roubo de senhas, além da distribuição de senhas roubadas na dark web (dumping de senhas), ainda é o método mais comum que os golpistas usam para obter acesso à conta de um usuário. Os consumidores se colocam em risco quando utilizam senhas fracas ou recicladas, ou comprometem sua própria segurança de dados com comportamentos perigosos, como o compartilhamento de senhas. Além disso, alguns prestadores de serviços financeiros dependem de protocolos reativos, como agir apenas após a ocorrência de uma fraude em vez de impedir que ela aconteça, para começar.  

Um problema subjacente é que os sistemas de segurança e a autenticação antiga que os bancos implementaram tendem a existir no front-end e no back-end das transações digitais. Infelizmente, não há muita coisa acontecendo no meio. 

"No front-end, os bancos implementaram nomes de usuário e senhas, e senhas de uso único (OTP). No back-end, eles implementaram sistemas de detecção de fraude que analisam a transação para determinar se ela deve ser aprovada ou rejeitada", disse Mattei.

A peça central que falta é o monitoramento de riscos contínuo durante toda a sessão bancária, do login ao logout. Só porque um usuário realizou o login com sucesso, não significa que é o usuário de verdade que está interagindo com a conta. Confiar nesse evento específico não é o bastante hoje em dia. Bancos e outras instituições financeiras precisam monitorar continuamente.   

Outra vulnerabilidade que os bancos precisam abordar é a autenticação baseada em conhecimento (KBA). Essa estratégia básica de autenticação se refere a perguntas de segurança como: "Quem foi sua professora da primeira série? Quem é seu ator favorito? Qual era o seu último número de celular?" Publicações em redes sociais muitas vezes pedem que as pessoas forneçam esse tipo de informação voluntariamente, e elas fazem isso livremente, sem perceber que golpistas estão por trás dessas publicações e anotando as respostas para assumir o controle de suas contas.

Mattei recomenda que os bancos pensem no que podem fazer agora para garantir que seus sistemas de prevenção de fraudes consigam lidar com ameaças futuras. Isso inclui olhar além do setor bancário para ver o que outras empresas on-line estão fazendo. Fintechs, plataformas de criptomoedas, comércios eletrônicos e outros comerciantes digitais estão inovando nessa área. Muitos estão buscando protocolos de autenticação modernos, como a autenticação multifatores e hubs de orquestração devido aos ataques violentos de vazamento de dados, roubo de identidade, golpes de phishing, malware e incidentes de roubo de contas.   

Hubs de orquestração são o caminho para o futuro

Recentemente, especialistas em segurança têm considerado hubs de orquestração para prevenção de fraudes e autenticaçãohubs de orquestração para prevenção de fraudes e autenticação muito promissores. Os hubs de orquestração monitoram todo o perfil de risco da transação desde o início da sessão bancária e até o fim. Esse monitoramento contínuo geralmente acontece em plano de fundo, para que o cliente não seja incomodado. Por exemplo, um hub de orquestração com um sistema de prevenção de fraudes avançado central pode utilizar inteligência artificial e aprendizagem de máquina para avaliar se o comportamento de um usuário está alinhado com o que se espera de uma pessoa real que realiza uma transação legítima. Se os sinais de risco da transação dispararem os alarmes, a identidade digital do cliente pode ser confirmada com uma nova autenticação e um segundo fator, garantindo o acesso seguro ao aplicativo. 

A orquestração, uma autenticação de confiança e o monitoramento de fraudes em tempo real são ideais para melhorar a segurança de serviços bancários digitais sem afetar a experiência do cliente. Hubs que unem essas funcionalidades permitem que os bancos compartilhem informações internamente entre suas equipes, com menos intervenção e monitoramento manuais. Imagine ferramentas automatizadas usadas em diferentes departamentos, comunicando-se entre si para identificar as fraudes, independentemente de onde na empresa ela foi detectada pela primeira vez.

As várias ferramentas utilizadas nessa área incluem tecnologias ativas e passivas. Exemplos de ferramentas passivas, chamadas por Mattei de "livres de atrito", são as impressões digitais do dispositivo, biométrica comportamental, rastreio de IP/geolocalização, detecção de bots e detecção de preenchimento de credenciais. 

Na categoria de ferramentas ativas, que Mattei chama de "atrito adequado", inclui-se:

Superando a relutância a investir em métodos de autenticação avançada

As instituições financeiras tendem a ser avessas a riscos e presumir que seus clientes também são. Então, a preocupação é que se deixarem de usar os métodos de autenticação antigos, como senhas, e passarem a usar as soluções modernas de autenticação, como a autenticação multifatores (MFA) ou até mesmo de dois fatores, os clientes procurarão outro prestador de serviços. Mas a história mostra que os clientes não são tão resistentes a mudanças quanto os bancos pensam. Por exemplo, quando as restrições pela COVID forçaram as pessoas a usarem os serviços bancários digitais, a adesão foi rápida e ampla. Agora que estão acostumados a serviços bancários digitais, muitos consumidores continuarão os utilizando. 

O segredo é garantir que os usuários possam utilizar os serviços bancários digitais de forma fácil, segura e que os deixe à vontade. A autenticação biométrica oferece o melhor dos dois mundos para melhorar a segurança e otimizar a experiência do cliente. Especificamente, a leitura de impressões digitais e reconhecimento facial em muitos celulares (incluindo o TouchID e FaceID no Apple iOS) permite que as pessoas acessem aplicativos móveis de bancos sem a necessidade de senhas. Além disso, clientes que utilizam a biometria para acessar seus aplicativos bancários tendem a considerar esses aplicativos mais seguros por utilizarem a biometria.

Ainda assim, apesar da necessidade urgente de medidas mais rigorosas de segurança cibernética, conforme as fraudes on-line aumentam junto dos serviços bancários on-line, elas nem sempre são uma prioridade a nível empresarial. Isso acontece devido a vários motivos, incluindo orçamento e falta de recursos. O segredo é encontrar o equilíbrio adequado entre um nível aceitável de risco de fraudes ou perdas por fraudes para o banco. Desde que as perdas não superem o custo de implementação de métodos de autenticação mais robustos, a mudança parece não trazer benefícios.  

A boa notícia é que pesquisas mostram que, quando a modernização da autenticação é vinculada à experiência do cliente, esses projetos têm uma chance muito maior de ser financiados.

"Se você trouxer novas ferramentas que melhorem a experiência em nome de seus clientes, é bem provável que a linha de negócios se junte a você para que essas iniciativas avancem", explicou Mattei. 

Melhorando a experiência do cliente

Caso de uso da autenticação avançada: a conclusão

A ameaça de golpistas obterem acesso às contas bancárias das pessoas é real. Bancos e outras instituições financeiras precisam começar a pensar em modernizar suas práticas de autenticação, observando a autenticação sem senha possibilidade pelos hubs de orquestração. Isso permitirá que eles autentiquem sem causar atritos desnecessários e, em situações de alto risco, apliquem a autenticação com o atrito adequado.  

Algumas ferramentas de segurança conseguem combater fraudes melhor do que outras. Empresas que apresentam o maior sucesso com o tempo são as que realizam investimentos a longo prazo para não só implementar ferramentas de segurança, mas também continuar otimizando suas funcionalidades conforme os golpistas continuam se adaptando. As ferramentas devem evoluir com o ambiente de segurança em constante mudança, assim como os fornecedores que oferecem ferramentas e serviços de segurança. Não existe uma única ferramenta que resolverá todas as necessidades de segurança digital de um banco, então, em vez de se concentrar apenas na prevenção, a questão é entender as necessidades do cliente e a experiência do usuário que ele quer.  

A OneSpan pode ajudar você a chegar lá. Nossa solução de Autenticação inteligente adaptável faz com que seja fácil acabar totalmente com senhas e utilizar a autenticação segura do cliente (SCA) em vez disso. Para saber mais sobre como otimizar seus processos de autenticação, recomendamos estes recursos:

Análise de risco para prevenção de fraude: principais casos de uso em bancos
Relatório branco

Análise de risco para prevenção de fraudes: Principais casos de uso no setor bancário

Para ajudar executivos bancários a entender melhor o valor de um sistema de análise de riscos com aprendizado de máquina, este white paper explica o monitoramento contínuo de fraudes e a avaliação dinâmica de riscos no contexto dos principais casos de uso no setor bancário.

Faça o download agora

Sam é gerente sênior de marketing de produto responsável pelo portfólio de segurança de aplicativos móveis OneSpan e tem quase 10 anos de experiência em segurança da informação.