Considere os serviços on-line dos quais você depende todos os dias, como serviços bancários e compras on-line. 

Agora imagine como você se sentiria se, de repente, ficasse sem acesso a essas contas. Quando o pânico se instala, você percebe rapidamente que um fraudador obteve acesso e provavelmente fez transações não autorizadas. Você corre para ligar para a linha de atendimento ao cliente, onde trabalha para retomar o controle da sua conta. 

Isso é fraude de controle de conta (também conhecida como sequestro de conta) - quando um fraudador ou criminoso se faz passar por um cliente genuíno para obter o controle de uma conta e, em seguida, faz transações não autorizadas. A fraude de sequestro de conta pode ter um impacto muito pessoal, como o desencadeamento de implicações financeiras imediatas, impedindo o acesso a benefícios ou serviços e causando pontuações de crédito ruins até que a questão seja resolvida.

Felizmente, existe uma solução. A autenticação biométrica facial ajuda as organizações a evitar fraudes de controle de contas. Um criminoso pode roubar informações de segurança baseadas em conhecimento, como uma senha ou o nome de solteira da mãe. Ele pode induzir as pessoas a revelar PINs e informações de recuperação de conta com engenharia social. Depois de obter esses dados, ele pode alterar o número de contato e o endereço de e-mail associados à conta, para que os códigos de acesso de uso único (OTPs) e os links de redefinição de senha sejam redirecionados.

Vivacidade dinâmica® ajuda na defesa contra fraudes de controle de contas, garantindo que somente o proprietário genuíno da conta possa obter acesso. A tecnologia do iProov está capacitando as organizações a proteger as contas on-line dos usuários e a garantir que as contas não fiquem sob o controle de outra pessoa. Com a iProov, as organizações podem verificar se cada usuário on-line é a pessoa certa, uma pessoa real, e se está se autenticando no momento.

O que é fraude de sequestro de conta?

A fraude de sequestro de conta ocorre quando um fraudador obtém acesso à conta de um usuário genuíno para obter ganhos financeiros ou lavar dinheiro por meio de roubo de identidade. Ela funciona por meio de uma série de pequenas etapas:

Um fraudador obtém acesso à conta da vítima. O fraudador pode usar várias táticas para conseguir isso; usando malware, engenharia social, phishing, dados de violações de dadosou simplesmente usando informações que conhece sobre um colega de quarto ou membro da família.
  • Quando o fraudador tem acesso a uma conta, ele pode alterar os detalhes de contato para redirecionar as informações para outro e-mail e número de telefone.
  • Por fim, como agora eles podem confirmar métodos de autenticação, como OTPs por SMS ou redefinições por e-mail, o invasor pode fazer outras alterações para fraudar a conta. Isso pode incluir a solicitação de um novo cartão de pagamento, a alteração da senha ou a inclusão de outro titular ou beneficiário de apólice de seguro
    • A fraude de sequestro de contas é um problema enorme; é uma das consequências mais comuns do roubo de identidade. Também pode ser dimensionável, pois os consumidores tendem a reutilizar as senhas; a pesquisa da iProov constatou que 59% dos entrevistados admitiram reutilizar as mesmas senhas em vários sites.

    O problema é exacerbado por ataques de "enchimento de credenciais", em que coleções de credenciais de login de violações de dados são inseridas em um bot que, em seguida, tenta acessar outras contas para automatizar o processo de aquisição de contas. Somente o setor bancário de consumo dos EUA enfrenta quase US$ 50 milhões por dia em possíveis perdas devido ao preenchimento de credenciais.

    Todos os setores podem ser alvos de fraude de sequestro de contas. Os provedores de serviços financeiros são alvos comuns, como bancos e seguradoras. Mas outros setores, como saúde e educação superior, também são visados - essas contas geralmente são ricas em dados confidenciais, como registros financeiros ou médicos, que podem ser usados em outros golpes (como fraude de nova conta) ou vendidos on-line.

    Fraude de sequestro de conta vs. fraude de nova conta: qual é a diferença?

    • Fraude de sequestro de conta: Os malfeitores têm como alvo as contas existentes para extrair valor financeiro ou informações confidenciais dessa conta, minando a segurança de autenticação fraca. Nesse caso, a solução é uma autenticação mais forte do do usuário autenticação.
    • Fraude de novas contas: os malfeitores criam novas contas usando identidades falsas, roubadas ou sintéticas para acessar bens ou serviços a fim de cometer crimes, roubar e lavar dinheiroou obter acesso a serviços que não poderiam acessar usando sua própria identidade. A solução para a fraude de novas contas precisa se concentrar em uma verificação mais forte do usuário. verificação do usuário.

    O que a fraude de sequestro de conta significa para consumidores e organizações?

    As organizações enfrentam uma série de desafios na detecção de fraudes de sequestro de contas:

    • Como uma organização sabe quais transações são de um usuário legítimo e quais são fraudulentas? O fraudador pode mudar o endereço ou o número de telefone da conta, mas o proprietário de boa-fé também pode mudar. E se a autenticação por etapas estiverem sendo cumpridos, como OTPs por SMS ou um código de e-mail, é provável que nenhum sinalizador de alerta seja acionado no sistema para solicitar uma investigação.
    • Perdas financeiras significativas podem ser rapidamente acumuladas. Se uma empresa pagou um pedido de indenização de seguro falso, por exemplo, será difícil recuperar esse dinheiro. Qualquer dano aos fundos do cliente precisaria ser reembolsado.
    • As vítimas podem perder a confiança de que a empresa é capaz de proteger adequadamente suas contas, enquanto os comprometimentos de alto perfil podem ter um impacto duradouro na reputação, do qual é difícil se recuperar.
    • Em setores mais regulamentados, como o financeiro, isso também pode resultar em mais penalidades financeiras e outras repreensões. 

    A fraude de sequestro de conta pode ser devastadora para as vítimas:

    • Como o fraudador frequentemente muda os detalhes de contato, o titular genuíno da conta pode ficar alheio e totalmente impotente para impedir essa fraude por um longo tempo.
    • Os usuários podem se ver inesperadamente impedidos de acessar serviços vitais quando mais precisam deles, como fazer um pedido de seguro ou de apoio do governo, causando enorme estresse emocional e dificuldades financeiras.
    • Depois que uma conta é assumida, os invasores também podem usar essa conta para assumir o controle de mais serviços e aplicativos e podem rapidamente escalar para o roubo total de identidade.
    • Grandes perdas financeiras podem ser acumuladas em várias contas muito rapidamente. 

    Como as organizações já estão se protegendo contra a fraude de sequestro de contas?

    Para evitar fraudes, muitas empresas implementaram a autenticação de dois ou autenticação multifatorial (2FA ou MFA).Isso é obrigatório para instituições financeiras na Europa sob a PSD2, a autenticação forte do cliente (SCA) (SCA). Isso significa que a autenticação precisa atender a dois ou mais dos seguintes requisitos:

    • Algo que o usuário é (inerência) - por exemplo, biometria
    • Algo que um usuário sabe (conhecimento) - por exemplo, senhas
    • Algo que um usuário tem (posse) - por exemplo, um dispositivo, um número de celular, para receber uma OTP

    No entanto, os métodos tradicionais baseados em conhecimento, como as senhas, são cada vez mais considerados inseguros. Essas senhas são phishable, ou seja, são "segredos compartilháveis" que os invasores podem adquirir por meio de violações de dados ou ataques de engenharia social. Está mais fácil do que nunca para os invasores obterem essas informações e, com tantas contas, os consumidores estão cada vez mais implementando senhas fáceis de lembrar em várias contas.

    As senhas simplesmente não são mais adequadas ao propósito. Da mesma forma, combiná-las com outros métodos de 2FA, como SMS OTPs (autenticação baseada em posse), é inadequado, pois os números de telefone podem ser facilmente trocados nas contas e as mensagens podem ser sequestradas. Os EUA já estão emitindo orientações, como a Ordem Executiva 14028recomendando a descontinuação de métodos de autenticação que não resistem a phishing, como SMS OTPs.

    Como a autenticação biométrica evita a fraude de sequestro de conta?

    As credenciais biométricas não podem ser "compartilhadas" da mesma forma que outros autenticadores. Seu rosto genuíno não pode ser perdido ou roubado, nem usado em escala em um ataque de preenchimento de credenciais. Elas são exclusivas de uma pessoa, o que as torna consideravelmente mais seguras como fator de autenticação.  

    A biometria facial é uma opção convincente baseada em herança, pois as organizações podem fazer uma verificação cruzada dos usuários com um documento de identidade emitido pelo governo (a maioria dos quais inclui fotos) para validar os usuários durante a integração e o registro.

    Os usuários podem usar seu rosto para autenticação contínua. Com a solução biométrica correta, isso significa que ninguém mais poderá acessar a conta ou realizar qualquer atividade/transação que não seja o proprietário genuíno. As soluções biométricas passivas, como a Dynamic Liveness do iProov, também oferecerão uma experiência de usuário muito melhor. Em vez de ter que lembrar e digitar uma senha complicada, o usuário pode simplesmente olhar para trás, para um dispositivo, tornando o processo de segurança sem esforço. 

    Mas lembre-se de que nem todas as soluções de biometria facial são criadas da mesma forma...

    Como a vivacidade evita a fraude de sequestro de conta?

    Detecção de vivacidade usa tecnologia biométrica para verificar se um usuário on-line é uma pessoa real. Sem a detecção de vivacidade, um criminoso poderia usar uma foto ou um vídeo de uma vítima e apresentá-lo à câmera, falsificando o processo de autenticação.

    Para evitar fraudes de sequestro de conta com segurança de autenticação ultrassegura, você precisa verificar todos os três aspectos da presença genuína: pessoa certa, pessoa real e autenticação em tempo real. É aí que entra a iProov Dynamic Liveness.

    Como a iProov Dynamic Liveness (GPA) evita a fraude de sequestro de contas?

    A solução do iProov Dynamic Liveness (GPA) A solução da iProov foi projetada especificamente para ser fácil de usar e, ao mesmo tempo, altamente segura, e valida três aspectos vitais: que o usuário é a pessoa certa, uma pessoa real e que está se autenticando em tempo real.

    O aspecto mais difícil de validar é verificar se um usuário está se autenticando neste exato momento. Isso é feito usando o tecnologia tecnologia Flashmarkda iProov, que ilumina o rosto do usuário remoto com uma sequência exclusiva de cores que não pode ser reproduzida ou manipulada sinteticamente, impedindo a falsificação.

    Além disso, o Dynamic Liveness é uma tecnologia baseada em nuvemo que significa que suas defesas ficam ocultas dos invasores, o que torna muito mais desafiadora a engenharia reversa. O GPA é alimentado pelo Centro de Operações de Segurança do iProov (iSOC)que usa a tecnologia de aprendizado de máquina para monitorar as operações diárias e identificar novos ataques, o que significa que o GPA oferece gerenciamento ativo de ameaças. O Dynamic Liveness pode oferecer valor adicional por meio de sua "cerimônia" tranquilizadora, pois o Flashmark garante aos usuários que está ocorrendo uma segurança adicional. Ao acessar uma conta confidencial, essa cerimônia é um grande conforto, especialmente se você já sofreu uma fraude no passado.

    Exemplo: um fraudador adquire o e-mail e a senha de uma vítima que foram compartilhados na dark web após uma violação de dados. Ele insere as credenciais em várias contas on-line, como bancos e varejistas. Algumas contas não têm autenticação de dois fatores ou step-up implementada, de modo que o fraudador pode entrar diretamente e causar uma enorme quantidade de danos. Mas, neste exemplo, o banco da pessoa usa a autenticação facial iProov. Quando o fraudador tenta fazer login na conta protegida pelo iProov, a autenticação falha. Mesmo que eles tivessem imagens do rosto da pessoa fraudada, a tecnologia Dynamic Liveness do iProov detectaria que o indivíduo genuíno não estava presente e a solicitação de acesso seria rejeitada.

    Fraude na aquisição de contas: um resumo

    • A fraude de sequestro de conta ocorre quando um invasor obtém acesso a uma conta por meios ilícitos, antes de usar esse acesso para bloquear o usuário genuíno e fraudá-lo.
    • O "Credential stuffing" é uma forma popular de ataque que pode automatizar a fraude de sequestro de contas. Normalmente, ele usa bots automatizados para inserir credenciais roubadas em escala e tentar acessar vários outros serviços.
    • A fraude de sequestro de conta é comum porque as credenciais phishable usadas para proteger as contas, como senhas, podem ser roubadas ou solicitadas por meio de ataques de engenharia social.
    • A autenticação biométrica pode oferecer níveis mais altos de segurança porque é uma "credencial não compartilhável", ao contrário das senhas e OTPs.
    • A tecnologia iProov pode ajudar as organizações a evitar o sequestro de contas, verificando se o indivíduo on-line que está tentando acessar a conta é a pessoa certa, uma pessoa real, e se está se autenticando no momento.

    A fraude de sequestro de contas causa grande estresse emocional às suas vítimas, além de perda financeira e de dados. As organizações enfrentam danos à reputação e clientes insatisfeitos, além de implicações financeiras. Ao adicionar a autenticação facial, seja como autenticador único ou como parte de uma implementação de autenticação multifatorial, as organizações podem evitar o comprometimento de contas.

    Se você quiser ver como a tecnologia do iProov pode trazer segurança sem esforço para seus processos de integração e autenticação, ajudando a combater a fraude de sequestro de contas agende uma demonstração do iProov aqui.

    O que é fraude de sequestro de conta? A solução biométrica