Blog da KondutoProteja sua loja

Identidade sintética: quando um fraudador tenta “envelhecer” como um bom vinho

Por 28 de janeiro de 2019 Maio 9th, 2019 Nenhum comentário

Você certamente já deve ter ouvido que “quanto mais velho, melhor o vinho”, certo? Bom, essa máxima não é 100% verdadeira, mas inspirou alguns fraudadores a desenvolverem um novo tipo de golpe: a identidade sintética. Esta prática, revelada pelos nossos parceiros da Emailage, é um exemplo muito marcante de golpe que busca driblar modelos de antifraude que são baseados em regras condicionais – e bastante suscetíveis a erro.

Este artigo é uma adaptação kondutiana do original Fraude de identidade sintética: Fique esperto com as células adormecidas, publicado no blog da Emailage, parceira da Konduto no combate à fraude cibernética. Aliás, eles têm um blog muito bom também sobre análise de risco, e se você não conhece ainda vale ficar de olho!

O que é uma identidade sintética?

Se você acompanha o blog da Konduto há mais tempo, já deve ter lido nosso revelado sobre as top 5 ferramentas da fraude – e que uma delas era o gerador de CPF, lembra? Pois então, a identidade sintética está relacionada a esta geração de documentos. “Os fraudadores não precisam de 100% das informações pessoais de alguém. Qual é a jogada? Eles podem simplesmente sintetizar esses dados”, explica a Emailage.

Os criminosos podem fazer isso de três maneiras: combinar CPFs legítimos com um nome falso; utilizar um CPF inativo e associá-lo a um nome real (de uma criança que ainda não possua um cadastro de pessoa física, ou até mesmo de uma pessoa já falecida); ou, então, fabricar do zero um nome e CPF.

E para que serve?

Essas informações serão usadas para criar logins em diversos sites e serviços da internet: e-mail, cadastros em e-commerces, redes sociais… não é tão difícil, convenhamos. Enquanto escrevia este artigo, resolvi criar um perfil para um dos meus personagens favoritos da literatura brasileira. E, bom, em poucos segundos o Geraldo Viramundo, o antiheroi de O Grande Mentecapto, já tinha perfil em rede social, um e-mail bem convincente (viramundogeraldo@gmail.com) e até conta em loja virtual com um CPF “válido” (o clássico 123.456.789-09).

E aí os hackers vão lá e fazem várias fraudes, é isso?

É, eu também achei que essa seria a sequência lógica. Uma vez criada a conta falsa, o fraudador não pensaria duas vezes e já sairia por aí fazendo várias compras como se não houvesse amanhã, né?

Lendo o artigo da Emailage eu aprendi que não é bem assim, e é aí que reside a sagacidade do golpe. Os fraudadores terminam a criação da conta e a “esquecem” por um período, deixando-a maturar – como se fosse um vinho, que passa um bom tempo envelhecendo em barris de carvalho, adquirindo aromas e taninos.

Burlando as regras

“Os fraudadores sabem que você tem regras sobre as contas de clientes, e para driblar este controle eles criam conta e as chocam por tempo suficiente para que pareçam legítimas – pode ser de 3 a 6 meses. A quantidade exata de tempo vai depender de quanto as suas regras foram testadas – e acredite, eles as testaram mais do que você. Assim, eles tentarão dar a impressão de que essas contas representam clientes bons, e suas regras se tornarão irrelevantes”, alerta a Emailage.

Confesse, em algum momento você (assim como eu) pensou que um cliente com uma conta recém-criada fosse muito mais perigoso do que alguém que acabou de se cadastrar no seu e-commerce, né? Isso é um problema quando falamos de antifraudes baseados em regras condicionais e maniqueístas do tipo “sim/não”, “bom/mau” – rotulando uma conta nova como perigosa e uma conta antiga como baixo risco.

Vocês não vão me dar nenhuma dica?

Claro que vamos! Começando pela dica da Emailage:

“Para ficar um passo à frente, considere combinar a idade da conta ao valor das transações associadas a ela. Isso significa que uma conta de seis meses, com atividade mínima, não deve ser ignorada pelo seu radar de fraude – em vez disso, considere-a como se fosse um novo cliente. Já no caso de uma conta de seis meses e R$ 5 mil em transações associadas a ela, considere-a legítima”.

E bom, também vamos dar uma dica da Konduto:

Quando falamos de análise de risco nos dias de hoje, a técnica de regras condicionais já está bastante defasada no tempo. Porque, como nossos amigos da Emailage disseram, fraudadores sabem mais sobre essas regras do que a própria loja. Então, se você criar controles inflexíveis e condicionais desta forma, a chance de a performance da sua operação antifraude despencar é enorme.

Na Konduto você até pode criar regras de aprovação/cancelamento automático de pedidos, mas não precisa. Nossa tecnologia de inteligência artificial e monitoramento do comportamento de navegação e compra do cliente leva em consideração milhares de fatores – muitas delas imperceptíveis para um humano. No total, são 2 mil variáveis levadas em consideração pelos nossos algoritmos.

Então, o simples fato de uma conta de usuário ser nova ou antiga não seria determinante para a Konduto classificar uma transação como boa ou suspeita. Esta informação é apenas mais um componente que nossos poderosos algoritmos levam em consideração na hora de analisar o risco de fraude de um pedido. Logo, fica muito mais difícil para o fraudador realizar testes e burlar regras – nossos sistemas sempre estarão um passo à frente.

Você já assina a newsletter da Konduto?

Felipe Held

Autor Felipe Held

Maratonista, palmeirense, beatlemaníaco e enciclopédia de piadas do Chaves, Felipe também é Head de Comunicação e Marketing da Konduto. Jornalista pela Cásper Líbero e pós-graduado em marketing pela ESPM, trabalhou em redações esportivas de Gazeta, UOL e Terra antes de entrar para o time do melhor antifraude do e-commerce em 2015. Já entrevistou Pelé, Maria Esther Bueno, Guga, Guardiola e Bernardinho, mas o dia mais incrível da carreira foi quando apresentou o Fraud Day.

Mais posts de Felipe Held