Blog da KondutoDestaquesFeaturedProteja sua loja

Identidade sintética: quando um fraudador tenta “envelhecer” como um bom vinho

Por 28 de janeiro de 2019 maio 12th, 2021 Um comentário

*Conteúdo atualizado em 12/05/2021*

Você certamente já deve ter ouvido que “quanto mais velho, melhor o vinho”, certo? Bom, essa máxima não é 100% verdadeira, mas inspirou alguns fraudadores a desenvolverem um novo tipo de golpe: a identidade sintética. Esta prática, é um exemplo muito marcante de golpe que busca driblar modelos de antifraude que são baseados em regras condicionais – e bastante suscetíveis a erro.

Assim como um time que joga junto, neste artigo batemos uma bola com a LexisNexis Risk Solutions, parceira da Konduto no combate à fraude cibernética, para que você tenha informações preciosas sobre a identidade sintética e como ela tem sido usada pelos fraudadores.

O que é uma identidade sintética?

Se você acompanha o blog da Konduto há mais tempo, já deve ter lido nosso revelado sobre as top 5 ferramentas da fraude – e que uma delas era o gerador de CPF, lembra? Pois então, a identidade sintética está relacionada a esta geração de documentos. “Os fraudadores não precisam de 100% das informações pessoais de alguém. Qual é a jogada? Eles podem simplesmente sintetizar esses dados”, explica a LexisNexis.

Os criminosos podem fazer isso de três maneiras: combinar CPFs legítimos com um nome falso; utilizar um CPF inativo e associá-lo a um nome real (de uma criança que ainda não possua um cadastro de pessoa física, ou até mesmo de uma pessoa já falecida); ou, então, fabricar do zero um nome e CPF.

E para que serve?

Essas informações serão usadas para criar logins em diversos sites e serviços da internet: e-mail, cadastros em e-commerces, redes sociais… não é tão difícil, convenhamos. Enquanto escrevia este artigo, resolvi criar um perfil para um dos meus personagens favoritos da literatura brasileira. E, bom, em poucos segundos o Geraldo Viramundo, o antiheroi de O Grande Mentecapto, já tinha perfil em rede social, um e-mail bem convincente (viramundogeraldo@gmail.com) e até conta em loja virtual com um CPF “válido” (o clássico 123.456.789-09).

E aí os hackers vão lá e fazem várias fraudes, é isso?

É, eu também achei que essa seria a sequência lógica. Uma vez criada a conta falsa, o fraudador não pensaria duas vezes e já sairia por aí fazendo várias compras como se não houvesse amanhã, né?

Na verdade, eu aprendi que não é bem assim, e é aí que reside a sagacidade do golpe. Os fraudadores terminam a criação da conta e a “esquecem” por um período, deixando-a maturar – como se fosse um vinho, que passa um bom tempo envelhecendo em barris de carvalho, adquirindo aromas e taninos.

Burlando as regras

“Os fraudadores sabem que você tem regras sobre as contas de clientes, e para driblar este controle eles criam contas e as chocam por tempo suficiente para que pareçam legítimas – pode ser de 3 a 6 meses. A quantidade exata de tempo vai depender de quanto as suas regras foram testadas – e acredite, eles as testaram mais do que você. Assim, eles tentarão dar a impressão de que essas contas representam clientes bons, e suas regras se tornarão irrelevantes”, alerta a LexisNexis.

Confesse, em algum momento você (assim como eu) pensou que um cliente com uma conta recém-criada fosse muito mais perigoso do que alguém que já tinha cadastro no seu e-commerce, né? Isso é um problema quando falamos de antifraudes baseados em regras condicionais e maniqueístas do tipo “sim/não”, “bom/mau” – rotulando uma conta nova como perigosa e uma conta antiga como baixo risco.

Vocês não vão me dar nenhuma dica?

Claro que vamos! Começando pela dica da LexisNexis:

“Para ficar um passo à frente, considere combinar a idade da conta ao valor das transações associadas a ela. Isso significa que uma conta de seis meses, com atividade mínima, não deve ser ignorada pelo seu radar de fraude – em vez disso, considere-a como se fosse um novo cliente. Já no caso de uma conta de seis meses e R$ 5 mil em transações associadas a ela, considere-a legítima”.

E, bom, também vamos dar uma dica da Konduto:

Quando falamos de análise de risco nos dias de hoje, a técnica de regras condicionais já está bastante defasada no tempo. Porque, como nossos amigos da LexisNexis disseram, fraudadores sabem mais sobre essas regras do que a própria loja. Então, se você criar controles inflexíveis e condicionais desta forma, a chance de a performance da sua operação antifraude despencar é enorme.

Na Konduto você até pode criar regras de aprovação/cancelamento automático de pedidos, mas não precisa. Nossa tecnologia de inteligência artificial e monitoramento do comportamento de navegação e compra do cliente leva em consideração milhares de fatores – muitas delas imperceptíveis para um humano. No total, são 2 mil variáveis levadas em consideração pelos nossos algoritmos.

Então, o simples fato de uma conta de usuário ser nova ou antiga não seria determinante para a Konduto classificar uma transação como boa ou suspeita. Esta informação é apenas mais um componente que nossos poderosos algoritmos levam em consideração na hora de analisar o risco de fraude de um pedido. Logo, fica muito mais difícil para o fraudador realizar testes e burlar regras – nossos sistemas sempre estarão um passo à frente.

Você já assina a newsletter da Konduto?

Felipe Held

Autor Felipe Held

Maratonista, palmeirense, beatlemaníaco e enciclopédia de piadas do Chaves, Felipe foi Head de Comunicação e Marketing da Konduto entre outubro de 2015 e outubro de 2020. Jornalista pela Cásper Líbero e pós-graduado em marketing pela ESPM, trabalhou em redações esportivas de Gazeta, UOL e Terra antes de entrar para o mundo de prevenção à fraude. Já entrevistou Pelé, Maria Esther Bueno, Guga, Guardiola e Bernardinho, mas diz que os dias mais incríveis da carreira foi quando apresentou a duas primeiras edições do Fraud Day.

Mais posts de Felipe Held

Join the discussion Um comentário

Deixe um comentário