A troca de identidade no chip do celular (SIM Swap) é extremamente perigosa e deixa evidente o cuidado que se deve ter ao se empregar mensagens de texto (SMS) como um dos dois fatores de segurança. Nessa modalidade de fraude, os criminosos utilizam identidades falsas para ganhar acesso ao cartão SIM, ou seja, ao chip do celular de um assinante legítimo.
O final da história todos podem imaginar, com os fraudadores tentando usar esse chip para legitimar transações junto ao banco do usuário original, seja transferindo dinheiro ou fazendo compras online, entre outros golpes.
Do ponto de vista das instituições financeiras, muitas já iniciaram o processo de substituição da autenticação por SMS, passando a adotar a notificação PUSH, na qual mensagens são enviadas para smartphones sem que o usuário as solicite. Essa tecnologia dá uma maior proteção e uma interface mais sólida para os bancos fazerem negócios com seus clientes. Os correntistas podem verificar se seu banco já oferece um aplicativo móvel e então ativar o PUSH como segundo fator de autenticação, ao mesmo tempo em que desabilitam a opção SMS.
O SMS continua a ser uma boa maneira de avisar os usuários sobre movimentações, mas não deve ser usado para permitir privilégios de acesso. “Diversas instituições financeiras estão equilibrando a segurança da solução com a sua aceitação pela base de usuários. A facilidade de uso versus a segurança é um desafio clássico. No atual cenário, os bancos devem procurar implementar soluções de segurança que ofereçam o nível correto de proteção no momento preciso”, pondera Will LaSala, diretor de soluções de segurança e evangelista em segurança da OneSpan.
De acordo com o executivo, os bancos podem empregar dados de diversas fontes através de suas interações com seus consumidores, permitindo uma melhor visão de onde está o nível de percepção de risco do banco. “Uma vez identificado o nível de risco, os bancos podem tomar decisões mais precisas sobre como minimizar esse risco. Por exemplo, se ele requer uma notificação PUSH, uma transação pode ser processada sem qualquer interação adicional com o usuário, ou então pode se solicitar uma prova biométrica como impressão digital ou, ainda, algo mais seguro, como reconhecimento facial ou por voz. Todas essas tecnologias devem estar na mesa para que o banco empregue em qualquer ponto da jornada com seus usuários digitais”, conclui Will LaSala.
