A fraude de invasão de conta (em inglês account takeover) é um pesadelo para pequenos, médios, grandes e intergalácticos negócios por ser considerada uma das mais difíceis de ser identificada.
O golpe, como o nome já diz, ocorre quando o criminoso invade uma conta após obter credenciais de um cliente legítimo. A partir daí, ele tenta deixar um rastro de destruição, seja vendendo os dados na deep web, seja alterando senhas, seja comprando produtos ou serviços em nome da vítima, dentre muitas outras atividades que possam gerar lucro.
Também são muitas as formas com as quais os golpistas conseguem obter os dados. Isso pode ocorrer por vazamentos de empresas (como Mastercard e Capital One, só para citar dois exemplos mais recentes e não falar de Google, Facebook, etc) e/ou por descuido de internautas – que usam a mesma senha pra tudo, clicam em links maliciosos, etc.
Já contamos aqui algumas vezes que basta uma peça do quebra-cabeça, como um e-mail, para os criminosos acessarem uma conta – usando bots capazes de simularem e inserirem milhares de senhas por minuto, por exemplo. Para piorar, muitos e-commerces estão adotando ferramentas como “compra com um clique”, que melhoram a experiência do consumidor no checkout, mas ao mesmo tempo armazenam os dados de muitos clientes – e isso, num cenário de invasão de conta, deixaria o hacker na cara do gol.
E agora? Como saber que aquele seu antigo cliente que acabou de realizar um pedido na verdade vai virar um chargeback daqueles? Além de já existirem várias maneiras, a indústria está se encarregando de desenvolver muitas outras – e há quem diga que os novos tempos vão implicar no desuso daquelas senhas que a gente vive esquecendo. Acompanhe conosco abaixo:
Conheça o seu cliente
Os fraudadores em alguns casos deixam rastros pelo caminho que podem, no mínimo, fazer sua equipe de risco e/ou seu sistema de antifraude desconfiarem antes de dar sinal verde para uma ou mais transações.
Um cliente que possui o histórico de uma ou duas compras no mês de repente realizou dez pedidos no mesmo dia? Fez várias alterações na conta dele de uma só vez, como endereço de entrega e senha? Efetuou um pedido de ticket médio alto a partir de um device diferente do usual?
Nestes casos acima, o aconselhável é você se mexer o quanto antes. Uma boa prática é enviar uma notificação para o e-mail cadastrado pelo cliente assim que houver alteração de senha ou de outro dado cadastral. Mas isso é relativo. Dependendo do tamanho do desespero, você também pode entrar em contato com a pessoa por telefone.
Sistemas como o da Konduto, que consegue analisar milhares de métricas em menos de um segundo, são capazes de monitorar comportamentos de navegação que auxiliam os comércios eletrônicos na busca por conhecer seus clientes.
Por sinal, o “know your customer”, muito usado em estratégias de marketing para fidelização de clientes, é também essencial para a segurança de sua loja virtual. Bancos, fintechs e empresas financeiras inclusive adotam modelos nesta linha, exigindo dados detalhados logo no processo de abertura de contas para prevenir crimes como corrupção e lavagem de dinheiro.
Identifique ataques
Sim, também existem sinais de que invasores de contas escolheram o seu e-commerce para tentar praticar seus golpes de forma escalonada.
Um indício é o seu site estar recebendo centenas de solicitações de redefinição de senha. O mesmo se aplica a um cenário de seguidas tentativas de login em determinada conta.
Além disso, o próprio aumento no número de chargebacks pode mostrar que você sofreu – ou ainda está sofrendo – uma ação em massa dos golpistas, já que muitos clientes estão contestando as cobranças.
Por fim, os criminosos cibernéticos tentam cada vez mais acessar os programas de pontos de fidelidade, com os quais tanto lojistas quanto clientes não costumam se preocupar, talvez por não enxergá-los como “dinheiro de verdade”. Mas os golpistas enxergam, e uma quantidade expressiva de transferências destes pontos é um sinal de que invasores conseguiram uma brecha para usá-los em seus negócios inescrupulosos.
Autenticação de dois fatores
Além de conhecer o cliente e de ter ferramentas capazes de monitorar comportamento de navegação, inserir um segundo fator de autenticação – depois da inserção da senha – tem sido uma arma eficaz de lojas e serviços virtuais contra o golpe de invasão de contas.
Este segundo fator já tem bastante variações – desde o “velho” SMS enviado ao telefone celular do cliente a até sistemas de biometria e reconhecimento facial ou de voz.
Alguns especialistas acreditam que a senha vá cair cada vez mais em desuso, em detrimento das novas tecnologias de autenticação. Neste cenário, “o que sei” (a minha senha) deixaria de ser relevante, e as transações seriam concluídas a partir “do que tenho” (o telefone e afins) e “do que sou” (a minha impressão digital e etc).
Também vale ressaltar que a notificação por push funcionou bem no combate a fraudes para setores como o bancário. Neste caso, o acesso à conta só é possível a partir de um token de acesso enviado ao smartphone do cliente – o que envolve mais um grande fornecedor no sistema de segurança, como Google ou Apple.
No caso de um e-commerce ou marketplace que venda produtos ou serviços de preços variados, uma outra medida que tem sido adotada é gerar uma senha única (“one-time password”) para os casos de compras superiores a determinado valor.
Troque conhecimentos
Na Konduto, acreditamos que a construção de uma rede colaborativa, que compartilhe conhecimento e informações, também é fundamental para o enfrentamento da invasão de contas – e da fraude como um todo, tanto que criamos o Fraud Day, primeiro evento voltado para profissionais da área de risco.
No Brasil, companhias aéreas concorrentes já atuam juntas na identificação de golpes e em formas de defesa. Em países como o Canadá, bancos concorrentes se uniram no desenvolvimento de uma “blocklist” e compartilharam os dados entre si – algo que aqui ainda não é possível por questões de privacidade.
Outra maneira de agir é apostar na sinergia entre a área de prevenção à fraude das empresas e setores como o de segurança digital, possibilitando um trabalho em conjunto para evitar golpes como os de invasão de conta e também para proteger os dados do cliente – que, se está no seu site, é porque confiou em você.
A fraude de invasão de contas causa prejuízos bilionários para o e-commerce ao redor do mundo. No Brasil, o preço do chargeback vai para o bolso do varejista, que em muitos casos também arca com custos de operações, atendimento, frete e muitos outros ao longo deste processo, além de eventuais danos à imagem da empresa.
Lembre-se: um ambiente on-line mais seguro para todos é um combustível para a expansão ainda maior do comércio eletrônico brasileiro.