Você deve ter visto que alguns sites publicaram (novamente) reportagens mostrando que um novo vazamento de dados expôs 102 milhões de números de celular no Brasil, entre eles de pessoas famosas como os jornalistas William Bonner e Fátima Bernardes, e até mesmo do presidente da república, Jair Bolsonaro.  Sim, este é outro caso – dias depois daquele que expôs mais de 230 milhões de CPFs.

Este novo vazamento, repercutido por diversos veículos de imprensa do Brasil, consistiu em dados anunciados por um hacker na deep web por US$ 1. Ao adquirir essas contas, um fraudador teria em mãos não só o número de telefone, mas RG, CPF, endereço, entre outros dados dos clientes.

E aí bate aquela velha preocupação: já falamos aqui no blog que, com os itens acima (e um telefone celular), um fraudador poderia se passar por uma pessoa para criar uma série de contas e cadastros em diversos serviços digitais e até mesmo obter um cartão de crédito (e utilizá-lo para compras online).

Porém, atente-se para um detalhe importante: foram vazados mais de 100 milhões de números de celular. E este detalhe comprova justamente algo que falamos com bastante frequência aqui no Blog do AllowMe: o fingerprint do dispositivo (móvel ou web) é a maneira mais eficiente para a realização de validações de identidades e detecção de fraudes digitais.

imagem de pessoa confusa

Parece contraditório, mas vamos mostrar que esta afirmação faz sentido.

Por que a análise do dispositivo (fingerprint) é mais eficaz?

Em meio a tantos vazamentos, já é sabido que a mera checagem de dados cadastrais tem se mostrado insuficiente para realizar validações de identidades e evitar fraudes.

Há 10 ou 15 anos um dado cadastral era extremamente valioso para a tomada de decisão. Assim, dados fixos como CPF, RG ou até mesmo o número de telefone celular eram fundamentais para a relação entre negócios e clientes.

Mas atualmente isso está longe de ser seguro. Com os recorrentes vazamentos de dados, os fraudadores podem se aproveitar de situações onde é necessário apenas preencher informações “estáticas”, como nome completo, endereço, e-mail e telefone para aplicar diversos golpes. E todas essas informações, como estamos vendo, estão cada vez mais disponíveis para criminosos.

O número do celular pode vazar, mas não o contexto de uso

Por que insistimos tanto na análise do device fingerprint – sejam eles computadores, notebooks, smartphones ou tablets?

Imagine que um fraudador está tentando realizar alguma atividade online e possui todos os dados estáticos em mãos. Pode parecer que ele está com “as duas mãos na taça”, mas uma análise do fingerprint do device seria o suficiente para barrar a fraude.

Isso porque ela vai muito além dos dados cadastrais. Essa análise não vai se limitar a observar os dados fixos, mas todo o cenário daquela navegação, incluindo o comportamento e informações daquele aparelho que está tentando realizar uma fraude. E é aqui a chave do negócio.

Os dispositivos que utilizamos dizem muito sobre nós – e podem até mesmo indicar um risco de fraude antes mesmo de ela acontecer. Afinal, além do identificador do dispositivo (device ID), é possível saber o fabricante, o modelo do smartphone, o sistema operacional, a operadora, as redes de wi-fi que acessa, a geolocalização, timezone, IMEI, entre muitas outras variáveis.

Mesmo que um golpista tenha o mesmo modelo de celular da vítima, ele não conseguiria imitar o comportamento dela e reproduzir perfeitamente o mesmo fingerprint. “Não tem como vazar o comportamento da pessoa, e mesmo se fosse vazado seria muito difícil reproduzir. Não dá para um fraudador imitar seu comportamento em todas as formas. O fraudador pode ter milhões de CPFs, mas não tem como ele ter todos os devices. E, mesmo que ele tivesse, ele também tem um comportamento próprio, seu padrão de uso”, explica Izabella Melo, engenheira de software do AllowMe.

imagem de bebê imitando a mãe, mas sem conseguir imitar o fingerprint

Ou seja, a análise de dispositivos funciona como uma impressão digital que possibilita a identificação exata da pessoa. E, com este fingerprint, é possível identificar um comportamento e detectar que aquele é um fraudador.

O poder do efeito rede

Já vimos que confiar fortemente em dados estáticos, como documentos e apenas o número do telefone celular, oferece uma visão bastante limitada na prevenção à fraude – especialmente no momento em que dados cadastrais se tornaram uma “commodity”.

Em um cenário em que mais de 220 milhões de CPFs e 100 milhões de números de celulares foram vazados, você colocaria todas essas informações em uma lista de cancelamento automático (blocklist)? Talvez isso impediria 100% de seus clientes de se relacionarem com o seu negócio.

Mas se você mesclar essas informações com os device IDs dos seus clientes, é possível identificar operações possivelmente fraudulentas e aquelas que não são.

O device, além de conter informações muito mais ricas e dinâmicas, permite um melhor uso do “efeito rede” para proteção de identidades e para garantir uma boa experiência de uso para clientes legítimos.

imagem de mãos se tocando demonstrando união

O AllowMe consegue analisar todo o padrão de comportamento dos usuários e assim impedir que fraudes ocorram antes mesmo de o golpista acessar a conta da vítima. Além disso, conhecemos e monitoramos a atuação desses dispositivos em toda nossa base de clientes, criando um efeito rede e potencializando a segurança de nossos clientes.

O AllowMe conta com toda a expertise de cybersegurança da Tempest. Ou seja: muito mais do que a já precisa análise de dispositivos, nossos clientes são brindados com uma incomparável inteligência de ameaças (threat intelligence) da maior empresa do setor na América Latina.

Se você ainda não é cliente AllowMe, nosso time comercial está pronto para te atender. Entre em contato conosco agora mesmo, é só preencher este formulário.