Account Takeovers

Você está preparado para essas novas tendências de fraude on-line?

Uma das minhas partes favoritas sobre o meu trabalho é discutir a indústria de prevenção a fraudes com meus colegas. Isso porque temos um inimigo em comum, que é uma vasta rede de fraudadores organizados, o que acaba incentivando o compartilhamento de conhecimento e inteligência, às vezes até entre concorrentes.

Um ponto em comum que notei nas conversas recentes é o foco na criação de uma maneira eficaz, porém simplificada, de verificar a identidade do cliente para pedidos digitais. Nesta parte, vou compartilhar um pouco mais sobre algumas tendências e como nos encaixamos nesse assunto.

Como todos sabemos, grandes vazamentos de dados implicam que há muitas informações pessoais à venda na dark web, tornando a validação de identidades digitais e a avaliação de riscos de transações cada vez mais difícil.

Aqui, nos deparamos com uma dura realidade: o que acontece quando todos os dados parecem combinar, mas a pessoa por trás das transações não é o verdadeiro dono?

Duas novas tendências de fraude que observamos

Nos casos em que dados roubados, como nome, endereço, CPF ou número de telefone, são usados ​​em uma tentativa de fraude, geralmente não vemos fraudadores tomando a medida extra de obter acesso à conta de e-mail da vítima. Por quê? Porque não é fácil obter o controle de uma conta de e-mail sem que a vítima saiba disso. Fraudadores trabalham em escala. Uma tentativa única de obter uma senha de e-mail por meio de phishing ou malware é demorada. Os fraudadores ignoram essa etapa em favor da criação de um novo endereço de e-mail e tentam repassá-lo com o restante dos dados roubados.

Nos casos em que dados roubados, como nome, endereço, CPF ou número de telefone, são usados ​​em uma tentativa de fraude, geralmente não vemos fraudadores tomando a medida extra de obter acesso à conta de e-mail da vítima. Por quê? Porque não é fácil obter o controle de uma conta de e-mail sem que a vítima saiba disso. Fraudadores trabalham em escala. Uma tentativa única de obter uma senha de e-mail por meio de phishing ou malware é demorada. Os fraudadores ignoram essa etapa em favor da criação de um novo endereço de e-mail e tentam repassá-lo com o restante dos dados roubados.

Em um cenário de controle de conta envolvendo um endereço de e-mail comprometido, a tendência é diferente. Aqui, os fraudadores tentam explorar as contas de consumidor existentes associadas a um endereço de e-mail violado. Depois que os fraudadores entram, eles executam técnicas para identificar contas vinculadas ao endereço de e-mail. Explorar e gerar receita com essas contas requer apenas uma redefinição de senha simples, um caminho muito mais rápido para gerar dinheiro do que criar novas contas.

Deve-se notar que este processo acontece em escala, com a automação desempenhando um grande papel. Muito preocupante em um momento em que parece que a cada semana vemos novas manchetes sobre um grande vazamento de dados.

É extremamente importante continuar observando as tendências para obter as ferramentas especializadas para combater esses tipos de fraude. Recentemente, falei com uma empresa que implementou um conjunto muito específico de soluções que visam a fraude de identidade sintética. Nesse tipo de fraude, o criminoso irá criar uma identidade através da combinação de alguns dados existentes de outras pessoas ou até mesmo fictícios. É uma tendência a se observar, pois todos sabemos como os fraudadores são rápidos para se adaptar e os vazamentos de dados continuam acontecendo.

Um olhar sobre como reagimos

O endereço de e-mail é um elemento importantíssimo de dados para uma pontuação preditiva de risco de fraude. Junto com o e-mail pode-se conectar mais de 200 outros elementos de dados, como nome, endereço, telefone, IP e device ID. O cruzamento de dados é essencial para que sua avaliação se torne mais precisa ainda.

Esse processo fornece uma visão holística de se a pessoa por trás dessa transação é quem ela afirma ser. À medida que esses dados evoluem, os e-mails que não contêm informações relevantes ou cuja identidade simplesmente bate são fáceis de identificar. O resultado é um aumento considerável nas taxas de acerto para fraudes de cartão-não-presente, estornos e fraudes de identidade sintética de maneira escalável.

No entanto, leve em conta que sua equipe é seu maior patrimônio. Os profissionais de fraude ainda são escassos no mercado e eles têm conhecimentos valiosos para analisar padrões e ajustar as ferramentas. Manter o alinhamento entre a equipe e fomentar a troca de informações sobre tendências é fundamental se você quiser triunfar nessa luta.

Concluindo

O endereço de e-mail sempre será um ótimo ponto de dado contra fraudes on-line. Mas vários outros elementos, como aprimoramento do machine learning, análise de comportamento e cruzamento com outros dados da transação, podem ser o diferencial para identificar fraudes mais precisamente.

No entanto, não há bala de prata para a prevenção de fraudes. Essas tendências precisam de uma abordagem mais sofisticada para prever e avaliar riscos. Todos devemos estar vigilantes e trabalhar juntos. Afinal, fraudadores trocam informações importantes entre eles na dark web diariamente, então se quisermos lutar de igual para igual, temos que nos unir contra esse crime organizado e compartilhar informações importantes.