Se você é usuário do Twitter deve se lembrar que uma série de contas famosas e verificadas foram roubadas em julho do ano passado. Personalidades como Barack Obama, Bill Gates, Elon Musk, Jeff Bezos e até o então candidato à presidência dos Estados Unidos, Joe Biden, tiveram suas contas invadidas e viram mensagens solicitando bitcoins com promessa de devolver o dinheiro à comunidade.

Você pode estar se perguntando: “espera um pouco, então quer dizer que todas essas personalidades tiveram a conta roubada?”. Ou ainda, “se essas pessoas foram afetadas, como eu posso me proteger?”

 

 

 

 

 

Sim, de fato é bastante preocupante que tanta gente importante sofra um ataque simultâneo, mas saiba que ninguém está livre de um account takeover. E que sim, é possível se proteger!

Mas antes de te explicar como se defender, primeiramente vamos entender:

O que é um account takeover (roubo de conta)?

Account takeover significa “aquisição de conta”, na tradução literal do termo. Bom, digamos que a expressão “roubo de conta” seria mais precisa para definir o que é um account takeover, já que é exatamente isso que um cibercriminoso faz.

E apesar de darmos o exemplo de contas famosas do Twitter, esse roubo de contas pode ocorrer não só nas redes sociais, como também em canais de streaming, contas de aplicativos de transporte e até mesmo em contas bancárias.

Por isso, é bom deixar claro que o account takeover não se trata somente do roubo daquela conta para realização de uma compra on-line ou contratação de serviços como empréstimos bancários. A ideia do cibercriminoso é realmente se apoderar daquela conta, trocando a senha e se apropriando daquela identidade assim que consegue a invasão.

Inclusive, uma pesquisa da TredMicro mostra que é possível comprar na deep web o acesso a essas contas roubadas. Uma conta da Uber, por exemplo, custaria US$ 3,78, enquanto o acesso a uma operadora de cartão de crédito sairia por US$ 2,22.

 

 

 

 

 

 

Depois de assumir uma conta roubada, os fraudadores podem fazer muitas coisas como realizar transações bancárias, acessar redes sociais para pegar informações de parentes e tentar um golpe, acessar plataformas corporativas, etc. Tudo isso tirando o acesso do verdadeiro dono daquela conta.

E como é feito um accont takeover (roubo de conta)?

São diversas práticas que podem fazer alguém ter sua conta roubada. Uma das mais famosas é o phishing – você com certeza já ouviu falar dele! Golpistas criam uma página falsa de um e-commerce, por exemplo, e colocam uma grande promoção em uma rede social ou até mesmo enviam por WhatsApp se aproveitando dos vazamentos de números de telefones.

A vítima se interessa pela promoção e, ao entrar no site, tem de colocar as credenciais que costuma colocar no site real para acessar sua conta. É nesse momento que os golpistas recebem todas as informações e fazem o roubo de conta.

Há também as fraudes de engenharia social, nas quais os golpistas conseguem as credenciais do usuário em um contato por meio da rede social – você já deve ter visto inúmeras reportagens sobre o tal “sequestro do WhatsApp”. Além disso, senhas fracas e softwares maliciosos também podem ser utilizados para o roubo de contas.

Ou seja, todo mundo está sujeito a um account takeover, já que não faltam opções aos fraudadores. Os golpistas não buscam por um perfil específico, mas sim por aqueles que estão mais vulneráveis ou distraídos e acabam caindo em um golpe.

O problema do account takeover é que ele traz dores de cabeça tanto para a vítima quanto para as empresas. Para o usuário final, o prejuízo vai desde dificuldades para recuperar sua conta pessoal em algum local e grandes rombos financeiros – imagine o que um fraudador pode fazer com o acesso a uma conta bancária em mãos.

Para a empresa na qual a conta foi invadida, os prejuízos estão relacionados principalmente a experiência do usuário e a imagem junto ao consumidor. Um usuário que teve sua conta roubada em um e-commerce dificilmente voltará a comprar na plataforma.

Como se proteger de account takeover (roubo de conta)?

 

 

 

 

 

Um dos principais pontos para proteger as pessoas do account takeover é educar o usuário para que ele crie uma cultura de melhores práticas no mundo on-line. Além disso, é importante que as empresas tenham tecnologias robustas para conseguir identificar se uma pessoa que está realizando uma transação é realmente quem diz ser.

Uma das formas de fazer essa identificação é por meio da análise do dispositivo, que consegue verificar o perfil de comportamento daquele usuário. Imagine que um golpista conseguiu fazer um account takeover e está tentando realizar uma compra em nome daquela pessoa.

Assim que ele realizar o login, uma plataforma como o AllowMe fará inúmeras análises, verificando a geolocalização, a marca e modelo do aparelho utilizado, o sistema operacional, além de inúmeras outras variáveis. Assim, o fraudador teria sua tentativa frustrada logo no momento do login.

Além disso, uma boa plataforma de prevenção à fraude como o AllowMe utiliza o efeito rede como forte aliado para evitar os golpes. Se um fraudador já tentou acessar uma conta roubada por meio daquele mesmo dispositivo em algum parceiro, o AllowMe vai bloquear imediatamente aquela tentativa de golpe.

Ainda não é cliente AllowMe e quer saber como podemos te ajudar? Nosso time comercial está pronto para te atender! Basta preencher este formulário.

Artigo escrito por Felipe Oliveira
Felipe Oliveira é jornalista apaixonado por futebol, mas decidiu levar os esportes apenas como lazer depois trabalhar direto da redação em uma edição de Jogos Olímpicos e uma Copa do Mundo. Formado também em Direito, desde 2019 aceitou o desafio de escrever sobre tecnologia e, em 2021, atuar com marketing no mercado de prevenção à fraude e pagamentos digitais. No tempo livre gosta de assistir a jogos de futebol e matar a saudade da infância com canais de Youtube sobre games antigos.