O que é uma Fraude de Account Takeover?
Account takeover (ATO) é uma forma de fraude na qual os fraudadores acessam e assumem o controle ilicitamente das contas dos usuários. Uma vez que o fraudador ganha controle de uma conta, ele pode se envolver em uma série de atividades, incluindo transações financeiras não autorizadas, alteração das configurações da conta para excluir o proprietário legítimo, acesso a informações pessoais sensíveis ou até mesmo usar a conta comprometida para se passar pelo proprietário para atividades fraudulentas adicionais.
A fraude de ATO representa uma ameaça significativa tanto para indivíduos quanto para empresas, pois pode levar a perdas financeiras, roubo de identidade e várias outras formas de crimes cibernéticos.
Como Account Takeover funciona?
A chave para um ataque de account takeover bem sucedido é obter os detalhes de login de uma conta ou ganhar acesso remoto aos dispositivos dos usuários. Aqui estão algumas das táticas que os fraudadores usam para conduzir ATO::
Explorando permissões de acessibilidade: Isso envolve aproveitar recursos projetados para auxiliar os usuários em smartphones, especialmente aqueles com deficiências. Esses recursos exigem que os usuários concedam permissões de acessibilidade, dando aos aplicativos amplo acesso aos seus dispositivos. Embora essenciais para alguns usuários, essas permissões podem ser mal utilizadas por fraudadores para atividades maliciosas. Isso lhes permite assumir o controle do dispositivo, sendo possível monitorar remotamente a tela do dispositivo, o que o usuário digita, além de ter acesso a todos os aplicativos instalados. Durante esse controle, o golpista acessa a lista de apps disponíveis no celular da vítima, coletando dados que o usuário digita ou exibe, como credenciais de login, senhas e números de cartão de crédito. O fraudador também intercepta códigos de autenticação. Armado com essas informações, o fraudador se infiltra na conta bancária da vítima, realizando transações fraudulentas e roubando fundos.
Ataques de Engenharia Social: Os fraudadores manipulam os usuários para compartilhar suas credenciais de login, sendo a forma mais comum de engenharia social o phishing ou spear-phishing. Nesses ataques, os criminosos enviam mensagens ou e-mails que parecem ser de fontes legítimas, como bancos ou organizações confiáveis. Essas mensagens frequentemente contêm links para sites/aplicativos falsos criados para coletar informações confidenciais ou para enganar o usuário a instalar malware. Armado com as credenciais da vítima, o fraudador assume o controle de sua conta bancária.
Ataque de Força Bruta: Fraudador tenta violar uma senha ou nome de usuário usando uma abordagem de tentativa e erro e esperando que, em algum momento, seja possível adivinhá-la. Também podem usar ferramentas que ajudam a automatizar o ataque;
Credential stuffing: Fraudadores usam bots para testar combinações de nomes de usuários e senha em vários sites. Um exemplo: podem testar as credenciais de uma conta de e-commerce na conta bancária. Isso porque as pessoas costumam reutilizar suas senhas em diferentes plataformas, o que significa que se uma conta for invadida, as outras também correm risco.
7 Sinais de Fraude de Account Takeover
Reconhecer os sinais de fraude de account takeover é crucial para proteger seu ecossistema e as contas de seus usuários.
Veja 7 sinais claros de que sua plataforma está sofrendo um ataque de ATO:
Múltiplas contas acessadas a partir de um único dispositivo
Normalmente, todas as contas tomadas são associadas a um único dispositivo operado pelo fraudador. De acordo com a nossa experiência, quer sejam dez mil contas ou apenas cinco contas vinculadas ao mesmo dispositivo, esse comportamento do usuário é motivo suficiente para justificar uma investigação mais aprofundada.
Dispositivos desconhecidos
A identificação repentina de dispositivos não reconhecidos conectados à mesma conta ou múltiplos logins de diferentes localizações em um curto espaço de tempo indicam sinais potenciais de um ataque de apropriação de conta.
Múltiplas contas exibindo informações similares
Uma vez que os fraudadores obtêm acesso às credenciais, eles visam assumir o controle da conta e impedir que os usuários a recuperem. Para isso, eles alteram as credenciais, números de telefone e endereços de e-mail, tudo para evitar que o proprietário da conta seja notificado e recupere o acesso. Por exemplo, se 20 usuários atualizarem repentinamente seus detalhes de contato para o mesmo número no mesmo dia, isso pode indicar um possível ATO.
Atividade de conta incomum
Mudanças súbitas e inesperadas nas configurações da conta, como endereço de e-mail, senha ou informações de contato, representam um claro sinal de um ataque de account takeover.
Aqui está um exemplo de como a atividade incomum da conta pode ser um indício de ataque de ATO:
- O cliente atualiza os detalhes de contato;
- Dentro de 24 horas, o usuário faz login de um novo dispositivo;
- O cliente compra algo com um novo endereço de entrega.
Comportamento de conta incomum
Outro indicador de um ataque de ATO é quando a conta passa por uma mudança de comportamento, exibindo padrões de uso distintos, atividades de compra incomuns ou realizando ações que fogem do comportamento típico do proprietário legítimo da conta.
Tentativas de login sem sucesso
Múltiplas tentativas de login sem sucesso também podem ser suspeitas. As organizações devem investigar tentativas de login repetidas (e todas sem sucesso) como um indicador de ATO. Geralmente são fraudadores tentando testar ou adivinhar credenciais.
Múltiplos endereços IP ou geolocalizações
Outro sinal de um ataque de account takeover é se houver múltiplas tentativas de login em uma única conta de diferentes localizações. As empresas devem ficar atentas se observarem mudanças rápidas na geolocalização de um dispositivo em um curto período de tempo.
Além disso, os clientes normalmente acessam serviços de algumas localizações específicas e comuns, como casa e trabalho, e costumam usar o mesmo dispositivo. Se um cliente estiver fazendo login em mais endereços IP do que o habitual, geralmente é um indicador de ATO.
Detecção e Prevenção de Fraude de Account Takeover
Detectar ataques de account takeover é um desafio para as empresas. A abordagem mais eficaz envolve identificar cada dispositivo físico usado para acessar a plataforma, descobrir quando um fraudador tenta mascarar o device fingerprint ou redefinir o dispositivo para parecer novo e também monitorar a atividade da conta e analisar o comportamento do usuário em tempo real. Isso enfatiza a necessidade das empresas investirem em soluções avançadas de detecção e prevenção de fraudes capazes de:
- Sinalizar dispositivos e configurações suspeitas em tempo real que indicam que alguém está tentando falsificar um device para acessar uma conta;
- Fornecer o que há de mais recente em algoritmos de IA e machine learning, possibilitando processar grandes quantidades de dados em tempo real, incluindo informações do dispositivo, dados de rede, dados comportamentais e padrões históricos, para fornecer insights acionáveis;
- Analisar o comportamento do usuário em tempo real e identificar ferramentas maliciosas que podem ser usadas por eles para conduzir atividades fraudulentas;
- Garantir uma abordagem proativa contra novos e desconhecidos ataques de fraude.
Como a SHIELD protege negócios e as contas de seus usuários de ataques de ATO
Proteger seu aplicativo e as contas de seus clientes contra fraudes de account takeover é crucial, e envolve a implementação de software de detecção e prevenção de fraudes com uma abordagem proativa para combater a ameaça em constante evolução.
A tecnologia da SHIELD, baseada em dispositivos, é impulsionada pela mais avançada tecnologia de device fingerprint e pelos mais recentes algoritmos de IA e machine learning. Ela identifica a fraude em sua raiz e analisa milhares de dispositivos, redes e dados comportamentais para fornecer insights acionáveis em tempo real. A solução permite a detecção de tentativas de account takeover por meio da combinação dos recursos:
SHIELD Device ID
Identifica com precisão cada dispositivo físico usado para acessar seu aplicativo. É extremamente preciso e persistente, detectando quando um fraudador tenta mascarar o device fingerprint ou redefinir o dispositivo para parecer novo.
Nossa tecnologia de device fingerprint é fundamental para detectar e eliminar ataques de ATO. Ela sinaliza dispositivos e configurações suspeitas que indicam que alguém está tentando falsificar um dispositivo para acessar uma conta.
SHIELD Risk Intelligence
Com SHIELD Risk Intelligence, monitoramos continuamente cada sessão do dispositivo, identificando quando um bom usuário exibe sinais de comportamento fraudulento. O recurso detecta quando ferramentas maliciosas geralmente usadas para realizar ataques de account takeover, como emuladores, compartilhamento de tela, clonadores de aplicativos, estão sendo usadas.
A SHIELD também permite que plataformas online se mantenham proativas contra novos e desconhecidos ataques de fraude com nossa Global Intelligence Network, uma biblioteca atualizada continuamente com todos os padrões de fraude que já vimos, bem como as mais recentes técnicas maliciosas. Nossa IA atualiza constantemente esta biblioteca com novas ferramentas e técnicas maliciosas, incluindo proxies, VPNs, ferramentas TOR, bem como endereços IP maliciosos, antes que se tornem mainstream, garantindo uma abordagem proativa para a prevenção de fraudes.
Veja como a tecnologia da SHIELD pode proteger sua plataforma contra ataques de account takeover. Agende sua demo!
