Detecção de Fraudes Móveis

O que é a detecção de fraude móvel?

Os ataques de fraude móvel continuam a aumentar à medida que os dispositivos móveis e as aplicações móveis se tornam mais populares. Embora o recente aumento da banca móvel tenha sido amplamente atribuído à COVID-19, o crescimento na utilização de telemóveis deverá continuar. Os fraudadores também vêem a oportunidade com a fraude móvel. Houve um aumento de 173% no número de trojans do serviço bancário móvel para o primeiro trimestre de 2020 e os especialistas do setor relatam um aumento de 37% nos ataques de phishing móvel em todo o mundo no primeiro trimestre de 2020 , ano após ano. Para combater isso, a detecção móvel de fraudes utiliza diferentes tecnologias, como a blindagem de aplicativos móveis e a análise de risco, para ajudar a evitar a tomada de conta e outros tipos de fraude. Diferentes tecnologias são utilizadas nos bastidores para detectar atividades fraudulentas e oferecer proteção contra fraudes aos consumidores sem impactar a experiência do usuário.

Como os dispositivos e aplicações móveis estão a conduzir a fraude móvel

As métricas indicam que os utilizadores móveis confiam cada vez mais nos seus dispositivos para as suas necessidades bancárias. AJuniper Research informa que mais de dois bilhões de usuários móveis em todo o mundo terão usado seus dispositivos para fins bancários até o final de 2021, em comparação com 1,2 bilhões em 2020. Enquanto o canal online ainda enfrenta ameaças, os fraudadores estão investindo mais tempo e dinheiro no ataque ao canal móvel à medida que os consumidores de todo o mundo continuam a gastar com o comércio eletrônico em coisas como aplicativos para jogos, outros desvios e muito mais. De acordo com oStatistica, "Em 2024, estima-se que os consumidores gastarão 55,5 bilhões de dólares americanos em aplicativos móveis da Loja do Google Play. O gasto combinado do usuário na App Store e no Google Play está definido para atingir quase 171 bilhões de dólares americanos até 2024"

Mobile device open to a bank account overview
Blog

How Orange Money Romania Added Risk‑based Authentication to the Mobile Experience

Learn how Orange Money deployed risk-based authentication in the cloud for a stronger fraud prevention and security strategy.

Read More

Detecção de fraude móvel, compreendendo técnicas comuns de fraude móvel

Os atacantes usam uma variedade de técnicas para realizar fraudes móveis. Aqui estão alguns exemplos:

  • Engenharia Reversa: Um mau actor pode reverter uma aplicação para analisar o seu código fonte e partes componentes. O objetivo aqui seria reunir informações que possam ser usadas para desenvolver malware que explora o funcionamento do aplicativo, ou para adulterar o aplicativo. Por exemplo, um atacante pode implantar seu próprio aplicativo malicioso projetado para explorar vulnerabilidades descobertas pela engenharia reversa do aplicativo bancário.
  • Reembalagem: Um ataque de reembalagem começa com uma engenharia reversa de um atacante, inserindo código malicioso no aplicativo e, em seguida, republicando o aplicativo adulterado em mercados não-oficiais. Para um consumidor, parecerá que ele baixou o aplicativo correto e o aplicativo aparecerá para ele como o aplicativo legítimo. No entanto, nos bastidores, o aplicativo falsificado é código que rouba informações pessoais, redireciona fundos ou realiza outras atividades maliciosas.
  • Ataques de Sobreposição: Um ataque de sobreposição consiste em uma tela gerada por um atacante que aparece no topo da interface do usuário da aplicação legítima. Para a vítima insuspeita, aparecerá como uma experiência normal dentro do aplicativo, mas ela estará inserindo suas informações sensíveis, tais como nomes de usuário, senhas, números de cartão de crédito ou outras informações pessoalmente identificáveis, em um formulário controlado pelo agressor. A informação introduzida na janela maliciosa é então enviada directamente para o atacante. A vítima desta fraude não sabe que acabou de entregar as suas informações. Além do sequestro de dados, ataques de sobreposição são usados para engenharia social. Eles podem ser usados para enganar as pessoas na instalação de outros malwares ou na execução de tarefas inseguras em seus dispositivos móveis, como, por exemplo, conceder a um aplicativo malware o controle total do telefone do usuário.
  • Rogue Keyboards: O mercado de aplicativos tem inúmeras aplicações alternativas legítimas de teclado para substituir os teclados nativos instalados em dispositivos móveis. Alguns destes aplicativos de teclado terão vulnerabilidades que os atacantes podem explorar ou alguns dos aplicativos de teclado podem ser desonestos e especificamente projetados para gravar toques de teclas e enviá-los a um atacante.
  • Trojans bancários móveis: Um Trojan bancário móvel parece ser legítimo, mas é um malware escondido que visa especificamente um aplicativo bancário móvel no dispositivo que ele infectou. Uma técnica comum utilizada pelos Trojans de banco móvel é um ataque de overlay em que uma tela falsa é colocada sobre uma aplicação bancária legítima (ver "Ataque de Overlay" acima). O malware captura as credenciais de autenticação da vítima e pode permanecer ativo enquanto outras transações bancárias são realizadas. Por exemplo, o malware pode modificar dados da transação, interceptando uma transferência de fundos e redirecionando o dinheiro para uma conta fraudulenta. Estes ataques estão destinados a crescer à medida que o uso de smartphones continua a aumentar globalmente. O FBIobserva que é melhor ser cauteloso ao baixar aplicativos em smartphones e tablets, já que alguns poderiam ser Trojans bancários.
  • Ataques de Homem no Meio: Em um ataque de Homem no Meio, o fraudador se posiciona entre a instituição financeira e o cliente para poder interceptar, editar, enviar e receber comunicações entre as duas partes sem levantar qualquer suspeita. O fraudador assume o canal de comunicação entre o dispositivo do cliente e o servidor, configurando uma rede Wi-Fi maliciosa ou desonesta como um hotspot público (conhecido como ponto de acesso desonesto) para que o ataque ocorra. O cliente pode usar o hotspot público sem perceber que pode estar a transferir os seus dados de pagamento através de uma rede controlada por um fraudador. A comunicação de uma aplicação móvel deve ser implementada de forma segura através de coisas como o pino de certificado onde a aplicação só se comunicará com um servidor específico porque utiliza um certificado específico que a aplicação móvel está procurando. Não o fazer torna a aplicação vulnerável a um ataque de Man-in-the-Middle. Os fraudadores também usam um ataque de Homem no Meio para se inserirem entre um SDK e o ponto final a que pretendem chegar. Então, eles atingem continuamente esse ponto final com uma série de chamadas de teste para engenharia reversa que as chamadas representam uma ação bem sucedida. Com o tempo, eles identificam quais parâmetros estão sendo passados para indicar uma instalação bem sucedida. Uma vez que eles "instalam" um aplicativo com sucesso, eles continuam com o SDK spoofing.
  • SIM Swapping: A troca de um cartão SIM é um serviço legítimo oferecido pelas operadoras de telefonia móvel quando um cliente compra um dispositivo novo, e o cartão SIM antigo não é mais compatível com ele. Um mau actor pode abusar deste serviço. Em uma troca de SIM, um fraudador usa técnicas de engenharia social para transferir o número de telefone celular da vítima para um novo cartão SIM. O fraudador contacta a operadora de telemóvel do cliente e faz-se passar pelo cliente, convencendo um agente da central de chamadas a portar o número do telemóvel para o cartão SIM sob o controlo do fraudador. Como resultado, o aplicativo bancário do usuário pode ser ativado no telefone do fraudador. Se o mecanismo de autenticação do banco inclui mensagens de texto como um meio de entregar senhas únicas, então assumir o número da vítima torna-se uma forma atraente para um criminoso realizar transações fraudulentas, adicionar recebedores de pagamento ou realizar outras operações durante uma sessão bancária.
  • Mobile phishing: Uma forma de phishing, smishing é quando um mau actor lhe envia um link para tentar enganá-lo a clicar nele. Clicar no link pode resultar no carregamento de uma página de phishing onde o utilizador é enganado a introduzir as suas credenciais de login, ou inicia sem saber, um download silencioso de spyware de vigilância no dispositivo. O objetivo é obter acesso não autorizado aos dados pessoais, sensíveis e corporativos armazenados e acessados pelo dispositivo. URLs minúsculas, que são URLs abreviadas, também são usadas em ataques de phishing por SMS para direcioná-lo a conteúdo malicioso e são frequentemente usadas em ataques de smishing em larga escala.

Tecnologias que reforçam a detecção de fraudes móveis

A fraude móvel tem impacto nos clientes e instituições financeiras. Os clientes existentes que são vítimas de fraude são mais propensos a deixar a sua instituição financeira e os clientes potenciais podem ter receio de se inscreverem num banco que é considerado negligente na prevenção da fraude e nas soluções de fraude, uma vez que o ecossistema da fraude continua a evoluir.

Tecnologias, capacidades e soluções de detecção de fraudes móveis

Proteção In-App Móvel: Proteção In-App móvel é um termo abrangente para tecnologias de segurança e autenticação de aplicativos móveis que os desenvolvedores podem integrar a aplicativos móveis para torná-los mais resistentes contra ameaças móveis, como reembalagem, malware, injeção de scripts, engenharia reversa, captura de SMS, entre outras. Gartner diz que aplicativos de autodefesa são "cruciais" porque aplicativos móveis rodam em uma grande variedade de dispositivos móveis não confiáveis com níveis variados de segurança. Gartner recomenda que as organizações, "escolham proteção in-app para aplicações críticas e de alto valor que funcionam dentro de ambientes não confiáveis e movam a lógica do software no front end". Os casos de uso mais comuns serão aplicativos móveis, aplicativos web de página única (especialmente os voltados para o consumidor) e software em dispositivos conectados". O Gartner também recomenda que as organizações evitem usar a proteção in-app como um substituto para testes de segurança de aplicativos e correção de vulnerabilidades - e que adotem as melhores práticas de codificação segura antes de olhar para as soluções de proteção in-app.

As soluções móveis de proteção em plataforma consistem em recursos de segurança e autenticação, como os seguintes:

  • Proteção de aplicativos móveis com RASP (Run-time Application Self Protection): A proteção de aplicativos com proteção em tempo de execução pode detectar e prevenir ataques em tempo real. A combinação de blindagem de aplicativos móveis com proteção de tempo de execução permite que aplicativos financeiros móveis sejam executados com segurança, bloqueie códigos estrangeiros de interferência na funcionalidade do aplicativo ou desligue o aplicativo se houver uma ameaça aos dados. A integração de proteção de aplicativos com proteção de tempo de execução também protege informações sensíveis contra cibercriminosos, mesmo em dispositivos móveis não confiáveis.

    A auto-protecção de aplicações em tempo de execução (RASP), um termo cunhado pelo Gartner, protege as aplicações móveis contra intrusões de múltiplos tipos de malware. O RASP é nativamente integrado ao aplicativo móvel e mitiga ataques maliciosos que visam o aplicativo, detectando-os e desligando o aplicativo antes que os dados sensíveis possam ser comprometidos e usados para fraudes. Ele reforça a segurança da aplicação móvel, neutralizando ameaças potenciais e protege dados sensíveis e transações de alto valor contra hackers.

    A blindagem da aplicação com proteção em tempo de execução é uma ferramenta de prevenção que protege a aplicação móvel, evitando que a aplicação opere em um emulador ou quando é interferida por um depurador. Estas são ferramentas que os engenheiros reversíveis utilizam para interrogar um aplicativo e encontrar vulnerabilidades. Detecta keylogging maliciosos, aplicações reembaladas, dispositivos quebrados ou enraizados na prisão, entre outros.

    As instituições financeiras podem associar tecnologia de análise de risco (mecanismo de risco) com tecnologias de blindagem e segurança móvel de aplicativos para reunir informações adicionais sobre o aplicativo em seu ambiente de tempo de execução para otimizar a gestão de fraudes e permitir que o aplicativo bancário funcione com segurança em um ambiente de risco.

    Oendurecimento da aplicação, também referido como capacidade de prevenção, aumenta o nível de esforço necessário para que o atacante possa realizar um ataque.

  • Autenticação Baseada em Risco: A autenticação baseada em risco (RBA), utilizando algoritmos de aprendizagem da máquina, ajuda a prevenir fraudes móveis, determinando o nível de risco para cada transação financeira e o nível de autenticação do cliente necessário para cada transação. O RBA faz corresponder o nível de autenticação do cliente necessário ao nível de risco envolvido e ajuda a reduzir os falsos positivos, o que significa que menos clientes serão falsamente rejeitados por preocupações de fraude. No passado, muitas organizações dependiam de um tipo de autenticação para todos os clientes e transações: senhas estáticas e nomes de usuário, que é a autenticação binária. As senhas e nomes de usuário são considerados segurança fraca porque são tão fáceis de serem roubados e explorados por fraudadores. Por outro lado, a autenticação baseada no risco é uma forma de autenticação forte porque dá contexto ao utilizador e à sua transacção para determinar o nível de risco e a susceptibilidade de fraude. No caso de uma transação de alto risco, o usuário é solicitado a uma autenticação adicional para confirmar sua identidade. Há três fatores comuns usados para autenticação: algo que você sabe, algo que você tem, e algo que você é. A autenticação mais comum é algo que você conhece e pode ser uma senha ou um simples número de identificação pessoal (PIN). No entanto, é também o mais fácil para os fraudadores baterem. O que você tem fator refere-se a itens como um dispositivo móvel ou fichas autenticadoras de hardware, que geram um único uso, senha de uso único. Opções baseadas em Smartphone, como uma notificação push e uma senha única (OTP), também fornecem uma verificação multi-fator (MFA). A biometria é o fator "algo que você é" e pode ser impressões digitais, varreduras faciais ou análise de voz e fazem parte de uma mudança para logins sem senha. Os três factores de autenticação são muitas vezes combinados para proporcionar uma segurança mais forte para impedir os infractores. A combinação de uma digitalização de impressões digitais com um código de acesso único reforça a segurança e é um exemplo de autenticação multi-factor.

  • Autenticação fora da banda: A autenticação fora da banda é um tipo de autenticação de dois fatores (2FA) que requer um método de verificação secundário através de um canal de comunicação separado, juntamente com o ID e senha típicos. Por exemplo, pode envolver o ambiente de trabalho do cliente como um canal e seu telefone celular como outro canal. É mais difícil para um atacante comprometer dois canais diferentes, o que reduz a probabilidade de uma tomada de conta bem sucedida, porque o atacante precisaria comprometer dois canais separados para obter acesso. A autenticação out-of-band (OOB) é utilizada por instituições financeiras e outras organizações com elevados requisitos de segurança. Isso torna o hacking de uma conta mais difícil porque dois canais de autenticação separados e desconectados precisariam ser comprometidos simultaneamente para que um atacante ganhasse acesso.

  • Autenticação Multi-factor: A autenticação Multi-factor (MFA) utiliza múltiplas tecnologias para autenticar a identidade do cliente e devem combinar tecnologias de verificação de pelo menos dois grupos ou factores de autenticação diferentes. Os factores de autenticação incluem:

    Algo que você sabe: Uma senha, PIN, senha ou perguntas e suas respectivas respostas.

    Algo que você tem: A maioria das pessoas usa seu smartphone com um aplicativo autenticador como o dispositivo que gera esses códigos ou que lhes permite responder de volta a um servidor com um código de acesso único nos bastidores.

    Algo que você é: Isto é qualquer coisa desde impressões digitais, varreduras de retina, reconhecimento facial, reconhecimento de voz, ou o comportamento de um usuário (como o quão difícil ou rápido eles digitam ou deslizam em uma tela) que pode ser usado para identificar um usuário único.

    Para conseguir a autenticação multi-factor, pelo menos duas tecnologias diferentes de pelo menos dois grupos tecnológicos diferentes devem ser usadas para o processo de autenticação. Como resultado, o uso de um PIN associado a uma senha não seria considerado autenticação multi-factor, enquanto que o uso de um PIN com reconhecimento facial como um segundo factor seria. Também é aceitável o uso de mais de duas formas de autenticação. No entanto, a maioria dos utilizadores quer cada vez mais uma autenticação sem atritos (a capacidade de ser verificada sem a necessidade de efectuar uma verificação). O AMF pode impedir, por exemplo, fraudes de takeover e phishing.

  • Cronto®: Um Cronto®, ou código do tipo QR, pode autenticar ou autorizar uma transação financeira e aumenta a proteção para transações de alto valor. O cliente verá um criptograma gráfico que se assemelha a um código QR, exibido no navegador do seu computador. Somente o banco pode gerar o código para que se possa confiar na criação de um canal seguro entre o cliente e o banco. Quando você deseja realizar uma transação, você insere os dados de pagamento na aplicação bancária online no navegador. Você verá então o código do tipo QR e o escaneará usando a câmera em seu dispositivo móvel. O seu dispositivo irá descodificá-lo, descodificar os dados de pagamento e mostrar-lhos-á no seu telemóvel em texto simples. Esta abordagem cumpre os requisitos de ligação dinâmica delineados na Directiva da União Europeia sobre Serviços de Pagamento Revistos (PSD2) Norma Técnica Regulamentar.

A mobile device displaying a blue padlock, surrounded by the outline of a shield against a background of 1s and 0s.
Blog

How Emulator Farm Fraud Attacks Exploit Mobile Users to Dizzying Results

Increases in mobile usage haven't gone unnoticed by scammers. Learn how layered security can fight sophisticated fraud schemes.

Read More

Recursos adicionais de segurança móvel que ajudam na detecção de fraudes móveis:

  • A ofuscação do código baralha o código e torna mais difícil para um atacante reverter a engenharia de como a aplicação funciona. Como resultado, uma aplicação que é mais difícil de ler deveria ser mais difícil de atacar, e roubar a sua propriedade intelectual.
  • White boxing ou criptografia de caixa branca: O que é conhecido como criptografia de caixa branca é usado para evitar que um atacante descubra as chaves de criptografia usadas por um aplicativo, usando uma combinação de criptografia e ofuscação, ou codificando o código para que seja difícil de entender. Em outros casos, a lógica do boxe branco é oferecer um mecanismo de segurança independente do sistema operacional que protege chaves secretas mesmo que o atacante de alguma forma comprometa o sistema operacional móvel ou dispositivo.
  • Certificado Pinning: Em vez de aceitar qualquer certificado de uma gama específica de autoridades de certificação, o pinning permite que as partes envolvidas no processo de autenticação mútua fixem determinados certificados - o que significa que apenas estes certificados serão aceites. Se um atacante falsificar um certificado, mesmo que esse certificado venha de uma autoridade de certificação legítima, a parte comunicante o rejeitará, evitando um ataque de Homem no Meio.

Como as aplicações móveis podem ser vulneráveis

Os desenvolvedores de aplicativos móveis acabam não sabendo como seus aplicativos serão usados, se é fraude publicitária móvel, fraude bancária móvel ou em que ambiente. Como resultado, há sempre o risco de que uma aplicação bancária seja alvo de malware no dispositivo e resulte em perdas por fraude para uma instituição financeira. Embora as lojas Apple App Store e Google Play Store filtrem uma grande percentagem de malware, a fraude de aplicações é uma possibilidade. Existem aplicativos maliciosos nas lojas de aplicativos esperando para serem baixados, a fim de roubar informações pessoais ou injetar código malicioso no dispositivo móvel ou em outro aplicativo. Mesmo que os usuários só baixem aplicativos de lojas oficiais, algo malicioso pode escapar e, se um aplicativo malicioso residir no dispositivo de um usuário, ele coloca o aplicativo do desenvolvedor potencialmente em risco.

Outro conceito errado é que os sistemas operacionais iOS e Android fornecem segurança adequada para o dispositivo móvel e, por extensão, segurança adequada para suas aplicações móveis. Isto é verdade até certo ponto. Android e iOS passam bastante tempo corrigindo seus sistemas operacionais para remover vulnerabilidades, mas nenhum deles é 100% seguro e não podem ser responsabilizados por negligência do usuário. Os desenvolvedores de aplicativos móveis não podem simplesmente depender da segurança do Android ou iOS e precisam tomar medidas adicionais para tornar seus aplicativos seguros. É também de notar que há sempre um intervalo de tempo entre uma vulnerabilidade que é identificada e um patch lançado pelos fabricantes e operadoras móveis. Se o patch não for baixado, um usuário pode acabar executando versões do sistema operacional há muito desatualizadas e cheias de oportunidades para atacantes e código malicioso.

Segurança necessária para aplicações bancárias

O Open Web Application Security Project (OWASP), uma comunidade internacional de líderes do setor em sua área -- tecnólogos, especialistas em segurança de dados e desenvolvedores desenvolveram uma linha de base independente para a segurança de aplicativos móveis chamada Mobile App Security Verification Standard (MASVS). O Open Web Security Project fornece orientações imparciais sobre os recursos de segurança recomendados para aplicativos móveis iOS e Android, dependendo de sua função. As aplicações bancárias e de serviços financeiros requerem o mais rigoroso padrão de segurança sob OWASP devido aos seus dados sensíveis. Eles também devem ser resistentes contra a engenharia reversa. As aplicações bancárias servem um grande e variado público usando uma variedade de dispositivos em diferentes sistemas operacionais e, como resultado, é necessário tomar precauções extras. As aplicações bancárias estão abrangidas pelo MASVS L2+R do Open Web Application Security Project (OWASP), o mais rigoroso padrão de segurança.

Entre em contato conosco

Entre em contacto com um dos nossos especialistas em segurança para saber mais sobre como as nossas soluções podem ajudar nas suas necessidades de segurança digital

Fale Conosco