1º de outubro de 2025

Os processos de recuperação de contas geralmente representam um dos elos mais fracos da segurança digital. Embora as organizações invistam muito na proteção de seus fluxos de autenticação primária, os mecanismos de recuperação geralmente dependem de métodos comprovadamente fáceis de serem comprometidos e explorados ativamente pelos criminosos:

  • Perguntas sobre segurança que podem ser pesquisadas nas mídias sociais
  • Códigos SMS vulneráveis à troca de SIM
  • Processos de recuperação de e-mail que pressupõem a existência de contas e dispositivos não comprometidos.

As tentativas de aquisição de contas As tentativas de recuperação estão cada vez mais direcionadas aos fluxos de recuperação como o caminho de menor resistência. Os clientes dos bancos geralmente abandonam processos de recuperação complexos, aumentando os custos de suporte à medida que as organizações lidam com intervenções manuais.

Este blog explorará como a biometria com base científica pode manter seus processos de recuperação de conta realmente seguros e seguros e fáceis de usar. Usando um estudo de caso do Raiffeisen Bank, destacaremos como pode ser simples permitir que usuários genuínos recuperem contas sem esforço, mantendo os fraudadores afastados.

A crise de recuperação de contas: Um estudo de caso do mundo real com o Raiffeisen Bank

O Raiffeisen Bank, um cliente do iProov com sede na República Tcheca, atende a mais de 1,2 milhão de usuários de serviços bancários móveis ativos mensalmente na República Tcheca. O banco enfrentou uma realidade operacional surpreendente: aproximadamente 50.000 clientes precisavam reativar seus serviços bancários móveis todos os meses - 4% de toda a sua base de clientes.

Inicialmente, seu processo de recuperação parecia robusto. Os clientes faziam login no Internet banking via SMS OTP, digitavam um PIN e ativavam o mobile banking em seu novo dispositivo. O processo parecia seguro e conveniente, até que os criminosos exploraram sistematicamente seu ponto fraco fundamental.

Os fraudadores lançaram campanhas sofisticadas de engenharia social, fazendo-se passar por funcionários do banco e policiais para convencer os clientes a fornecer acesso ao internet banking. Em seguida, eles ativavam remotamente o banco móvel no dispositivo do invasor, permitindo o acesso direto à conta e o roubo de fundos.

A primeira contramedida do Raiffeisen foi adicionar telas de aviso explícitas pedindo aos clientes que confirmassem que realmente queriam ativar o mobile banking. A proteção durou exatamente um mês antes que os criminosos adaptassem seus scripts para superar a hesitação dos clientes.

Os ataques se tornaram tão graves que o Raiffeisen desativou completamente a ativação remota do internet banking em outubro de 2022, forçando todos os clientes que precisavam de reativação a visitar as agências físicas - uma solução dolorosa que cria uma enorme tensão operacional e frustração do cliente.

Por que os métodos tradicionais de recuperação falham

A situação do Raiffeisen revelou vulnerabilidades recorrentes nas abordagens convencionais de recuperação de contas. Os métodos tradicionais compartilham uma falha crítica: eles autenticam o acesso a vários fatores de posse ou conhecimento em vez de verificar a presença e a identidade genuínas da pessoa.

A biometria nativa do dispositivo cria um problema adicional, muitas vezes mal compreendido pelas equipes de segurança. Como Dominic Forrest, CTO da iProov, descobriu quando sua filha adolescente registrou a impressão digital em seu telefone usando seu PIN conhecido: "O que você está realmente provando não é biometria - é uma prova de conhecimento do código de desbloqueio do telefone em um determinado momento".

Resultados da transformação do Raiffeisen

Trabalhando com um especialista em integração de serviços bancários móveis, Wultrae o melhor provedor de liveness da categoria, iProov, o Raiffeisen desenvolveu um processo de reativação abrangente que valida a pessoa por meio de várias camadas, formando cinco etapas principais de IDV:

  1. Identificação inicial do cliente (número do cliente e data de nascimento)
  2. SMS OTP para limitação de solicitações
  3. Verificação de documentos que requer a digitalização da carteira de identidade e do passaporte ou da carteira de motorista
  4. Detecção de vivacidade facial dinâmica para garantir a presença genuína, comparando o usuário ao vivo com fotos de documentos
  5. SMS OTP final combinado com token de verificação biométrica para conformidade regulatória

Veja o diagrama de fluxo de processo "simplificado" abaixo:

Imagem 01 10 2025 às 15.34

Todo o processo é remoto e concluído em aproximadamente 80 segundos, e pode ser executado imediatamente quando os clientes precisarem vincular novos dispositivos.

A resposta está em criar confiança na pessoa, e não no dispositivo ou em algo que ela possa "conhecer". A verificação facial com base científica, sustentada por Dynamic Liveness e pela tecnologia tecnologia Flashmarkfornece confirmação de presença genuína, atendendo a três requisitos essenciais: pessoa certa, pessoa real, agora mesmo.

Tudo isso é apoiado pela detecção dinâmica de ameaças do iProov por meio do Centro de Operações de Segurança do iProov (iSOC) que monitora continuamente o tráfego em busca de ataques e implementa mais de 120 atualizações por ano sem qualquer interrupção para o cliente, proporcionando segurança em constante evolução.

Os resultados mostram melhorias significativas na segurança e na operação:

Aprimoramento da segurança:

  • Taxa de sucesso de 97 a 98% para clientes legítimos que concluem a verificação biométrica
  • Um processo resistente a phishing que não pode ser concluído remotamente por invasores com credenciais comprometidas
  • Proteção contra ataques de injeção digital e ataques de apresentação física

Eficiência operacional:

  • 25.000 usuários por mês concluem com sucesso as transferências de ativação de dispositivo para dispositivo
  • De 10.000 a 12.000 usuários por mês, reativação completa de documentos e biometria
  • Redução drástica nas visitas às agências para fins de ativação

A eficácia da solução vai além dos ganhos imediatos de segurança. A infraestrutura biométrica permite casos de uso adicionais, incluindo a autenticação de transações para atividades de alto valor, como solicitações de empréstimos, autenticação de aumento para atividades suspeitas e integração digital aprimorada para novos clientes.

O imperativo estratégico

A mudança da autenticação centrada no dispositivo para a autenticação centrada na pessoa não é opcional - é essencial. À medida que a tecnologia deepfake se torna cada vez mais acessível e os métodos de recuperação tradicionais enfrentam ataques sofisticados, a verificação biométrica com base científica oferece a única defesa escalável.

A jornada do Raiffeisen, de visitas forçadas às agências para uma recuperação remota de autoatendimento segura, demonstra que a segurança e a experiência do usuário podem se alinhar em vez de competir. Com 50.000 clientes exigindo reativação mensal, eles precisavam de uma solução que funcionasse em escala sem comprometer a segurança.

Os criminosos já se adaptaram para explorar as vulnerabilidades do processo de recuperação. A questão não é se os ataques sofisticados atingirão sua organização, mas se suas defesas se mostrarão adequadas quando isso acontecer.

Não pôde ir a Amsterdã? O Raiffeisen Bank e o iProov acabaram de revelar seu projeto para a segurança biométrica de última geração noIdentity Management Europe 2025. Compartilharemos arecapitulação completa em aqui. Enquanto você espera, descubra como essa parceria começou - assista agora à nossa conversa anterior sobre a transformação da segurança bancária para a era digital.

Captura de tela 2025 10 01 às 15.44.23
Índice

Continue lendo