As invasões de contas são o principal objetivo da maioria dos esquemas de fraude e já causaram pelo menos entre 6,5 bilhões a 7 bilhões de dólares em prejuízos anuais nos mais diversos setores. Já está claro que o roubo de dados de acesso é lucrativo para os criminosos, mas o que mais podemos saber?
Um relatório da consultoria Javelin Strategy and Research revelou que o número de vítimas cresceu aceleradamente entre 2013 e 2016, com um aumento de 16% somente nos EUA, alcançando 15 milhões de vítimas. Os afetados variam de indivíduos a grandes corporações.
Uma das maiores violações de dados de 2017, o caso da Equifax também colocou em risco as contas de uma enorme quantidade de potenciais vítimas. O escândalo envolvendo a agência de monitoramento de crédito acabou nas manchetes de todo o mundo devido aos milhares de usuários cujas informações confidenciais foram expostas, ficando altamente vulneráveis a invasões de contas. Como resultado, a Equifax perdeu a confiança de seus clientes e continua tendo que lidar com os danos à reputação e os prejuízos financeiros decorrentes. Gmail, Uber, Deloitte e muitos outros enfrentaram repercussões semelhantes após casos de violações de dados em seus sistemas em 2017.
Por que ataques como esses continuam acontecendo? Um estudo da empresa IDAgent apontou que 63% de todas as violações de dados ocorrem devido ao uso senhas fracas ou ao roubo de dados de acesso por meio de esquemas de engenharia social ou malware usado com fins lucrativos. No caso da Deloitte, as contas dos usuários eram protegidas com um único fator: nome de usuário e senha. Sem um segundo fator de autenticação, os usuários ficariam altamente vulneráveis se suas credenciais de login fossem comprometidas. A violação de dados da Uber ocorreu de maneira semelhante: os hackers conseguiram acesso a informações confidenciais usando apenas combinações de nome de usuário e senha roubadas.
O que as organizações podem fazer? Para se protegerem eficazmente contra os ataques que levam a invasões de contas, as organizações devem implementar soluções que proporcionem visibilidade em todo o ciclo da fraude e abranjam os quatro pilares da próxima geração de segurança:
Integração
Flexibilidade
Automatização
Compartilhamento de informações
Examinemos uma invasão de dados típica:
-As vítimas são identificadas em redes sociais e esquemas de engenharia social.
-O malware é instalado, direcionando usuários para o download de arquivos infectados ou a navegação em sites fraudulentos
-O usuário tenta fazer login no site transacional do banco de um dispositivo infectado.
-O malware instalado no dispositivo coleta as credenciais de login do usuário e as transmite para os cibercriminosos.
Os criminosos usam as credenciais para roubar dinheiro ou informações, ou simplesmente vendem esses dados no mercado negro.
As instituições devem definir proativamente sistemas automatizados de monitoramento fundamentados em inteligência artificial e machine learning para deter os ataques antes que eles possam ser concluídos. O monitoramento de redes sociais, campanhas de phishing, aplicativos falsos e malware, quando complementado por uma estratégia ágil de remoção, pode ajudar a prevenir até mesmo o lançamento de um ataque. Além disso, as instituições devem implementar uma solução de autenticação multifatorial forte, com fatores adicionais para transações sensíveis ou de alto risco, garantindo que todas as movimentações realizadas em cada canal transacional ocorram com segurança.
Ataques que acabam em invasões de contas são e continuarão sendo um favorito de todos os tempos entre os hackers, especialmente se os usuários finais continuarem vulneráveis a engenharia social e a reutilização de senhas. É por isso que a responsabilidade sobre a proteção antifraude não é do usuário: ela pertence às organizações que manipulam as informações sensíveis dos usuários. As instituições devem usar soluções que monitorem proativamente os ataques e sejam capazes de derrubá-los imediatamente quando detectados, sem interferir na experiência do usuário. Ao implementar todas as estratégias acima, as organizações não apenas protegem clientes e funcionários, elas também se protegem dos danos financeiros e de reputação causados pelos ataques de fraude.
*Ricardo Villadiego é CEO da Easy Solutions
