Com o acesso de um perfil genuíno de um consumidor nas mãos, os bandidos obtêm informações para realizar golpes — ou até mesmo movimentar o dinheiro das vítimas.

Segundo a companhia de prevenção de fraudes Seon, em 2023, o número de transações na web aumentou 75%; e os ataques de fraudes online também explodiram, com alta de 233% em relação ao ano anterior. De acordo com o levantamento Global Statistics in Account Takeover Fraud for 2023 (“Estatísticas Globais em Fraudes de Controle de Contas para 2023”, na tradução livre), divulgado pela Seon no final de setembro, os ataques para roubar controle de contas estão aumentando. Chamado internacionalmente de account takeover (ATO), isso acontece acontece quando um criminoso obtém acesso a uma conta de consumidor genuína. Pode afetar qualquer pessoa e qualquer tipo de conta, incluindo redes sociais, e-mail, banco online e até cartões de crédito.

22% dos adultos já foram vítimas de roubos de contas no Brasil, e 60% delas usavam a mesma senha para múltiplas contas online

Estudo da Security.org mostra que o ATO médio bem-sucedido causa perdas de cerca de US$ 12 mil (R$ 63 mil), e que cerca de 22% dos adultos no Brazil já tiveram suas contas roubadas. De 110 milhões de domicílios com acesso à internet no país, estima-se que 24 milhões de domicílios tenham sido vítimas desse tipo de ataque à internet. E como isso acontece? Normalmente, um fraudador consegue dados das vítimas por meio de engenharia social, buscando conteúdo disponível na própria web ou nas redes sociais; via megavazamentos e incidentes semelhantes; ou por meio de invasões diretas ou com outros criminosos. Abaixo, estão algumas dicas para evitar esses ataques, tanto para quem tem negócios quanto para os usuários finais.

“Assim com as empresas, os consumidores também precisam tomar medidas para não terem suas contas invadidas. Vale destacar que os fraudadores, além do phishing, podem usar aplicativos e sites maliciosos, que muitas vezes são baixados ou visitados sem que os usuários desconfiem da ilegitimidade. ”

Como prevenir roubo de contas em negócios?

O próprio relatório da Seon traz algumas dicas importantes, e a previsão do estudo é que a invasão de contas será uma das fraudes mais cometidas no comércio até o final de 2024. É importante seguir essas recomendações, porque quando um cliente sofre uma fraude de controle de conta, geralmente culpa o comerciante pela violação — e, mesmo se a plataforma não tem responsabilidade nisso, a imagem, a fidelidade e a confiança fica abalada diante dos consumidores.

Abaixo algumas das recomendações dos especialistas da Intelly Soluções:

As melhores práticas para a equipe incluem estar bem ciente de phishing e spear-phishing, que é uma modalidade mais direcionada. É recomendável usar gerenciadores de senhas protegidos por uma senha mestra exclusiva e altamente complexa;

Em termos de defesas, endereços IP e dispositivos que demonstrem atividade suspeita devem ser bloqueados imediatamente, como precaução, e revisados ​​posteriormente pelas equipes de segurança. Os fraudadores tentarão mascarar suas identidades reais falsificando seu dispositivo e localização a cada tentativa;

Os sistemas devem exibir um CAPTCHA após várias tentativas de autenticação com falha, para ajudar a evitar ataques de bots. Dependendo do seu setor, é preciso considerar a imposição de um limite do número de tentativas que cada usuário pode realizar uma ação – por exemplo, quantas vezes eles podem digitar uma senha errada antes de serem bloqueados temporariamente.

Como prevenir roubo de contas de pessoas físicas?

Assim com as empresas, os consumidores também precisam tomar medidas para não terem suas contas invadidas. Vale destacar que os fraudadores, além do phishing, podem usar aplicativos e sites maliciosos, que muitas vezes são baixados ou visitados sem que os usuários desconfiem da ilegitimidade.

Etapas simples para se proteger incluem usar um gerenciador de senhas com uma senha mestra forte, configurar a autenticação multifator (MFA) no maior número possível de contas e garantir que você saiba quando uma mensagem ou chamada é suspeita;

Quando não tiver certeza de que foi contatado por uma pessoa legítima, procure o número ou endereço de e-mail do indivíduo ou empresa e entre em contato com eles, de forma independente, para confirmar se eles realmente tentaram entrar em contato com você;

Os bandidos se aproveitam bastante da distração das pessoas para aplicar o phishing: os criminosos fingem representar as autoridades ou uma instituição confiável, como um banco, para obter dados confidenciais — e isso torna esse tipo de fraude cada vez mais difícil de detectar;

Se um fraudador obtiver sucesso em assumir uma conta legítima, a primeira coisa que ele fará, antes de escalar seus crimes, é tentar alterar as informações da conta, a senha e, às vezes, as configurações de notificação, para não alertar o proprietário genuíno. Portanto, é recomendável também ter um software robusto de prevenção de fraudes.

E ai, gostou das dicas? Na dúvida, conte sempre com os especialistas em segurança da Intelly Soluções!