OneSpan Blog

Os maiores esquemas de fraude de sequestro de conta e como se proteger contra eles

Autenticação
Magdalena Rut, 28 de Março de 2019
Top Account Takeover Fraud and How to Protect Against Them

Em uma pesquisa do setor pelo Aite Group, 89% dos executivos de instituições financeiras (FI) apontaram a fraude de controle de contas (fraude da ATO) como a causa mais comum de perdas no canal digital 1 .

A fraude de controle de contas é um tipo de crime de roubo de identidade em que os criminosos obtêm acesso aos dados financeiros da vítima para obter lucro. Está relacionado a, mas difere de outro tipo de roubo de identidade chamado fraude de identidade sintética. Em um cenário de aquisição de conta, um criminoso usa dados roubados ou informações de identificação pessoal (PII) de um cliente legítimo para acessar sua conta existente. Com a fraude de identidade sintética, no entanto, esses dados serão entrelaçados com detalhes fabricados para criar uma identidade falsa usada para abrir uma nova conta.

Ambos os tipos de fraude podem causar sérios danos aos seus clientes. Nesta postagem do blog, focaremos na fraude de controle de contas, descrevendo algumas das estratégias mais perigosas de controle de contas e explorar como, aplicando uma abordagem em camadas, as instituições financeiras podem detectar e proteger contra esse tipo de fraude.

Técnicas de fraude de controle de contas

Violações de dados

Alguns ataques de sequestro de conta começam com os fraudadores coletando dados pessoais. Isso pode acontecer antes de uma transação fraudulenta acontecer. Pessoas de más intenções simplesmente compram dados pessoais vazados como parte de uma violação de dados prévia. As violações mais recentes a grandes corporações expuseram bilhões de nomes de usuários, endereços de e-mail, senhas, números de cartão de crédito e números de seguridade social. 

Com esses dados vazados, cibercriminosos podem preparar campanhas de phishing orientadas. Eles também podem obter acesso não autorizado a contas usando um ataque automatizado (ou, em caso de fraudadores menos experientes, inserindo manualmente combinações de credenciais). Se os mecanismos de autenticação de uma IF confiarem em medidas de segurança fracas, como senhas estáticas, os criminosos usarão uma técnica conhecida como preenchimento de credenciais. O preenchimento de credenciais ocorre quando um exército de bots verifica uma lista de credenciais roubadas e os contrasta com uma lista de sites da web procurando por correspondências. Se o processo de autenticação incluir autenticação multifator (por exemplo, impressão digital e senha de uso único), obter acesso não autorizado a uma conta exigirá mais esforço.

Phishing

Os ataques de phishing são uma forma de engenharia social que aproveita certas qualidades humanas, criando um senso de urgência ou explorando nossa confiança em instituições estabelecidas. Um email de phishing, por exemplo, pode se parecer exatamente com uma comunicação válida da instituição financeira do destinatário, alertando o usuário de que sua conta está em risco. Também pode conter itens disfarçados como um documento do banco ou incluir outras informações de um email legítimo, como logotipos, assinaturas de email e nomes reais de funcionários.

Nesse cenário, clicar no link do email redirecionaria o usuário para um site falso que parece idêntico ao site do banco. A partir daí, a página da web levaria o usuário a divulgar suas credenciais. Como alternativa, a abertura de um anexo de email pode instalar um malware no dispositivo que interceptará suas credenciais bancárias na próxima vez em que forem inseridos no site legítimo do banco. Por fim, o email de phishing pode solicitar ao usuário que ligue para um número solicitado. Do outro lado do telefone, haverá um fraudador bem treinado que se fará passar por um representante do banco.

O phishing tem muitas faces, incluindo:

  1. Spear phishing: uma tentativa de phishing direcionada a um indivíduo ou grupo específico.
     
  2. Baleia: Um ataque que visa um indivíduo de alto nível.
     
  3. Vishing ou "phishing de voz": um golpe de phishing por telefone. 
     
  4. Smishing: mensagens de texto que podem incluir um link para um portal bancário falso ou um golpe baseado em mensageiro. 

SIM Swap Attacks

As operadoras de telefonia móvel oferecem um serviço legítimo para trocar o cartão SIM do usuário. Freqüentemente, os clientes aproveitam esse serviço quando mudam para um novo dispositivo que não oferece mais suporte ao cartão SIM anterior. Os fraudadores podem abusar deste serviço. Eles usam técnicas de engenharia social para desativar o cartão SIM da vítima e obter um novo cartão com o número de telefone e os dados do usuário. Dessa maneira, o fraudador pode direcionar soluções bancárias que usam telefones celulares no fluxo de autenticação. Por exemplo, se o registro de um aplicativo bancário móvel acontecer pelo canal SMS, a troca do SIM poderá permitir que os fraudadores ativem esse aplicativo no telefone. Além disso, se o mecanismo de autenticação do banco incluir mensagens de texto como forma de entregar senhas únicas, assumir o número da vítima é uma maneira atraente de os criminosos autenticarem transações fraudulentas ou realizarem outras operações dentro da sessão bancária.

Malware

Outra forma de tomar o controle de uma conta de banco é por meio do malware. Esse tipo de software malicioso pode ser instalado no computador ou no dispositivo móvel da vítima por meio de uma grande variedade de ações do usuário. Isso inclui a visita a sites da web de risco, abertura de anexos em e-mails de phishing, ou download de aplicativos para dispositivos móveis vindo de fontes não confiáveis. Eles também podem vir associados a outros programas (por exemplo, se fazendo parecer com uma atualização do Flash Player). Programas de malware podem realizar tipos diferentes de ataques. Alguns instalarão arquivos de configuração no computador infectado para redirecionar a vítima a um site da web malicioso. Alguns, chamados key loggers, interceptam tudo o que a vítima digita, incluindo suas credenciais bancárias. Outros podem infectar um navegador da web instalando-se como um add-on. Conhecido como um ataque Man-in-the-Browser, eles são capazes de interceptar credenciais ou modificar detalhes de transações ou outros dados. 

Os cavalos de Troia de mobile banking são uma ameaça que vem crescendo em número e complexidade, atingindo uma alta histórica no ano passado . Uma das funcionalidades do Trojan de banking para dispositivos móveis é um ataque de sobreposição. Em um ataque de sobreposição, um malware cria uma camada adicional sobre a interface do usuário no dispositivo móvel. Essa camada adicional é na verdade uma janela que cobre o aplicativo bancário legítimo e imita seu design. Depois de detectar que o aplicativo bancário está em execução, ele será ativado, empurrará o aplicativo direcionado para segundo plano e exibirá sua própria interface de login. Uma vítima inconsciente passará pelo processo de autenticação e o malware coletará as credenciais do usuário.

Trojans bancários móveis podem causar danos ainda maiores. O malware pode permanecer ativo e modificar os dados enquanto a vítima realiza outras ações dentro da sessão bancária. Por exemplo, um Trojan bancário pode interceptar uma transferência de fundos e redirecionar o dinheiro para uma conta fraudulenta. Se você quiser ler mais sobre esse ataque, consulte nosso blog, " Protegendo contra o malware bancário do BankBot Android usando o RASP . ”

Homem no meio

Nesse tipo de ataque, os fraudadores se posicionam entre o FI e o usuário para interceptar, editar, enviar e receber comunicações sem levantar suspeitas. Assumindo o canal de comunicação 
entre o dispositivo do usuário e o servidor, é possível configurar uma rede Wi-Fi maliciosa como um ponto de acesso público (conhecido como ponto de acesso não autorizado). Através desse ponto de acesso, um fraudador pode interceptar todos os dados que a vítima envia e recebe. 

Os ataques do tipo man-in-the-middle também podem afetar o canal bancário móvel. As pessoas aproveitam os hotspots públicos, sem perceber que podem estar transferindo seus dados de pagamento através de uma rede controlada por um ator ruim. Obviamente, os aplicativos de mobile banking devem aplicar certas medidas de segurança ao se comunicar com um servidor. No entanto, um design incorreto pode deixar um aplicativo vulnerável. A configuração incorreta ou a falta de um canal seguro para dados em trânsito pelo dispositivo móvel também aumentam o risco desse tipo de ataque.

Fraude de sequestro de conta: como proteger seu negócio e seus clientes
WHITE PAPER

Fraude de sequestro de conta: como proteger seu negócio e seus clientes

Fornecendo um detalhamento das principais técnicas de fraude de controle de contas, este eBook cobre a abordagem de segurança em várias camadas necessária para proteger as contas de seus clientes.

Interromper a aquisição da conta

Proteção multicamada contra fraudes de controle de contas

Sem um conjunto sólido de medidas de segurança, um ataque de controle de contas pode passar despercebido por semanas ou meses, especialmente se os fraudadores conseguirem redirecionar toda a comunicação bancária da vítima para seus canais digitais. Às vezes, a vítima só identifica o ataque quando notar uma atividade estranha no extrato da conta.

Apesar das contramedidas adotadas pelos bancos, como a educação do cliente, muitos usuários ainda caem na armadilha. Uma abordagem de segurança em várias camadas é a melhor maneira de minimizar o risco de os clientes de uma FI serem vítimas de fraude de controle de aquisições. Essa abordagem reúne várias soluções que protegem as operações bancárias e os clientes sem nenhum efeito negativo na experiência do usuário.

Prevenção - Protegendo o usuário e o aplicativo

Com os cenários de ataque aumentando em variedade e complexidade, é importante que as instituições financeiras ofereçam soluções que ajudem seus clientes a evitar confusão, minimizando o risco de interação com um fraudador. Um sistema de prevenção de fraudes deve combinar recursos que protegem ambos usuários e seus dispositivos .

Protegendo o usuário

OneSpan's Cronto ® O recurso visual de assinatura de transações ajuda a proteger os usuários contra engenharia social, ataques do tipo intermediário e, posteriormente, de se tornarem vítimas de fraude de controle de contas.

Cronto

A solução de assinatura de transações Cronto da OneSpan cria uma assinatura de transação exclusiva para cada transação usando dados como números de conta, valor da transação e carimbo de data / hora.

Cronto limita a possibilidade de modificar o conteúdo da transação que está sendo assinada, porque o código visual gerado está diretamente conectado à própria transação financeira. Qualquer alteração nesses detalhes invalidará o código. Os detalhes da transação são claramente visíveis para o usuário durante a autorização de uma transação, evitando o cenário Man-in-the-Middle. Além disso, nenhuma parte fraudulenta é capaz de adulterar a criação de um código Cronto. Esse código só pode ser gerado com o envolvimento do banco, com base exatamente nos detalhes da transação solicitada pelo usuário.

Protegendo o aplicativo e o canal de comunicação

Um aplicativo móvel pode fazer parte do processo de autenticação no banco on-line. Também pode constituir um canal bancário móvel separado - atualmente uma das principais prioridades para as instituições financeiras, mas também um vetor de ataque muito valioso para fraudadores. Os dispositivos móveis podem se tornar uma vulnerabilidade na jornada digital do cliente, mas com os controles de segurança adequados, eles podem realmente se tornar um ativo que contribui para uma experiência segura do usuário.

Com Segurança móvel do OneSpan Os FIs podem obter visibilidade do risco do canal móvel e ajudar a mitigar a fraude. A solução ajuda a estabelecer confiança e aplica uma abordagem abrangente à segurança móvel, levando em consideração: o aplicativo, dispositivo, interface, comunicação, armazenamento e usuários. Ele pode detectar vulnerabilidades no dispositivo do usuário e aplicar medidas de segurança definidas com precisão. Com proteção de aplicativos e proteção de tempo de execução, ajuda a bloquear ataques de sobreposição, key loggers e outras tecnologias maliciosas de roubar ou modificar dados do usuário. Por exemplo, o OneSpan App Shielding possui um mecanismo interno para detectar como o aplicativo foi colocado no estado de segundo plano, o que, junto com outros critérios, pode ajudar a determinar se o usuário é vítima de um ataque de sobreposição.

Detecção proativa de fraudes em todos os canais digitais

As instituições financeiras precisam da capacidade de detectar proativamente sinais de aquisição de uma conta antes que seus clientes sejam afetados. Existem sinais nos dados do usuário, dispositivo e transacionais que podem fornecer indicadores de que os clientes estão sendo atacados. Uma visão geral de todas as ações do cliente também pode ajudar a detectar combinações suspeitas de eventos. Por exemplo, se vários usuários solicitarem uma alteração de senha repentinamente ou se houver um acúmulo de tentativas malsucedidas de login, isso pode ser um indicador de aquisição de conta.

Análise de risco OneSpan pode ajudar. A Risk Analytics pontua todas as ações e todos os usuários em todos os canais digitais. Ele reúne conhecimento sobre todas as ações antes, durante e após a sessão bancária para criar uma visão geral completa da situação. Ele utiliza um mecanismo de análise de risco que aproveita o aprendizado de máquina para analisar centenas de pontos de dados, detectar anomalias no comportamento do usuário e recomendar requisitos de autenticação com base em pontuações de risco altamente precisas. Por fim, ele pode ajudar a evitar vários cenários de aquisição de contas, como criação não autorizada de novos beneficiários, novas alterações no perfil da conta e transferências de fundos.  

Autenticação adaptativa inteligente - melhore a experiência do cliente e reforce a segurança

OneSpan's Autenticação adaptativa inteligente A solução (IAA) fornece o nível preciso de segurança no momento certo para cada transação, com base na análise de risco em tempo real dos dados do usuário, dispositivo e transação. Cada jornada de autenticação é diferente. Por isso, a solução avalia todas as ações de usuário caso a caso para determinar o(s) método(s) de autenticação mais adequado(s) com base no nível de risco. A personalização do fluxo de autenticação para cada transação exclusiva torna mais difícil para os fraudadores prever e planejar seus ataques. Essa imprevisibilidade frustra a tentativa dos fraudadores de obter lucro rápido com o mínimo de esforço.

Olhando para o futuro da fraude de controle de contas

A fraude de aquisição de conta continuará a crescer e crescer mais rapidamente. É uma fonte de lucro relativamente fácil para os maus atores que continuarão a explorar todas as fraquezas disponíveis no sistema bancário financeiro. No entanto, uma abordagem de segurança moderna e de várias camadas pode contribuir significativamente para mitigar os ataques que levam à aquisição de contas. As soluções que protegem o usuário, o dispositivo, o aplicativo e o canal de comunicação, combinadas com um mecanismo abrangente de análise de risco e uma estrutura de autenticação inteligente, são essenciais para avançar na luta contra a fraude de controle de contas.

1 Mitigação de fraudes de canais digitais: evoluindo para o Mobile-First, Aite Group LLC, https://www.onespan.com/resources/digital-channel-fraud-mitigation-evolving-to-mobile-first

sequestro de conta CRONTO fraude Autenticação Adaptativa Inteligente phishing análise de risco
Magdalena Rut photo
Magdalena Rut

Magdalena ingressou na OneSpan como redatora de conteúdo e consultora interna com 17 anos de experiência. Ela está interessada em tecnologia de nuvem e na evolução da IA. Ela se formou na SciencesPo e na Escola de Economia de Varsóvia.

Ir para o topo