Um dos assuntos mais comentados da semana é o vazamento de dados que expôs as informações pessoais de mais de 223 milhões de brasileiros.
O vazamentos de dados, que é um dos maiores já ocorridos no país, aconteceu em agosto de 2019 mas foi descoberto apenas na última semana de janeiro deste ano. Entre as informações expostas estão dados como número de CPF, nome completo, foto do rosto, salário e renda, score de crédito, endereço e outros.
Os dados vazados encontram-se disponíveis para compra na internet, o que pode colocá-los nas mãos de fraudadores. O que sua empresa pode fazer para se proteger deles? Continue a leitura e saiba como agir de forma preventiva.
Vá além da verificação do CPF
Ao montar um fluxo de cadastro, o número de CPF costuma ser o primeiro dado solicitado do usuário. Realmente, trata-se de uma informação essencial — porém, validar o CPF junto à Receita Federal é apenas o primeiro passo de uma validação robusta.
Uma consulta automatizada na Receita Federal é capaz de verificar se o CPF informado encontra-se válido, a qual indivíduo se refere (nome completo) e se não há nenhum registro de óbito associado àquele cidadão.
Porém, exposições massivas de dados fazem com que seja muito fácil para um fraudador ter acesso ao número de CPF de um cidadão idôneo. Ou seja, se essa for a sua única medida de segurança, um fraudador conseguiria usar o CPF de um terceiro para se cadastrar no seu serviço, trazendo riscos sérios às suas operações.
Peça fotos dos documentos
Ao solicitar que o usuário mande uma foto de seus documentos, como o RG ou a CNH, você garante que a pessoa tem acesso aos documentos originais e não apenas às informações “cruas”. Conte com uma solução de OCR de documentos para extrair as informações de texto das imagens e, em seguida, validá-las.
Porém, ainda é preciso levar em consideração que o fraudador pode usar os dados expostos para falsificar documentos. Dessa forma, é interessante implementar estratégias para identificar documentos falsificados, como a documentoscopia, e também fortalecer o processo de cadastro com outras formas de verificação de identidade.
Esqueça o KBA (Knowledge-Based Authentication)
Muitos fluxos de validação de identidade incluem perguntas como “Qual o último endereço em que você morou?”, “Qual o nome completo da sua mãe?” ou mesmo “Qual era o nome do seu primeiro animal de estimação?”.
Chamada de Knowledge-Based Authentication (ou apenas KBA), essa estratégia é realizada em diversos momentos, desde para a checagem multifator realizada por instituições financeiras até a recuperação de senhas feita em endereços de e-mail.
O KBA requer o conhecimento de informação privadas do usuário – a ideia é provar dessa forma que ele é realmente o proprietário daquela identidade. Porém, o método está longe de ser tão seguro quanto parece à primeira vista.
Isso acontece porque o KBA parte da premissa de que somente o usuário teria acesso às suas informações de autenticação e de que a pergunta seria tão personalizada que seria praticamente improvável ele esquecer a resposta. Porém, o KBA desconsidera os avanços do cibercrime e a facilidade com que informações pessoais dos usuários podem ser encontradas online, especialmente nas redes sociais.
Além disso, muitos usuários se esquecem das respostas que eles mesmos deram às perguntas, quando elas dizem respeito a preferências pessoais. Em 2015, um estudo do Google descobriu que somente 47% das pessoas entrevistadas lembravam o que elas haviam respondido ser a sua comida favorita no ano anterior.
Tais perguntas também possibilitam que hackers consigam deduzir a resposta certa em 20% das tenetativas – “pizza”, por exemplo, era a comida mais citada como preferida nos Estados Unidos. Ou seja: um usuário idôneo pode errar e não passar na validação de KBA, enquanto fraudadores podem facilmente ultrapassar essa barreira.
Consulte bases de dados atualizadas em tempo real
Ao estruturar suas consultas para validação de documentos, é importante levar em conta o nível de confiança que você pode ter nas bases de dados sendo consultadas. Utilizar bases que trabalham com Big Data, por exemplo, pode permitir o acesso a informações mais amplas — mas também bastante desatualizadas.
Diante de casos em que fraudadores podem ter acesso a milhões e milhões de dados pessoais e agir muito rápido para cometer fraudes de identidade, fica clara a importância de consultar bases que são atualizadas em tempo real.
Dessa forma, você tem acesso às informações mais assertivas e confiáveis quanto possível e, além das tentativas de fraude que já ocorrem regularmente, também se previne em casos excepcionais e massivos de vazamentos de dados.
Se um indivíduo faleceu recentemente ou teve um mandato de prisão emitido em seu nome, por exemplo, fontes de Big Data não vão conseguir identificar tais ocorrências, justamente por trabalharem com dados que não são atualizados em tempo real. Portanto, essa janela de tempo abre espaço para riscos e ameaças à integridade das suas operações.
Exija uma prova de vida do usuário
Um recurso cada vez mais utilizado para evitar fraudes de identidade é a biometria facial, que pode ser feita solicitando que o usuário tire uma selfie durante o cadastro. Essa selfie, então, pode ser comparada à foto do indivíduo presente em seu documento — tecnologias de inteligência artificial comparam as duas e apresentam um score de semelhança entre as fotos, ou seja, as chances de que se referem à mesma pessoa.
Mas, para tornar a verificação de biometria facial ainda mais assertiva, é interessante complementá-la com uma solicitação de prova de vida, ou liveness detection, para garantir que ele está realmente fazendo o cadastro naquele momento.
Há dois tipos de liveness: o ativo, em que o usuário é solicitado a fazer uma ação ou gesto (piscar os olhos ou sorrir, por exemplo); e o passivo, que utiliza algoritmos para detectar indicadores de liveness sem interação do usuário.
Caso ocorra uma tentativa de fraude em que alguém usa uma foto estática de outra pessoa, por exemplo, o liveness detection percebe isso e impede o usuário de dar continuidade ao processo de cadastro.
Faça uma revalidação constante da sua base
Até agora, falamos sobre identificar um fraudador tentando utilizar dados de outra pessoa para se cadastrar na sua empresa. Porém, e se a vítima de fraude de identidade, ou mesmo o infrator, já fizer parte da sua base de usuários?
Para tanto, considere estruturar uma política de revalidação de dados, ou rechecagem de dados. Com isso, você consegue detectar quaisquer irregularidades em sua base de usuários e agir de forma preventiva, fortalecendo ainda mais as estratégias anti-risco e anti-fraude do negócio.
Infelizmente, casos de dados indevidamente expostos são muito comuns no Brasil, o que coloca em risco a privacidade de milhões de pessoas. Para evitar que os cidadãos se tornem também vítimas de fraudes de identidade e que sua empresa fique vulnerável à ação de fraudadores e outros criminosos, contar com um processo de cadastro bem estruturado é fundamental.
E para garantir estratégias assertivas de validação de identidade e anti-fraude, procure as tecnologias mais avançadas e mais adequadas ao seu modelo de negócio. Quer saber como a idwall pode ajudar a sua empresa no combate à fraude de identidade? Preencha o formulário abaixo e fale com nossos especialistas: