Fraude de sequestro de conta: O que é e como pode ser evitada?

Considere os serviços em linha de que depende diariamente, tais como serviços bancários e compras em linha. 

Agora imagine como se sentiria se, de repente, ficasse sem acesso a essas contas. Quando o pânico se instala, apercebe-se rapidamente de que um fraudador obteve acesso - e provavelmente efectuou transacções não autorizadas. Apressa-se a ligar para uma linha de apoio ao cliente, onde tenta recuperar o controlo da sua conta. 

Trata-se de uma fraude de aquisição de conta (também conhecida como sequestro de conta) - quando um fraudador ou criminoso se faz passar por um cliente genuíno para obter o controlo de uma conta e depois efectua transacções não autorizadas. A fraude de sequestro de conta pode ter um impacto muito pessoal, como provocar implicações financeiras imediatas, impedir o acesso a benefícios ou serviços e causar uma má pontuação de crédito até que o assunto seja resolvido.

• Cerca de 22% dos adultos norte-americanos foram vítimas de cenários de fraude de tomada de controlo de contas, com um prejuízo financeiro médio aproximado de quase 12 000 dólares.
• A fraude na aquisição de contas está a aumentar: os casos comunicados aumentaram 90%, com um custo estimado de 11,4 mil milhões de dólares em 2021, em comparação com 2020.

Felizmente, existe uma solução. A autenticação biométrica facial ajuda as organizações a evitar a fraude de sequestro de conta. Um criminoso pode roubar informações de segurança baseadas no conhecimento, como uma palavra-passe ou o nome de solteira da mãe. Pode induzir as pessoas a revelar PINs e informações de recuperação de conta com engenharia social. Uma vez na posse desses dados, pode alterar o número de contacto e o endereço de correio eletrónico associados à conta, para que os códigos de acesso únicos (OTP) e as ligações de redefinição de palavra-passe sejam redireccionadas.

Vivacidade dinâmica® ajuda a defender contra a fraude de aquisição de conta, garantindo que apenas o proprietário genuíno da conta pode obter acesso. A tecnologia do iProov permite às organizações salvaguardar as contas online dos utilizadores e garantir que as contas não ficam sob o controlo de outra pessoa. Com o iProov, as organizações podem verificar que cada utilizador online é a pessoa certa, uma pessoa real, e que está a autenticar-se neste momento.

O que é a fraude de aquisição de conta?

A fraude de sequestro de conta ocorre quando um fraudador obtém acesso à conta de um utilizador genuíno para obter ganhos financeiros ou branquear dinheiro através da usurpação de identidade. Funciona através de uma série de pequenos passos:

Um fraudador obtém acesso à conta de uma vítima. O fraudador pode utilizar uma série de tácticas para o conseguir: malware, engenharia social, phishing, dados de violações de dadosou simplesmente utilizando informações que conhece sobre um colega de quarto ou um membro da família.

Quando o fraudador tem acesso a uma conta, pode alterar os dados de contacto para redirecionar as informações para outro e-mail e número de telefone.

Por fim, como podem agora confirmar métodos de autenticação como OTPs por SMS ou reposições por correio eletrónico, o atacante pode fazer mais alterações para defraudar a conta. Isto pode incluir o pedido de um novo cartão de pagamento, a alteração da palavra-passe ou a adição de outro titular ou beneficiário da apólice de seguro. 

A fraude na aquisição de contas é um problema enorme; é uma das consequências mais comuns da usurpação de identidade. Também pode ser escalável, uma vez que os consumidores tendem a reutilizar as palavras-passe; um estudo da iProov concluiu que 59% dos inquiridos admitiram reutilizar as mesmas palavras-passe em vários sítios.

O problema é exacerbado por ataques de "credential stuffing", em que uma coleção de credenciais de início de sessão provenientes de violações de dados é inserida num bot que tenta depois aceder a outras contas para automatizar o processo de tomada de controlo da conta. Só o sector bancário dos EUA enfrenta quase 50 milhões de dólares por dia em perdas potenciais devido a ataques de "credential stuffing.

Todos os sectores podem ser alvo de fraude de tomada de controlo de contas. Os prestadores de serviços financeiros são alvos comuns, como os bancos e as seguradoras. Mas outros sectores, como os cuidados de saúde e o ensino superior, também são visados - estas contas são frequentemente ricas em dados sensíveis, como registos financeiros ou médicos, que podem depois ser utilizados em outras fraudes (como fraude de novas contas), ou vendidos em linha.

Fraude de aquisição de conta vs. fraude de nova conta: qual é a diferença?

• Fraude de sequestro de conta: Os maus actores visam contas existentes para extrair valor financeiro ou informações sensíveis dessa conta, minando a fraca segurança da autenticação. Neste caso, a solução é uma autenticação mais forte do do utilizador autenticação.
• Fraude em novas contas: os maus actores criam novas contas utilizando identidades falsas, roubadas ou sintéticas para aceder a bens ou serviços com o objetivo de cometer crimes, roubar e branquear dinheiroou obter acesso a serviços a que não poderiam aceder utilizando a sua própria identidade. A solução para a fraude em novas contas deve centrar-se numa verificação mais rigorosa do utilizador. verificação dos utilizadores.

O que significa a fraude de sequestro de conta para os consumidores e as organizações?

As organizações enfrentam uma série de desafios na deteção de fraudes de sequestro de contas:

• Como é que uma organização sabe quais as transacções que provêm de um utilizador legítimo e quais as que são fraudulentas? O fraudador pode mudar o endereço ou o número de telefone da conta, mas o proprietário legítimo também pode mudar. E se a autenticação por etapas estiverem a ser cumpridos - como OTPs por SMS ou um código de correio eletrónico - então é provável que não surjam sinais de alerta no sistema para solicitar uma investigação.
• Perdas financeiras significativas podem ser rapidamente acumuladas. Se uma empresa pagou uma falsa indemnização de seguro, por exemplo, é difícil recuperar esse dinheiro. Qualquer dano causado aos fundos dos clientes terá de ser reembolsado.
• As vítimas podem perder a confiança de que a empresa é capaz de proteger adequadamente as suas contas, enquanto os compromissos de alto nível podem ter um impacto duradouro na reputação, do qual é difícil recuperar.
• Em sectores mais regulamentados, como o financeiro, isto também pode resultar em mais sanções financeiras e outras repreensões. 

A fraude de sequestro de conta pode ser devastadora para as vítimas:

• Uma vez que o autor da fraude muda frequentemente os dados de contacto, o titular da conta genuína pode ficar sem saber e totalmente impotente para impedir esta fraude durante muito tempo.
• Os utilizadores podem ver-se inesperadamente impedidos de aceder a serviços vitais quando mais precisam deles - como fazer um pedido de seguro ou um pedido de apoio governamental - causando um enorme stress emocional e dificuldades financeiras.
• Assim que uma conta é tomada, os atacantes podem também utilizá-la para assumir o controlo de mais serviços e aplicações e podem rapidamente escalar para o roubo total de identidade.
• Podem acumular-se rapidamente enormes perdas financeiras em várias contas. 

Como é que as organizações já estão a proteger-se contra a fraude de sequestro de conta?

Para evitar fraudes, muitas empresas implementaram a autenticação de dois ou autenticação multifactor (2FA ou MFA).Esta é obrigatória para as instituições financeiras na Europa ao abrigo da PSD2, a autenticação forte do cliente (SCA) (SCA). Isto significa que a autenticação tem de cumprir dois ou mais dos seguintes requisitos:

• Algo que um utilizador é (inerência) - por exemplo, biometria
• Algo que um utilizador sabe (conhecimento) - por exemplo, palavras-passe
• Algo que um utilizador tem (posse) - por exemplo, um dispositivo, um número de telemóvel, para receber uma OTP

No entanto, os métodos tradicionais baseados no conhecimento, como as palavras-passe, são cada vez mais considerados inseguros. Estas são phishable - o que significa que são "segredos partilháveis" que os atacantes podem adquirir através de violações de dados ou ataques de engenharia social. É mais fácil do que nunca para os atacantes obterem estas informações e, com tantas contas, os consumidores estão cada vez mais a utilizar palavras-passe fáceis de memorizar em várias contas.

As palavras-passe já não são adequadas para o efeito. Do mesmo modo, a combinação destas com outros métodos 2FA, como as OTP por SMS (autenticação baseada na posse), é inadequada, porque os números de telefone podem ser facilmente trocados nas contas e as mensagens podem ser desviadas. Os EUA já estão a emitir orientações, como o Ordem Executiva 14028recomendando a descontinuação de métodos de autenticação que não resistem ao phishing, como as OTPs SMS.

Como é que a autenticação biométrica evita a fraude de sequestro de conta?

As credenciais biométricas não podem ser "partilhadas" da mesma forma que outros autenticadores. O seu rosto genuíno não pode ser perdido ou roubado, nem utilizado em grande escala num ataque de enchimento de credenciais. São únicas para uma pessoa, o que as torna consideravelmente mais seguras como fator de autenticação.  

A biometria facial é uma opção convincente baseada na herança, uma vez que as organizações podem fazer uma verificação cruzada dos utilizadores com um documento de identificação emitido pelo governo (a maioria dos quais inclui fotografias) para validar os utilizadores durante a integração e o registo.

Os utilizadores podem utilizar o seu rosto para autenticação contínua. Com a solução biométrica correcta, isto significa que mais ninguém pode aceder a essa conta ou realizar qualquer atividade/transação que não seja o verdadeiro proprietário. As soluções biométricas passivas, como a Dynamic Liveness do iProov, também oferecem uma experiência de utilizador muito melhor. Em vez de ter de se lembrar e introduzir uma palavra-passe complicada, um utilizador pode simplesmente olhar para trás para um dispositivo, tornando o processo de segurança sem esforço. 

Mas lembre-se, nem todas as soluções biométricas faciais são criadas da mesma forma...

Como é que o liveness evita a fraude de sequestro de conta?

Deteção de vida utiliza tecnologia biométrica para verificar se um utilizador em linha é uma pessoa real. Sem a deteção da vivacidade, um criminoso poderia utilizar uma fotografia ou um vídeo de uma vítima e apresentá-lo à câmara, falsificando o processo de autenticação.

Para evitar fraudes de sequestro de conta com segurança de autenticação ultra-segura, é necessário verificar os três aspectos da presença genuína: pessoa certa, pessoa real e autenticação em tempo real. É aí que entra o iProov Dynamic Liveness.

Como é que o iProov Dynamic Liveness (GPA) evita a fraude de sequestro de conta?

A solução do iProov Dynamic Liveness (GPA) A solução da iProov foi especificamente concebida para ser fácil de utilizar e, ao mesmo tempo, altamente segura e valida três aspectos vitais - que um utilizador é a pessoa certa, uma pessoa real e que está a autenticar-se em tempo real.

O aspeto mais difícil de validar é verificar se um utilizador está a autenticar-se neste momento. Isto é feito utilizando iProov's tecnologia Flashmarkda iProov, que ilumina o rosto do utilizador remoto com uma sequência única de cores que não pode ser reproduzida ou manipulada sinteticamente, impedindo a falsificação.

Além disso, o Dynamic Liveness é uma tecnologia baseada na nuvemo que significa que as suas defesas estão escondidas dos atacantes, tornando muito mais difícil a engenharia inversa. O GPA é alimentado pelo Centro de Operações de Segurança iProov (iSOC)que utiliza tecnologia de aprendizagem automática para monitorizar as operações diárias e identificar novos ataques, o que significa que o GPA proporciona uma gestão ativa das ameaças. O Dynamic Liveness pode oferecer um valor adicional através da sua "cerimónia" tranquilizadora, uma vez que o Flashmark garante aos utilizadores que está a ser aplicada uma segurança adicional. Quando se acede a uma conta sensível, esta cerimónia é um grande conforto - especialmente se já sofreu uma fraude no passado.

Exemplo: um fraudador adquire o e-mail e a palavra-passe de uma vítima que foram partilhados na dark web após uma violação de dados. Introduz as credenciais numa série de contas em linha, como bancos e retalhistas. Algumas contas não dispõem de autenticação de dois factores, pelo que o burlão pode entrar diretamente e causar enormes danos. Mas neste exemplo, o banco da pessoa utiliza a autenticação facial iProov. Quando o burlão tenta iniciar sessão na conta protegida pelo iProov, a autenticação falha. Mesmo que tivessem imagens do rosto da pessoa defraudada, a tecnologia Dynamic Liveness do iProov detectaria que o indivíduo genuíno não estava presente e o pedido de acesso seria rejeitado.

Fraude na tomada de controlo de contas: um resumo

• A fraude de sequestro de conta ocorre quando um atacante obtém acesso a uma conta através de meios ilícitos, antes de utilizar esse acesso para bloquear o utilizador genuíno e defraudá-lo.
• O "enchimento de credenciais" é uma forma popular de ataque que pode automatizar a fraude de aquisição de contas. Normalmente, utiliza bots automatizados para introduzir credenciais roubadas em grande escala e tentar aceder a vários outros serviços.
• A fraude de sequestro de conta é comum porque as credenciais phishable utilizadas para proteger as contas, como as palavras-passe, podem ser roubadas ou solicitadas através de ataques de engenharia social.
• A autenticação biométrica pode proporcionar níveis mais elevados de segurança porque é uma "credencial não partilhável", ao contrário das palavras-passe e das OTP.
• A tecnologia iProov pode ajudar as organizações a impedir a aquisição de contas, verificando se o indivíduo online que está a tentar aceder à conta é a pessoa certa, uma pessoa real, e se está a autenticar-se neste momento.

A fraude de sequestro de conta causa grande stress emocional às suas vítimas, bem como perdas financeiras e de dados. As organizações enfrentam danos à reputação e clientes insatisfeitos, bem como implicações financeiras. Ao adicionar a autenticação facial - como único autenticador ou como parte de uma implementação de autenticação multi-fator - as organizações podem evitar o comprometimento de contas.

Se quiser ver como a tecnologia do iProov pode trazer segurança sem esforço aos seus processos de integração e autenticação - ajudando a combater a fraude de aquisição de contas -, pode marque uma demonstração do iProov aqui.