À medida que a identificação digital molda cada vez mais o acesso e a interação das pessoas a dados e serviços fornecidos virtualmente, as fraudes de apropriação indevida de conta representam hoje uma das maiores ameaças à segurança cibernética, correspondendo, globalmente, a mais de um terço de todos os ciberataques enfrentados pelas organizações.

O dado é de um white paper recentemente publicado pela Keyless, especialista em privacidade e segurança digital, em parceria com a plataforma Fintech Futures. 

Aliás, em se tratando de fraudes, a edição mais recente do relatório de riscos e crimes cibernéticos da plataforma global LexisNexis® Digital Identity Network® confirma esse comportamento. 

Segundo a publicação, identificou-se um aumento de quase 20% nas fraudes digitais em 2023, na comparação com 2022, com a apropriação indevida de contas  sendo a que mais cresceu, registrando elevação de 29%.

A saber, uma apropriação indevida de conta se dá quando alguém obtém acesso não autorizado à conta de outra pessoa, visando, quase sempre, a prática de atos ilícitos, como as fraudes.

Quando o fraudador é bem-sucedido, as consequências vão desde o roubo de identidade, a perdas financeiras, retenção e exposição de dados sigilosos, disseminação de desinformação e danos à reputação, podendo atingir indivíduos e empresas.

Nesse cenário, as técnicas que os cibercriminosos utilizam para se apropriar indevidamente de contas de terceiros e praticar fraudes vêm se sofisticando. Eles adaptam continuamente suas táticas para contornar os padrões de segurança mais recentes, tornando a detecção e a prevenção uma tarefa desafiadora.

Razão pela qual empresas e, especialmente, instituições e autoridades financeiras ao redor do mundo têm se debruçado na procura por soluções e realização de testes de resiliência cibernética para melhor lidar com as ameaças.

O que facilita as fraudes de apropriação indevida de conta

De acordo com os especialistas da Keyless, normalmente, para proceder com fraudes dessa natureza, um cibercriminoso precisará acessar ou falsificar pelo menos um desses quatro itens: nome de usuário e senha, número de telefone celular, conta de e-mail e dados biométricos.

Esses quatro elementos-chave, afirmam, se configuram como a principal porta de entrada para criminosos cibernéticos que buscam explorar vulnerabilidades e obter acesso não autorizado.

Diante disso, eles identificaram três catalisadores que contribuem para a crescente participação da apropriação indevida de conta no universo de fraudes digitais atualmente. Foi estimado que 24 bilhões de nomes de usuários e senhas circulam em mercados criminosos, geralmente na dark web.

O primeiro desses facilitadores, apontam, é o fato de quase um terço dos usuários da internet reutilizar a mesma senha em cinco a dez sites distintos. Consequentemente, os fraudadores costumam comprar conjuntos de credenciais em massa, testando, assim, a sorte em milhares de sites e aplicativos na esperança de obter uma correspondência. 

Outro catalisador para fraudes de apropriação indevida de conta são protocolos de autenticação insuficientes ou fracos, alimentando significativamente a ação dos fraudadores. 

Já o terceiro desses facilitadores é a automação simplificada de tarefas usando regras predefinidas e o uso da inteligência artificial (IA). Conforme a equipe da Keyless, hoje em dia, os fraudadores se valem de ambas para disseminar ataques com velocidade e escala sem precedentes. 

Isto porque, expõem, os cibercriminosos aproveitam a automação para testar sistematicamente credenciais roubadas obtidas em violações de dados, enquanto a IA pode ser usada para adaptar de forma dinâmica estratégias de ataque, como coleta rápida de informações ou geração aleatória de senhas.

Como minimizar as ameaças de fraudes?

Em sua análise, a Keyless é taxativa: “enquanto houver contas, haverá invasões”. Contudo, com as estratégias e medidas de segurança certas, as fraudes de apropriação indevida de conta podem ser substancialmente mitigadas. 

Primeiramente, seus especialistas explicam que implementar uma abordagem de segurança em várias camadas continua sendo essencial para proteger contas e informações confidenciais. 

Nesse contexto, indicam, existem muitas estratégias eficazes que podem ajudar a evitar invasões de contas, incluindo mecanismos de autenticação mais fortes, auditorias de segurança regulares, detecção de ameaças em tempo real, gerenciamento de dispositivos, monitoramento de aplicativos de terceiros e gerenciamento de patches. Esse último corresponde ao controle das atualizações de sistemas operacionais e aplicações.

Ainda de acordo com eles, entre essas medidas preventivas, uma das mais eficazes é a implementação da autenticação forte, pois ela já detém os fraudadores antes de uma eventual invasão. Em outras palavras, sem acesso, sem fraudes de apropriação indevida de conta.

Além disso, o que se constatou é que os sistemas baseados em senha não são mais suficientes para impedir os invasores de hoje, o que levou à criação da categoria de autenticação sem precisar de senha.

É aí onde surge, por exemplo, a autenticação multifatorial, exigindo que os usuários se identifiquem usando dois ou mais desses três fatores exclusivos: biometria, posse de tokens ou dispositivos e conhecimento de PINs (sigla para representar um código numérico ou alfanumérico de acesso).

Existem ainda as autenticações baseadas em aplicativo, e-mail e em número de telefone. Porém, de acordo com os analistas da Keyless, embora elas sejam alternativas valiosas, a autenticação biométrica é a opção mais atraente. 

Afinal, é o único método capaz de garantir que a pessoa que está acessando é legítima. Além disso, a biometria não pode ser perdida ou esquecida e é excepcionalmente difícil de replicar.

Testes de resiliência cibernética ampliam estratégias de mitigação

Em um cenário onde as fraudes e outros tipos de ameaças à segurança cibernética seguem em evolução – segundo estudo da Marsh e da Microsoft, cerca de 75% das organizações enfrentam, mundialmente, pelo menos um ataque do gênero -, a resiliência cibernética se torna cada vez mais relevante.

Na verdade, sua eficiência vai além de adotar medidas de segurança robustas, implicando na necessidade de implementação de uma abordagem holística para se proteger contra as fraudes e outras formas de ataques digitais. 

Assim, os testes de estresse para avaliar a resiliência cibernética começam a fazer parte da rotina de várias organizações, principalmente do setor financeiro.

Um exemplo recente é o do Banco Central Europeu (BCE), que concluiu, em julho desse ano, seu teste de estresse de resiliência cibernética, a fim de compreender como os bancos agiriam e se recuperariam de uma falha de segurança cibernética grave, mas provável.

O ambiente de testes foi lançado em janeiro desse ano, criando uma situação fictícia por meio da qual todas as medidas preventivas falharam e um ataque cibernético afetou gravemente os bancos de dados dos principais sistemas de cada instituição. 

Como resultado, a iniciativa revelou que os 109 bancos testados, dos quais 28 passaram por experimentos mais extensos, possuem estruturas de resposta e recuperação em vigor, mas ainda há oportunidades de melhoria. 

De acordo com o BCE, as respostas obtidas servirão para fomentar seu Processo de Revisão e Avaliação de Supervisão de 2024 e ajudarão a aumentar a conscientização dos bancos sobre os pontos fortes e fracos de suas estruturas de resiliência cibernética.

Veja também:

O que as empresas estão fazendo para te proteger das fraudes?

Fraudes financeiras seguem como grande desafio para a digitalização

Fraudes financeiras: estratégias para enfrentar os riscos e os desafios da prevenção

Fraudes atingem mais empresas no Brasil do que em outros países

Fraudes em pagamentos atingem um em cada cinco consumidores globalmente