voltarVoltar

Como a análise do dispositivo é fundamental contra o roubo de contas

Felipe Oliveira
Siga no Linkedin

O account takeover, ou roubo de contas, ocorre quando um cibercriminoso consegue invadir a conta de um cliente utilizando as suas credenciais. Esse tipo de fraude pode ocorrer em diversos segmentos, desde contas em redes sociais até mesmo canais de streaming, contas de aplicativos de transporte ou ainda contas bancárias.

Com os recorrentes vazamentos de dados que vemos atualmente, essa ação dos golpistas ficou ainda mais facilitada. Um dos motivos é que muitas pessoas fazem senhas fracas e, com os dados fixos como número de RG, CPF, cartão de crédito ou conta bancária em mãos, os golpistas conseguem o acesso.

Além disso, atualmente não é nem mesmo necessário tentar o acesso diretamente, já que é possível comprar na deep web o acesso a contas roubadas. Para se ter uma ideia, uma conta da Uber, por exemplo, custaria US$ 3,78, enquanto o acesso a uma operadora de cartão de crédito sairia por US$ 2,22.

Outra maneira de conseguir o acesso a uma conta se aproveitando dos vazamentos é com o phishing. Golpistas criam uma página falsa de um e-commerce, por exemplo, colocam uma grande promoção e enviam por WhatsApp se aproveitando dos vazamentos de números de telefones (nesse caso, as promoções fake também podem ser postadas nas redes sociais).

A vítima se interessa pela promoção e, ao entrar no site, tem de colocar as credenciais que costuma colocar no site real para acessar sua conta. É nesse momento que os golpistas recebem todas as informações e fazem o roubo de conta.

Há também as fraudes de engenharia social, nas quais os golpistas conseguem as credenciais do usuário em um contato por meio da rede social – você já deve ter visto inúmeras reportagens sobre o tal “sequestro do WhatsApp”. Além disso, softwares maliciosos também podem ser utilizados para o roubo de contas.

Risco para empresas

Depois de assumir uma conta roubada, os fraudadores podem fazer muitas coisas como realizar transações bancárias, acessar redes sociais para pegar informações de parentes e tentar um golpe, acessar plataformas corporativas, etc. Tudo isso tirando o acesso do verdadeiro dono daquela conta.

E esse tipo de ataque é bastante prejudicial para a imagem da empresa, já que afetam diretamente a experiência do usuário e a imagem da marca junto ao consumidor. Um usuário que teve sua conta roubada em um e-commerce dificilmente voltará a comprar na plataforma, enquanto alguém que teve uma conta bancária invadida possivelmente não vai indicar o banco para ninguém.

E claro, se traz problemas para as empresas, o roubo de contas também vai trazer prejuízos aos usuários. Além da dor de cabeça para tentar recuperar uma conta, imagine o rombo financeiro que pode ocorrer caso um fraudador consiga o acesso direto a uma conta bancária, por exemplo.

Como evitar account takeover?

Essa é uma pergunta que muitos podem estar fazendo nesse momento. Bom, primeiramente, é bastante importante criar uma cultura de educação digital para que os usuários estejam atentos a páginas de phishing, crie senhas fortes, enfim, adotem as melhores práticas no mundo on-line.

Além disso, é importante que as empresas tenham tecnologias robustas para conseguir identificar se uma pessoa que está realizando uma transação é realmente quem diz ser. Com isso, chegamos em um ponto que falamos bastante aqui no blog: a análise do dispositivo!

Os nossos dispositivos, sejam mobile ou browser, dizem muito sobre nosso comportamento no mundo digital, principalmente porque estamos com eles quase que 100% do nosso tempo. Por isso, mesmo que um golpista consiga o acesso a uma conta, possuindo todos os dados necessários em mãos, uma análise do contexto do usuário é capaz de identificar que aquela pessoa não é quem diz ser.

Uma plataforma como o AllowMe, por exemplo, fará inúmeras análises assim que o login for realizado, verificando informações como a fabricante e o modelo do aparelho, a geolocalização, as redes wi-fi que mais aparecem naquele dispositivo, o sistema operacional, além de inúmeras outras variáveis capazes de trazer um score para aquele device e auxiliar, de forma transparente, os negócios a tomarem a melhor decisão.

Contra o roubo de contas, o AllowMe possui regras que conseguem verificar se um mesmo dispositivo está tentando acessar diversas contas, a similaridade entre as últimas transações realizadas, se o telefone utilizado consta em alguma lista de baixa reputação, se a localização do prefixo do telefone coincide com estado do endereço do IP, entre outras. O AllowMe ainda possui regras que avaliam se o CPF ou e-mail utilizado fazem parte de uma base de vazamento de dados e a há quanto tempo ele ocorreu.

Além disso, uma boa plataforma de prevenção à fraude como o AllowMe utiliza o efeito rede como forte aliado para evitar os golpes. Se um fraudador já tentou acessar uma conta roubada por meio daquele mesmo dispositivo em algum parceiro, o AllowMe vai frustrar aquela tentativa de golpe.

Ainda não é cliente AllowMe e quer saber como podemos te ajudar? É só preencher este formulário!

Artigo escrito por Felipe Oliveira

Felipe Oliveira é jornalista apaixonado por futebol, mas decidiu levar os esportes apenas como lazer depois trabalhar direto da redação em uma edição de Jogos Olímpicos e uma Copa do Mundo. Formado também em Direito, desde 2019 aceitou o desafio de escrever sobre tecnologia e, em 2021, atuar com marketing no mercado de prevenção à fraude e pagamentos digitais. No tempo livre gosta de assistir a jogos de futebol e matar a saudade da infância com canais de YouTube sobre games antigos.

Acompanhe as novidades

icone correio

Assine nossa newsletter

Fique por dentro de todos os conteúdos sobre proteção de identidades digitais gratuitamente