O que é account takeover?
Account takeover (ATO) é um tipo de fraude em que cibercriminosos conseguem acessar e controlar contas bancárias de usuários com objetivo de fazer transações não autorizadas, transferir fundos ou realizar outras atividades maliciosas.
Para cometer esse crime, fraudadores precisam acessar ou falsificar pelo menos uma dessas três informações:
Login e Senha: A forma mais comum de invadir contas é através de nome de usuário roubado ou vazado e combinações de senha. Senhas fracas ou reutilizadas agravam o risco, por isso é recomendado que usuários usem senhas fortes e diferentes para cada conta que possuem.
Número de celular: são usados para que fraudadores tenham acesso ao segundo fator de autenticação (2FA). Ao ganhar acesso ao celular da vítima, cibercriminosos podem interceptar códigos de autenticação enviados por mensagem, conseguindo contornar camadas extras de segurança. Celulares também podem ser usados para que fraudadores abusem de permissões de acessibilidade, podendo controlar o dispositivos da vítima através de aplicativos maliciosos que monitoram todo conteúdo exibido e permitem acesso a outros apps que estejam instalados no device.
Conta de email: são peças-chave para processos de recuperação de contas. Fraudadores que conseguem acessar os emails das vítimas podem resetar senhas de várias contas linkadas ao endereço de email.
Tais informações são obtidas através de técnicas como:
- Ataques de engenharia social - Fraudadores manipulam usuários desavisados para expor dados, infectar dispositivos por malware ou dar acesso a sistemas restritos.
Phishing ou spear-phishing são um exemplo deste tipo de ameaça e o mais comum em ATO. Nele, criminosos enviam mensagens ou emails que parecem ser de fontes legítimas, como bancos ou organizações confiáveis. Essas mensagens geralmente contêm links para sites falsos criados para coletar informações confidenciais ou para que o usuário instale um malware. De acordo com algumas estimativas, mais de 3 bilhões de e-mails maliciosos são enviados todos os dias. - Ataque de força bruta - Fraudador tenta violar uma senha ou nome de usuário usando uma abordagem de tentativa e erro e esperando que, em algum momento, seja possível adivinhá-la. Também podem usar ferramentas que ajudam a automatizar o ataque;
- Credential stuffing - Fraudadores usam bots para testar combinações de nomes de usuários e senha em vários sites. Um exemplo: podem testar as credenciais de uma conta de e-commerce na conta bancária. Isso porque as pessoas costumam reutilizar suas senhas em diferentes plataformas, o que significa que se uma conta for invadida, as outras também correm risco;
- Troca de SIM - Criminosos enganam a operadora de celular da vítima e os convence a transferir o número do celular para um novo cartão SIM, ao qual apenas eles têm acesso. Isso permite que eles recebam códigos de autenticação e controlem as contas linkadas ao número de telefone da vítima.
Explorando uma tática nova e alarmante: abuso de permissões de acessibilidade
À medida que a tecnologia avança, as técnicas usadas pelos fraudadores para conduzir ataques de account takeover também evoluem e tornam-se cada vez mais sofisticadas. Cibercriminosos mudam suas táticas constantemente para despistar sistemas de segurança, tornando a detecção e prevenção mais desafiadoras.
Além de todos os métodos mencionados acima, há uma tática nova e particularmente alarmante em jogo: os fraudadores agora exploram permissões de acessibilidade para conduzir ataques de account takeover (ATO). Ao contrário das táticas tradicionais, onde os fraudadores precisam de acesso a contas de e-mail, nomes de usuário e senhas ou um número de telefone para executar a fraude, esta nova abordagem permite que eles obtenham acesso remoto aos dispositivos dos usuários. Assustador, né? Antes de nos aprofundarmos nos detalhes de como isso funciona, vamos entender o que é.
Recursos de acessibilidade estão disponíveis nos sistemas operacionais Android e iOS para ajudar usuários a utilizarem seus smartphones - idosos e pessoas com necessidades especiais, por exemplo. As funcionalidades incluem leitura de tela, comandos de voz, captura de teclas digitadas e outras tecnologias assistivas.
Para habilitar esses serviços em um app, é necessária permissão de acessibilidade, que dá aos aplicativos acesso total ao dispositivo do usuário. Embora a permissão seja importante para habilitar recursos de acessibilidade, ela também carrega riscos que podem comprometer os dados dos usuários. Isso porque, se usada por fraudadores, pode se tornar ferramenta para atividades maliciosas.
Cada vez mais, cibercriminosos estão aproveitando o recurso para assumir o controle de smartphones e cometerem fraudes. Quando isso acontece, os usuários tornam-se incapazes de desinstalar o aplicativo ou até mesmo reiniciar o dispositivo.
Como, na prática, isso acontece?
1. Um usuário instala um malware através de um link de phishing que recebe por email ou SMS. A mensagem finge ser de um aplicativo legítimo;
2. O aplicativo malicioso passa a enviar push pedindo para que o usuário permita acessibilidade;
3. O usuário concede a permissão e o fraudador começa a controlar o dispositivo (tudo que é exibido em tela, digitado e todos os apps instalados);
4. O cibercriminoso acessa a lista de apps instalados no dispositivo e coleta dados que o usuário digita ou exibe em sua tela (login, senha, números de cartão de crédito...) e intercepta o código de autenticação;
5. Ao acessar todas essas informações, o fraudador entra na conta bancária da vítima e realiza transações fraudulentas e roubo de fundos.
Durante o ataque, o malware explora os serviços de acessibilidade para:
- Espiar a atividade dos usuários
- Impedir a remoção do aplicativo malicioso, seja da página inicial ou das configurações
- Evitar suspensão ou desligamento do processo
Impacto de ATO para o setor de bancos digitais
No mundo dos bancos digitais, onde todas as transações acontecem online, a fraude de account takeover (ATO) é um grande problema.
Confira os principais impactos deste tipo de fraude:
Prejuízos financeiros: Account takeovers resultam em prejuízos financeiros tanto para instituições bancárias quanto para os clientes que tiveram suas contas violadas.
Violação de dados: Uma ATO bem-sucedida geralmente envolve a violação de informações confidenciais do usuário. Isso pode incluir credenciais de login, detalhes pessoais e dados financeiros. A exposição de tais informações pode ter consequências graves para os indivíduos afetados e minar a confiança nos serviços bancários digitais.
Roubo de identidade: Ao obter controle da conta de um usuário, os fraudadores podem se passar pelo titular da conta, possibilitando que eles cometam uma série de outros crimes relacionados à identidade, como solicitar empréstimos, cartões de crédito e outras fraudes financeiras em nome da vítima.
Falta de confiança dos usuários: Clientes esperam que suas instituições financeiras forneçam serviços confiáveis, garantindo a segurança de seus dados e dinheiro. Um incidente de account takeover pode quebrar a confiança e fazer com que o usuário encerre sua conta e parta para concorrência.
Como prevenir ATO e garantir a segurança de contas bancárias?
Proteger seu app bancário e a conta dos seus clientes contra fraude de account takeover é essencial e isso significa implementar um software de prevenção a fraude, com uma abordagem proativa e não reativa ao problema, que é constante e evolui com o tempo.
A solução de inteligência de risco da SHIELD identifica fraude na raiz e analisa milhares de dispositivos, redes de dados comportamentais para fornecer insights acionáveis em tempo real. Nossa tecnologia permite detectar tentativas de account takeover através da combinação dos recursos:
SHIELD Device ID
Identifica cada dispositivo físico usado para acessar seu aplicativo bancário. É extremamente acurado e persistente, detectando quando o fraudador tenta mascarar o device fingerprint ou restaurar o dispositivo para parecer um novo.
Nossa tecnologia proprietária de device fingerprinting é chave para detectar e eliminar ataques de account takeover. Sinaliza dispositivos suspeitos e configurações que indicam que alguém está tentando falsificar um device para acessar uma conta.
SHIELD Risk Intelligence
Monitoramos de forma contínua cada sessão dos dispositivos, retornando sinais de risco em tempo real para fornecer uma visão completa da atividade do usuário no seu ecossistema. Isso envolve detectar abusos de permissões de acessibilidade e identificar com precisão quando um bom usuário apresenta repentinamente sinais de comportamento fraudulento. As ferramentas utilizadas para tais atividades podem incluir autoclickers, compartilhamento de tela e emuladores – indicadores claros de uma exploração de permissões de acessibilidade.
Enriquecemos seus modelos de dados com sinais acurados do device, que identificam o uso de ferramentas e técnicas maliciosas usadas para conduzir ataques ATO, como: emuladores, screen sharing, clonadores de app, virtual OS, GPS Spoofers, entre outros.
Nossa tecnologia também permite que sua plataforma esteja sempre à frente dos fraudadores com nossa Rede Global de Inteligência: uma biblioteca atualizada continuamente com todos os padrões de fraude que já vimos, bem como as mais recentes técnicas maliciosas. São mais de 7 bilhões de dispositivos e mais de 1 bilhão de contas de usuários analisados ao redor do mundo. Usamos essa inteligência para sincronizar padrões de ataque em tempo real, garantindo uma abordagem proativa no combate à fraude.
Como o maior banco digital das Filipinas eliminou tentativas de ATO com SHIELD
Reconhecendo que as constantes ameaças de fraude, principalmente de account takeover, representam um desafio para o setor, Maya, maior banco digital das Filipinas, escolheu o Device Intelligence, solução da SHIELD, para fortalecer a segurança do seu aplicativo.
A tecnologia é a primeira linha de defesa contra fraude e conta com modelos de machine learning e inteligência artificial para analisar em tempo real milhares de dispositivos, redes e dados comportamentais dos usuários.
A ferramenta mais poderosa da solução é o SHIELD Device ID, o padrão global de identificação de dispositivos, que elimina fake accounts pela raiz ao identificar cada dispositivo físico associado à criação de inúmeras contas falsas.
A tecnologia também conta com o Risk Intelligence, uma feature que previne o uso de malware e outras ferramentas maliciosas associadas com fraude - incluindo autoclickers, app cloners e emuladores - eliminando a ameaça de fraudadores abusarem de permissões de acessibilidade para conduzir ataques de ATO.
Como resultado, Maya eliminou por completo as tentativas de account takeover no seu app, garantindo um ecossistema confiável e seguro para seus usuários.
