Account Takeover ou fraude por invasão de contas acontece quando um criminoso tem acesso e usa as credenciais de um cliente legítimo para realizar operações como se fosse a pessoa. Isso pode envolver desde a compra de produtos, a contratação de serviços, transferências de dinheiro etc.
As empresas são as maiores prejudicadas quando esse tipo de ação acontece, pois além de ter que reforçar seus sistemas de segurança, sofrem prejuízos financeiros com a perda do que foi vendido e com o estorno para o cliente que teve o acesso invadido. Alguns caminhos ajudam a identificar uma account takeover em tempo de minimizar seus danos e a prevenir esse tipo de ação. Saiba quais são!
O que você vai conferir:
O que é account takeover?
Account takeover é quando um criminoso invade a conta de um cliente depois de ter conseguido acesso às suas credenciais. Ou seja, não é necessário burlar o sistema, criar uma nova senha para aquele cliente ou qualquer manobra evidente de invasão, o criminoso terá acesso aos dados de login do cliente e vai utilizá-los na ação.
Com o acesso à conta, o criminoso faz alterações no login do usuário, impedindo-o de acessá-la novamente. Em seguida, utiliza seu cadastro para fazer compras, realizar transações financeiras etc. É uma ação de invasão que resulta em roubo e outros golpes.
Qualquer pessoa que tem cadastro em um site está sujeito a sofrer um ataque ou fraude, principalmente aqueles que não têm cuidado com relação a isso. Podemos citar casos de pessoas que usam senhas muito fáceis, anotam suas senhas em cadernos e agendas, deixam sites logados em computadores e smartphones etc.
O cliente pode perder ou expor seus dados de login, mas também pode ser vítima de uma ação sistêmica, quando vários testes com senhas diferentes são realizados até acertar a senha correta para o acesso.
Caso a invasão demore para ser identificada, os prejuízos podem ser consideráveis, tanto para o cliente, quanto para a empresa. A perda do acesso e o transtorno de lidar com uma dívida financeira indevida são alguns problemas que podem ser causados ao cliente.
A empresa, por outro lado, perde o produto que foi adquirido pelo criminoso, precisa arcar com os custos desse prejuízo e ainda terá que investir em mais recursos de segurança para impedir que novas ações aconteçam.
Como evitar a account takeover?
Embora seja uma ação mais sofisticada, a fraude por invasão de contas pode ser rapidamente identificada. Veja a seguir como descobrir que a sua empresa foi vítima de uma fraude por invasão de contas, como evitar essas ações ou minimizar seu impacto.
Mapeie o comportamento dos usuários
Saber como os usuários se comportam vai te ajudar a identificar uma atitude suspeita e agir de forma rápida. A fraude por invasão de contas não é uma ação que não deixa rastros porque o comportamento do fraudador é diferente de como o usuário se comporta. Alguns indícios de account takeover:
- muitos pedidos ou transações realizadas com a conta do cliente em um único dia ou em um intervalo curto de tempo;
- a conta sofreu muitas alterações no mesmo dia ou em uma única vez, como mudança no endereço de entrega, mudança de senha ou e-mail de acesso;
- um pedido de valor acima da média de compra do cliente foi realizado;
- a conta foi acessada de um aparelho ou localização diferente no usual.
Ao identificar essas ou mais ações, envie um e-mail para o contato cadastrado originalmente no sistema informando sobre as alterações. Outra alternativa é bloquear o acesso à conta momentaneamente e enviar um e-mail para o cliente com um código de acesso para inserir na página de bloqueio e continuar navegando. Em casos mais extremos ou urgentes, entre em contato por telefone.
Adotar um processo de “know your customer”, logo no início do cadastro e relacionamento com o cliente pode ajudar a impedir que ações como essas aconteçam. O processo exige um cadastro mais completo e algumas verificações periódicas para validar a identidade do usuário.
Identifique as tentativas de ataques
Mencionamos no início que existem algumas formas de ter acesso às credenciais dos usuários e uma delas é por meio de tentativas sistemáticas de identificação de senha. Com um dado de e-mail e por meio de um bot, diversas combinações de senhas são testadas na plataforma até que uma combinação funcione.
Esse tipo de ação pode ser identificada por causa das inúmeras tentativas de login que são feitas com uma determinada conta. Se o seu site está recebendo muitas redefinições de senha, também é um sinal de que está sofrendo uma tentativa de ataque.
Adote a autenticação de dois fatores
Inserir um segundo fator de identificação, além da senha, é uma forma eficaz de evitar as ações de account takeover. O segundo fator pode ser tanto o envio de um código por SMS ou e-mail, quanto o reconhecimento facial ou por voz. A melhor opção é aquela que atende às necessidades do seu público.
Na mesma linha da notificação por SMS como verificador, sua empresa também pode adotar o envio de push notification para avisar o usuário sobre todas as ações que acontecem em sua conta.
Roubo de identidade e Account Takeover não são a mesma ação
Muitas pessoas confundem roubo de identidade e account takeover, como se fossem as mesmas ações e isso pode prejudicar as iniciativas de combate aos dois tipos de crimes.
A diferença entre as duas ações é que, como explicamos no início, a account takeover é uma invasão à conta de um cliente real. O criminoso não se passa pela pessoa, mas utiliza sua conta para fazer uma compra em nome dela.
O roubo de identidade, por sua vez, é uma ação em que o criminoso utiliza as informações de uma pessoa para se passar por ela. Os objetivos são diversos, a identidade pode ser na criação de cadastros em loja, na contratação de empréstimos, na compra de produtos financeiros ou outros crimes, como roubos, assassinatos etc.
Para evitar que a sua empresa seja vítima de account takeover ou roubo de identidade, a adoção de um cadastro mais eficiente e completo é fundamental. Por meio do cadastro, você consegue verificar a identidade dos novos clientes e fazer verificações periódicas sobre suas informações, garantindo que nenhum crime foi associado àquele perfil. Converse com nosso time de especialistas e veja como podemos te ajudar!
