Como interromper ataques de controle de contas com monitoramento contínuo e autenticação multifator adaptável

Sarah Dixon, 14 de Maio de 2020
How to Stop Account Takeover Attacks with Continuous Monitoring and Adaptive Multi-Factor Authentication

Instituições financeiras investem milhões a cada ano para proteger os clientes de golpes e ataques de fraude. Apesar desse investimento, as perdas devido a ataques de fraude continuam a aumentar.

Para proteger os clientes contra fraudes digitais, as instituições financeiras (FIs) normalmente autenticam os usuários no login. Nos EUA, uma pesquisa de 2019 descobriu que 96% das organizações pesquisadas usou alguma forma de nome de usuário e senha para autenticar usuários, além de outros métodos de autenticação, como autenticação baseada em conhecimento (65%) e senhas descartáveis (OPT) (50%). Na Europa, autenticação forte é exigida pelo PSD2.

Entretanto, nomes de usuário, senhas, respostas secretas e até autenticação de dois fatores (2FA), pode estar vulnerável a ataques de acesso não autorizado por meio de phishing, ataques de sobreposição e malware. Em seu artigo sobre como os invasores ignoram o 2FA moderno usando phishing e ferramentas avançadas de imitação de navegador , Ben Balthazar ilustra como os ataques de phishing podem ser modernizados para anular a autenticação de dois fatores no logon, afirmando que "A implementação do 2FA sozinha não oferece proteção completa contra phishing".  

Agora, consumidores e reguladores estão pressionando as instituições financeiras a adotarem métodos de autenticação mais fortes e sem senha para fazer login, a fim de melhorar a segurança da conta e a experiência do usuário. Em uma pesquisa recente da Visa de 1.000 EUA consumidores, 52% alegaram que trocariam de banco se o banco não oferecesse autenticação biométrica no futuro.

Embora métodos de autenticação sem senha, como biometria, possam ajudar a impedir invasores no ponto de acesso, o aprendizado de máquina e o monitoramento contínuo de fraudes podem ajudar os FIs a detectar e impedir ataques de controle de contas, mesmo quando métodos de autenticação seguros como 2FA foram ignorados. Isso pode ser alcançado por meio de segurança intensiva e adaptação adaptativa contextual autenticação multifator (MFA).

O monitoramento contínuo de fraudes também permite que os FIs conheçam o contexto (motivo) por trás de cada solicitação de autenticação. Isso permite que eles determinem não apenas se as credenciais de autenticação estão corretas, mas também se o contexto de cada autenticação solicitada é genuíno ou suspeito. Isso cria barreiras adicionais para fraudadores enquanto protege o usuário.

Estado atual da fraude de aquisição de conta

Em 2020, a Federal Trade Commission (FTC) dos EUA informou que os consumidores americanos sofreram US $ 1,9 bilhão em perdas por fraude em 2019 - um aumento de US $ 293 milhões em relação a 2018. Em um relatório encomendado pela União Européia, analistas estimaram que aproximadamente 24 bilhões de euros de perdas financeiras poderiam ter sido incorridos pela população adulta da UE como resultado de fraudes e fraudes entre 2018-2020.

A fraude de aquisição de conta (ATO) é uma das principais causas de perdas de fraude para bancos e instituições financeiras. No um vídeo de 2019 Julie Conroy, diretora de pesquisa do Aite Group, explica que "a aquisição de contas surge como uma das preocupações número um em praticamente todas as conversas que temos com instituições financeiras, FinTechs e comerciantes de comércio eletrônico".

Greg Hancell, especialista em fraudes da OneSpan, concorda: “A aquisição de contas está aumentando porque a maneira como os agentes mal-intencionados podem obter informações pessoais é muito mais rápida agora. No ano passado e no ano anterior, cerca de 3,2 bilhões de registros de dados pessoais foram comprometidos. Nossa identidade não é nossa. Se você é um invasor, pode facilmente obter informações pessoais e realizar um ataque de aquisição de conta. ”

Uma aquisição de conta ocorre quando a conta bancária de um cliente é 'invadida' digitalmente e acionada por um invasor. Os métodos e esquemas utilizados pelos invasores para obter acesso fraudulento às credenciais da conta de um cliente estão em constante evolução. Isso inclui a obtenção de dados de violações de dados, malware, phishing e outros ataques de engenharia social, como golpes telefônicos ( leia mais sobre esquemas comuns de fraude )

Para o cliente sob ataque, esses ataques podem resultar em pagamentos fraudulentos a novos beneficiários adicionados ou o invasor pode solicitar um novo produto usando as credenciais do cliente. Alguns ataques de controle de contas resultam no bloqueio total do cliente e na alteração ou comprometimento do email e número de telefone de recuperação.

Para as instituições financeiras, o impacto dos ataques de controle de contas pode ir muito além das perdas financeiras. Eles podem levar os clientes a perder a confiança no banco e podem impactar a confiança e o crescimento do consumidor. O tempo e o esforço humano necessários para recuperar, interromper e investigar o ataque também podem ser significativos. 

Como os bancos podem melhorar na detecção e prevenção de ataques de aquisição de conta

Os ataques de aquisição de conta custam bilhões de bancos e seguradoras em pagamentos e compensações aos clientes. Para reduzir essas perdas, as instituições financeiras devem encontrar maneiras de detectar quando um invasor está tentando obter acesso a uma conta e quando um invasor está tentando executar uma ação ou transações fraudulentamente na conta de um cliente. Eles também precisam impedir que isso ocorra.

Em resumo, eles precisam abordar a questão da confiança - quando podem confiar que um usuário genuíno está acessando e usando sua conta e como podem determinar quando um ataque está em andamento? Para resolver esse problema, as instituições financeiras precisam de uma abordagem profundamente inovadora - que permita a coleta e análise de vastos dados entre canais para detectar fraudes em tempo real.

Greg Hancell explica como as instituições financeiras podem detectar fraudes por controle de contas por meio de monitoramento contínuo e aprendizado de máquina:

“No passado, a maneira como autenticaríamos os usuários poderia ser durante o login ou uma transação. Considerando que agora, temos uma abundância de dados porque os usuários acessam suas contas pela web ou pelo banco móvel, e há eventos que são transmitidos constantemente para as instituições financeiras à medida que o usuário avança na jornada do usuário.

Esse movimento para o banco digital se presta bem ao monitoramento contínuo, à capacidade de monitorar todos os eventos que estão ocorrendo - não apenas o login e a transação, mas também a solicitação de um saldo ou a criação de um novo beneficiário e / ou a criação de um usuário ou usuário. usuários em mudança ".

Hancell continua explicando como o monitoramento contínuo e o aprendizado de máquina podem ser usados para analisar o comportamento "normal" do usuário - como a maneira como eles interagem com o dispositivo, como digitam, deslizam e arrastam pela página e como eles normalmente estabelecer e interagir com as sessões. Isso cria um perfil de seu comportamento normal.

O aprendizado de máquina pode então ser usado para contrastar o comportamento normal do usuário contra comportamentos suspeitos, como o comportamento de um bot ou invasor. Quando um comportamento suspeito é detectado, as instituições financeiras podem solicitar autenticação adicional do usuário desafiar o acesso ou as transações que estão ocorrendo. Se o usuário conseguir passar pela barreira de segurança e se autenticar, poderá prosseguir. Se não puderem, o processo é interrompido e a fraude é evitada.

Por que as instituições financeiras precisam fazer da prevenção da ATO uma prioridade

Em março de 2019, um EUA A pesquisa revelou que 90% dos bancos pesquisados não possuíam capacidade de autenticar clientes e aumentar a segurança, dependendo do risco de uma ação ou transação. Os maiores desafios para detectar e prevenir fraudes por meio de autenticação e segurança intensiva foram a dependência excessiva de credenciais como nomes de usuário e senhas. A pesquisa também revelou que 44% dos entrevistados foram desafiados pelo uso de credenciais legítimas expostas em violações de dados e esquemas de engenharia social na autenticação de tentativas de controle de contas.

Credenciais estáticas, como nomes de usuário, endereços de email e respostas secretas, são vulneráveis a ataques, pois os usuários tendem a repetir credenciais em vários sites, perfis de mídia social e contas de inscrição. Depois que um site é comprometido, os atacantes têm acesso às outras contas do usuário. Greg Hancell explica que “os usuários tendem a ter uma única conta de recuperação de ponto de falha (ou seja, uma conta de email). Quando isso for superado, você poderá revisar os e-mails anteriores e realizar a aquisição de contas em todas as contas vinculadas a ele. ”

Julie Conroy explica como nomes de usuário e senhas são vulneráveis a ataques de fraude :

“Os consumidores têm muita preguiça de usar o nome de usuário e as senhas de maneira apropriada, e, por isso, temos várias pesquisas que mostram que a maioria dos consumidores usa o mesmo punhado de nome de usuário e senhas em todos os relacionamentos online. Os bandidos também sabem disso e estão aproveitando a tecnologia para perpetrar e automatizar ataques de preenchimento de credenciais.

Desde o início da pandemia do COVID-19, os atacantes lançaram um afluxo de ataques de phishing projetado para capturar credenciais dos consumidores e outras informações pessoais. Depois que as credenciais são violadas, os atacantes podem automatizar ataques de preenchimento de credenciais para ver em quantas contas de comércio eletrônico ou contas bancárias diferentes as credenciais violadas as envolverão. ”

Autenticar usuários no logon e usar credenciais sozinho não é mais uma opção. Empresa de análise KuppingerCole argumentam que "Apenas exigir um nome de usuário / senha para acessar sistemas bancários on-line ou móveis é grosseiramente insuficiente para a segurança da conta". As instituições financeiras devem monitorar continuamente as ações e o comportamento do usuário para detectar atores suspeitos e desafiar a segurança da instalação quando o risco for detectado.

Banco Comercial Líder Usa Monitoramento de Fraude para Detectar Fraude

Com o aumento dramático de esquemas sofisticados de fraude, um banco comercial líder precisava da capacidade de analisar transações e comportamento do cliente em uma plataforma centralizada de gerenciamento de fraudes. O banco está se voltando para o monitoramento contínuo de fraudes e análises de risco baseadas em aprendizado de máquina para detectar um amplo espectro de fraude, incluindo tentativas de login não autorizadas, transferências suspeitas de dinheiro e muito mais, tudo em tempo real.

Como a tecnologia de autenticação adaptativa inteligente pode impedir a aquisição de contas

Em seu artigo 'Solucionando o problema de prevenção de fraudes de vários bilhões de dólares', o diretor de marketing de produtos da OneSpan, David Vergara, explica como autenticação adaptativa inteligente a tecnologia pode ser usada com monitoramento contínuo e aprendizado de máquina para fornecer o nível preciso de segurança no momento certo para cada transação. A tecnologia usa análise de risco em tempo real para determinar o (s) método (s) de autenticação mais adequado (s) com base no nível de risco.

A personalização do fluxo de autenticação para cada transação exclusiva faz com que os fraudadores tenham maior dificuldade para prever e planejar seus ataques. Essa imprevisibilidade impede a tentativa de um fraudador de adquirir uma conta e obter lucro. À medida que os padrões e circunstâncias contextuais particulares do usuário evoluem, a tecnologia é inteligente o suficiente para reconhecer essas mudanças e se adaptar.

Usados juntos, análise de risco e autenticação adaptativa pode ser destaque eficaz na redução do risco de ataques de controle de contas. A tecnologia foi reconhecida por empresas de análise como KuppingerCole , Gartner, ISMG e a Forrester, como uma tecnologia líder para instituições financeiras que buscam enfrentar os desafios do avanço das estratégias de crimes cibernéticos e da evolução da legislação, protegendo os ativos financeiros.

Violações de dados, ataques de phishing e ATO estão sempre em evolução

A fraude de aquisição de conta é uma das principais causas de perda financeira para instituições financeiras. Em uma pesquisa realizada pelo Aite Group, 89% dos executivos de instituições financeiras apontaram a fraude de aquisição de conta como causa mais comum de perdas no canal digital .

Para diminuir as perdas por fraude devido à aquisição de contas, as instituições financeiras precisam adotar uma tecnologia que aproveite o aprendizado de máquina para monitorar e analisar continuamente o comportamento de cada usuário para detectar atividades suspeitas e aumentar a segurança com um desafio de autenticação quando o risco é detectado.

Como Trace Fooshee, analista sênior do Aite Group conclui em sua pesquisa sobre Tendências de aquisição de conta em 2019 , "Chegou a era dos ataques de ATO em escala industrial, e as apostas para as instituições financeiras permanecerem competitivas na defesa contra o cenário de ameaças em constante evolução estão aumentando".

capa do ebook
eBook

Fraude de sequestro de conta: como proteger seu negócio e seus clientes

Como prevenir a fraude de sequestro de conta e proteger os clientes em cada estágio de sua jornada digital.

Baixar Agora

Sarah é especialista em marketing de tecnologia, com mais de 9 anos de experiência em marketing em empresas de serviços SaaS B2B e de crescimento profissional em serviços financeiros e direito.