O que é fraude de aquisição de conta (ATO)?
A fraude de controle de conta (ATO) ocorre quando um cibercriminoso obtém acesso às credenciais de login da vítima para roubar fundos ou informações. Os fraudadores invadem digitalmente uma conta de banco financeiro para controlá-la e têm uma variedade de técnicas à disposição para fazer isso, como phishing, malware e ataques man-in-the-middle, entre outros. ATO é uma das principais ameaças às instituições financeiras e seus clientes devido às perdas financeiras e aos esforços de mitigação envolvidos.
Os fraudadores podem assumir o controle de contas existentes, como banco, cartão de crédito e comércio eletrônico. Algumas invasões de conta começam com fraudadores coletando informações pessoais de violações de dados ou comprando-as na Dark Web. As informações pessoais como endereços de e-mail, senhas, números de cartão de crédito e números de previdência social coletados são valiosas para ladrões cibernéticos para ganho financeiro. Quando um ataque de tomada de conta é bem-sucedido, pode levar a transações fraudulentas, fraude de cartão de crédito e compras não autorizadas de contas de clientes comprometidas. A apropriação de conta é frequentemente referida como uma forma de roubo de identidade ou fraude de identidade, mas antes de mais nada é roubo de credencial porque envolve o roubo de informações de login, o que permite ao criminoso roubar para obter ganhos financeiros. A fraude de aquisição de conta está em constante evolução e é uma ameaça constante que surge em diferentes formas. Um ataque de controle de conta bem-sucedido leva a transações fraudulentas e compras não autorizadas das contas financeiras comprometidas da vítima.
Os fraudadores tentam passar despercebidos na ATO
Em um cenário de controle de conta bem-sucedido, os fraudadores tentam evitar qualquer atividade incomum que comprometa as contas. Em vez disso, eles geralmente tentam alterar as informações da conta, a senha e até mesmo as notificações para que o proprietário legítimo não fique ciente das atividades ilícitas que acontecem em sua conta. Os perpetradores costumam roubar dinheiro de uma conta bancária fazendo um pagamento a uma empresa fraudulenta ou transferindo fundos para outra conta. Os fraudadores também podem solicitar um novo cartão de crédito, uma nova conta ou outro produto financeiro. Além desses tipos de ações, eles têm o poder de realizar qualquer número de transações não autorizadas que causem prejuízos financeiros.
Os ladrões também podem obter números de contas de várias maneiras, incluindo hacking online, roubo de correspondência, levantamento de carteiras e caixas eletrônicos e skimmers de cartão. No entanto, existem alguns sinais de fraude de aquisição de conta. Se vários usuários solicitarem repentinamente uma mudança de senha ou se houver um acúmulo de tentativas de login malsucedidas, isso pode ser um indicador de fraude de controle de conta. Depois que o titular do cartão descobre o ATO, o comerciante pode esperar uma série de estornos e disputas de transações do cliente. Quando as tentativas de tomada de conta são bem-sucedidas, elas podem prejudicar o relacionamento entre o titular da conta e a instituição financeira, além de prejudicar a marca do banco. Por exemplo, se diversos usuários, de repente, solicitarem uma mudança de senha, ou se houver um acúmulo de tentativas de acesso sem êxito, isso pode ser um indicativo de um sequestro de conta.
eBook
Account Takeover Fraud: How to Protect Your Customers and Business
Help prevent account takeover fraud and secure customers at every stage of their digital journeys.
Download Now
Métodos usados em fraude de aquisição de conta
Phishing:
As pessoas continuam sendo o elo de segurança mais fraco por causa de sua tendência natural de confiar, o que é essencial para ataques de engenharia social bem-sucedidos. Os golpes de phishing falsificam a identidade de marcas e indivíduos conhecidos e confiáveis. Eles parecem ser legítimos e podem pedir doações com apelos emocionais que persuadem os usuários a clicar em links que os redirecionam para um portal bancário falso ou a abrir um anexo que instala um malware que coleta credenciais. A forma mais comum de phishing é o e-mail, mas mensagens de texto (SMS) e serviços de mensagens de mídia social também podem ser usados. No caso de usuários móveis, eles nem precisam baixar um anexo. Um link dentro de um SMS pode direcionar o usuário a uma página da web que instala automaticamente o malware em seu dispositivo.
Recheio de credenciais:
Os fraudadores geralmente compram uma lista de credenciais roubadas da Dark Web. Isso pode incluir, entre outros tipos de dados, endereços de e-mail e as senhas correspondentes, geralmente de uma violação de dados. Ataques de enchimento de credenciais geralmente envolvem bots que usam scripts automatizados para tentar acessar uma conta. Essas informações também podem ser usadas para obter acesso não autorizado a várias contas com base na suposição de que muitas pessoas reutilizam os mesmos nomes de usuário e senhas continuamente. No entanto, se o processo de autenticação da instituição financeira envolver autenticação multifator, como impressão digital e senha descartável, obter acesso se tornará mais desafiador. Outro método significativo, conhecido como quebra de credencial, também é conhecido como ataque de “força bruta” porque envolve tentar adivinhar a senha correta da conta, fazendo várias tentativas de login com uma senha diferente a cada vez.
Troca de cartão SIM:
A troca de um cartão SIM é um serviço legítimo oferecido pelas operadoras de telefonia móvel quando um cliente compra um novo dispositivo e o cartão SIM antigo não é mais compatível com ele. Os fraudadores podem abusar desse serviço com um hack relativamente simples. Em um esquema de troca de cartão SIM, um fraudador usa técnicas de engenharia social para transferir o número do celular da vítima para um novo cartão SIM. O fraudador contata a operadora de celular de um cliente e se faz passar pelo cliente, convencendo um agente do call center a transferir o número do telefone celular para o cartão SIM ilegal. Como resultado, o aplicativo de banco do usuário pode ser ativado no telefone do fraudador. Se o mecanismo de autenticação do banco inclui mensagens de texto como meio de entrega de senhas de uso único, então assumir o controle do número da vítima se torna uma forma atraente para um criminoso realizar transações fraudulentas, adicionar beneficiários ou realizar outras operações durante uma sessão bancária.
Malware:
Malware é outra forma de assumir o controle de uma conta bancária, instalando software malicioso ou “malware” no computador ou dispositivo móvel da vítima. Isso é feito baixando aplicativos de fontes não confiáveis, ou pode ser em outros programas; por exemplo, mascarando-se como uma atualização do Flash player. Alguns malwares, chamados de keyloggers, interceptam tudo que o usuário digita, incluindo suas credenciais bancárias.
Trojans de banco móvel:
Uma técnica comum utilizada por cavalos de Troia de banco móvel é um ataque de sobreposição no qual uma tela falsa é colocada em cima de um aplicativo bancário legítimo. O malware então captura as credenciais de autenticação da vítima e pode permanecer ativo enquanto outras transações bancárias são realizadas. Por exemplo, o malware pode modificar dados da transação, interceptando uma transferência de fundos e redirecionando o dinheiro para uma conta fraudulenta. Esses ataques estão destinados a crescer à medida que o uso de smartphones continua a aumentar globalmente.
Ataques man-in-the-middle:
Em um ataque Man-in-the-Middle, os fraudadores se posicionam entre a instituição financeira e o usuário para interceptar, editar, enviar e receber comunicações sem serem notados. Por exemplo, eles podem assumir o canal de comunicação entre o dispositivo do usuário e o servidor do banco, configurando uma rede Wi-Fi maliciosa como um ponto de acesso público em uma cafeteria e dar a ela um nome que soa inócuo, mas legítimo, como “Café Público . ” As pessoas tiram proveito de hotspots públicos, sem perceber que podem estar transferindo seus dados de pagamento por meio de uma rede controlada por um malfeitor. Um ataque man-in-the-middle também pode ocorrer por meio de um aplicativo de banco móvel vulnerável que não é seguro.
Como detectar fraude de controle de conta
ATO pode ser difícil de detectar porque os fraudadores podem se esconder atrás do histórico positivo de um cliente e imitar o comportamento normal de login. O monitoramento contínuo fornece a capacidade de detectar sinais de fraude de controle de conta antes de começar.
Um sistema de detecção de fraude eficaz dará às instituições financeiras visibilidade total da atividade do usuário antes, durante e depois de uma transação. A melhor defesa é um sistema que monitora todas as atividades na conta bancária porque antes que um criminoso possa roubar dinheiro, ele precisa primeiro realizar outras ações, como abrir um novo beneficiário. O monitoramento de todas as ações em uma conta ajudará a identificar padrões de comportamento que indicam a possibilidade de fraude de aquisição de conta. Como os criminosos precisam realizar ações como essa antes de transferir dinheiro de uma conta, um sistema de detecção de fraude com monitoramento contínuo encontrará padrões e pistas para determinar se um cliente pode estar sob ataque.
Este tipo de sistema de detecção de fraude também pode avaliar o risco com base em dados como localização. Por exemplo, se um cliente acessa sua conta pela primeira vez na América do Norte e depois novamente em 10 minutos da Europa, fica claro que isso é suspeito e pode indicar que dois indivíduos diferentes estão usando a mesma conta.
Se houver risco de fraude ATO, o sistema de prevenção de fraude desafiará a pessoa que está fazendo transações na conta com um pedido de autenticação adicional. Isso pode incluir o uso de uma abordagem conhecida como autenticação adaptativa ou autenticação adaptativa inteligente. Ao solicitar um nível mais alto de autenticação antes que a transação seja permitida - como uma biometria de impressão digital ou uma varredura facial -, o banco pode ajudar a prevenir a tomada de conta. Se a autenticação for bem-sucedida, a transação pode prosseguir. No caso de um criminoso, eles não serão capazes de enfrentar o desafio biométrico e o ataque de fraude será interrompido.
Como os bancos podem ajudar a prevenir fraude de aquisição de conta
A autenticação de fator único (por exemplo, senhas estáticas) coloca instituições financeiras e usuários em risco. A primeira linha de defesa é usar autenticação multifator (MFA). Isso pode incluir biometria, como digitalização de impressão digital ou reconhecimento facial , que são difíceis de personificar.
A batalha pelas contas bancárias dos clientes também precisa ser travada com aprendizado de máquina e monitoramento contínuo, ou observando as transações conforme elas acontecem, para ajudar a evitar fraudes de aquisição de conta. A partir do momento em que um cliente acessa uma página da Web de sessão bancária ou abre seu aplicativo de banco móvel, o monitoramento contínuo identifica a jornada online normal de um cliente e as interações com suas contas e dispositivos.
O monitoramento contínuo usando aprendizado de máquina permite que novos comportamentos sejam identificados, o que pode indicar um invasor ou um bot. Os pontos de dados típicos que um sistema de prevenção de fraude analisará incluem: novos dispositivos, cookies, cabeçalhos, referenciadores e locais. Eles podem ser monitorados em tempo real quanto a discrepâncias que não correspondam ao comportamento normal do cliente.
Isso combina perfeitamente com outras camadas de proteção, como autenticação de dois fatores (2FA) e tecnologias que permitem a vinculação dinâmica (também conhecido como assinatura de dados de transação ou autorização de transação). A vinculação dinâmica é um requisito da Diretiva de Serviços de Pagamento Revisada (PSD2) da Europa que garante a existência de um código de autenticação exclusivo para cada transação que é específico para o valor da transação e o destinatário.
A importância da detecção e prevenção de fraudes em tempo real
O aprendizado de máquina é muito eficaz na identificação de ataques emergentes, enquanto as regras de fraude são melhores no combate a fraudes conhecidas. Sem a capacidade de detectar fraudes com precisão em tempo real usando um mecanismo de risco alimentado por aprendizado de máquina, as equipes de fraude lutam para acompanhar a atividade de bots e outras técnicas de fraude de controle de conta sofisticadas e emergentes. Por exemplo, o endereço de e-mail, número de telefone ou endereço residencial de um cliente associado à conta bancária, cartão de crédito, conta de comércio eletrônico ou conta de fidelidade muda repentinamente no sistema do banco. Essa atividade foi uma indicação de roubo de conta ou o cliente pediu as alterações por motivos legítimos? Para parar o ataque, é essencial saber o mais rápido possível. É por isso que a capacidade de detectar fraude de aquisição de conta em tempo real é vital.
O ATO é implacável porque os cenários de ataque estão sempre evoluindo e novas ferramentas são desenvolvidas constantemente para comprar na Dark Web. É aí que a inteligência artificial, combinada com um sistema de detecção de fraude contínua que usa regras de fraude, pode ajudar.
Importância estratégica de um sistema de prevenção de fraude
O cenário de ameaças para fraude de aquisição de conta está em constante expansão devido ao número de métodos que os criminosos podem usar para obter acesso às contas de suas vítimas. Isso torna especialmente desafiador para as instituições financeiras construir um sistema eficiente para impedir todos os cenários de tomada de conta possíveis. No entanto, um sistema de prevenção de fraude que depende de uma combinação de regras antifraude e aprendizado de máquina fornece uma análise de risco em tempo real que é melhor para detectar, mitigar e gerenciar fraudes.