Vídeo

Por que os ataques à aquisição de contas são a maior ameaça dos bancos

Greg Hancell, especialista em fraudes da OneSpan, fala com a Finextra TV sobre como os bancos podem impedir fraudes de aquisição de contas

Ícone de vídeo

Greg Hancell, gerente de consultoria global da OneSpan, fala com a Finextra TV sobre por que os ataques de aquisição de contas são um dos maiores desafios enfrentados pelas instituições financeiras e como eles podem melhorar a detecção e mitigação desses tipos de ataques.

Assista à entrevista na íntegra ou leia a transcrição abaixo.  

Hannah Wallace: Olá Greg, muito obrigado por se juntar a nós hoje.

Greg Hancell: Obrigado Hannah, é um prazer estar aqui.

Hannah: Quais são alguns dos principais desafios das instituições financeiras em relação à fraude?

Greg: O principal desafio que acredito que temos é a fraude de controle de contas. A razão para isso é que, na verdade, está aumentando ano a ano. De 2017 a 2018, houve um aumento de 162%, de acordo com novos dados, e esperamos que ele aumente novamente.

Você pode perguntar, por que está aumentando tanto? No passado, se você desejava obter ou roubar maliciosamente os detalhes de alguém, pode ser necessário executar tarefas manuais, como reconhecimento, ficar na rua ou roubar a carteira. Seria uma tarefa muito manual e levaria algum tempo. Considerando que agora, você pode executar um ataque de phishing, enviando um email ou incluindo malware que pode infectar o dispositivo e obter os dados. Se for um ataque de phishing, eles poderão clicar em um link e fornecer sua identidade e credenciais. A aquisição de contas está aumentando porque a maneira como os agentes mal-intencionados podem chegar a informações pessoais é muito mais rápida agora e a maneira como eles podem usar esses dados também pode ser automatizada.

No ano passado e no ano anterior, cerca de 3,2 bilhões de registros de dados pessoais foram comprometidos. Nossa identidade não é nossa e existem atores maliciosos que executam o crime como um serviço e vendem identidades online. Se você é um invasor, pode facilmente obter informações pessoais e executar um ataque de aquisição de conta.

A aquisição da conta não pára por aí. Se pensarmos em como isso pode se propagar - se você é um cliente, a aquisição da conta pode resultar na criação de um novo beneficiário ou no aplicativo de um novo produto, ou pode haver uma aquisição completa da conta na qual eles realmente removeriam seu dispositivo e bloqueá-lo e / ou comprometer potencialmente o endereço de e-mail de recuperação e os números de telefone. As instituições financeiras precisam pensar não apenas sobre o risco dos dados de um cliente (nome de usuário e senha), mas também sobre o processo de recuperação usado. Para mim, a aquisição de contas é um grande problema para instituições financeiras.

Hannah: Como as instituições financeiras estão melhorando na detecção e mitigação de ataques de fraude de controle de contas?

Greg: Acredito que precisamos refletir e pensar sobre o que é confiança e como as instituições financeiras pensam sobre usuários, dados e dispositivos. O que precisamos considerar é que a confiança não é estática, é dinâmica. Está sempre mudando.

No passado, a maneira como autenticaríamos os usuários poderia ser durante o login ou uma transação. Considerando que agora, temos uma abundância de dados porque os usuários acessam suas contas pela web ou pelo banco móvel, e há eventos que são transmitidos constantemente para as instituições financeiras à medida que o usuário avança na jornada do usuário. Esse movimento para o banco digital se presta bem ao monitoramento contínuo, à capacidade de monitorar todos os eventos que estão ocorrendo - não apenas o login e a transação, mas também a solicitação de um saldo ou a criação de um novo beneficiário e / ou a criação de um usuário ou mudança de usuários.

Também precisamos pensar na sessão, porque pode não ser apenas um dispositivo usado para efetuar login e autenticar. Um usuário pode fazer login a partir de um dispositivo da Web e depois autenticar a partir de um dispositivo móvel. O risco nos dois dispositivos é diferente, mas a sessão é a mesma, portanto, é necessário unificar e algo precisa determinar como o risco para esses dois dispositivos e como ele se correlaciona com esse comportamento.

O comportamento é um ponto importante e que se presta ao aprendizado de máquina. As instituições financeiras precisam ser capazes de responder:

  • Qual é o comportamento normal do usuário?
  • Como eles interagem com os dispositivos em termos de digitação, furto, arraste e velocidade nas páginas?
  • Como eles interagem com as sessões?
  • Quando eles estabelecem uma sessão na web ou uma sessão de banco móvel?
  • Como eles se movem nessas páginas?
  • Quais páginas eles visitam, em que ordem?

Ao fazer essas perguntas, o aprendizado de máquina pode determinar a velocidade de um usuário e seu comportamento e, em seguida, contrastar muito rapidamente com um bot, por exemplo. O aprendizado de máquina também pode analisar o comportamento em termos de gasto.

Este é um grande desafio para os bancos. Eles geralmente têm muitas soluções de fraude, mas há uma lacuna em termos de risco do produto no banco digital e no banco móvel. Agora, muitas instituições financeiras procuram trazer uma solução que faça monitoramento contínuo em suas sessões na web, mas também há uma escassez de especialistas em todo o mundo. Eu acho que é estimado que até 2021 haverá uma escassez de 1,1 milhão de especialistas em crimes cibernéticos financeiros. As instituições financeiras estão passando por um processo de conhecimento no qual estão obtendo informações sobre indicadores de comprometimento em sessões na Web, bem como a evolução do processo.

Hannah: Como os reguladores estão lidando com esses problemas?

Greg: Os reguladores realmente estiveram presentes nos últimos anos. Vemos isso principalmente com a Diretiva de serviços de pagamento 2 (PSD2) e o RGPD. Com a Diretiva Serviços de Pagamento 2, o que os reguladores estão fazendo é realmente desafiador - O que é uma autenticação forte do cliente? Um usuário que se autentica com uma senha de uso único, na minha opinião, não é necessariamente suficiente. A Diretiva Serviços de Pagamento 2 também faz referência a isso e explica que é necessário que haja um vínculo dinâmico de volta. Isso traz contexto. As instituições financeiras precisam perguntar:

  • Por que alguém está se autenticando?
  • No que eles estão se autenticando?

A assinatura ou a senha de uso único podem ser derivadas do contexto (por exemplo, o beneficiário, valores e data.) Usando esse método, os usuários não estão simplesmente acessando a senha de uso único que desconhecem. É derivado de seus dados, para que eles tenham contexto e também a instituição financeira também tenha contexto.

Além disso, também é necessário aplicar a identificação de malware no processo de autenticação. Portanto, os bancos ou as instituições financeiras procuram identificar malware, e isso é um grande desafio. Se pensarmos em ataques de phishing, os ataques de phishing são relativamente simples de identificar porque o usuário final não tem uma sessão com o banco. Em um cenário de malware, na verdade, o dispositivo do usuário final está sendo usado. Portanto, nesse sentido, os reguladores estão impulsionando outra inovação em direção ao aprendizado de máquina, porque, em última análise, as regras não identificam malware. Então, na verdade, você precisa coletar muitos pontos de dados, perfil e entender:

  • É um usuário?
  • É um bot que está interagindo nessa sessão e nesse dispositivo?
  • Em que velocidade eles estão?
  • Existem outros indicadores de compromisso que possam ser identificados?

O GDPR também está mudando a maneira como pensamos sobre privacidade e dados. No passado, diríamos que as PII seriam algo relacionado a mim como pessoa, mas a realidade agora é que, devido à capacidade de identificar pessoas de seus dispositivos e de seus locais, os dados de dispositivos e locais agora estão sendo desafiados e classificados como PII também. Isso influencia como você pode coletar informações em torno do dispositivo, como você pode coletar informações em torno do IP e como isso pode se relacionar com o usuário. Por fim, isso está gerando uma alteração de segurança no que os aplicativos estão fazendo com esses dados. Agora, os aplicativos estão aplicando criptografia desde o início - criptografando seus bancos de dados e garantindo que esse tipo de dados não possa ser obtido, detectado ou recebido no meio. Então, sim, acho que os reguladores também estão tendo um grande impacto na prevenção de fraudes de controle de contas.