Os métodos tradicionais de autenticação e verificação de identidade estão mais ameaçados do que nunca
9 de março de 2021Fraude de identidade: CPF, RG e identificações civis não são mais confiáveis
Se os dados já estão vazados e não é possível reverter, como se proteger das fraudes futuras? A melhor solução será descartar de vez os métodos que utilizem exclusivamente informações estáticas.
Por Denyson Messias
Por muito tempo, documentos como RG e CPF foram usualmente considerados formas seguras de comprovar a identidade de uma pessoa no Brasil.
No entanto, atualmente, depender exclusivamente dessas e outras informações estáticas em processos de autenticação e verificação da identidade no ambiente digital é sinônimo de vulnerabilidade.
O recente vazamento de dados de mais de 220 milhões de brasileiros deixou isso ainda mais claro.
O número de fraudes deve aumentar exponencialmente daqui pra frente e, dada a natureza desse tipo de informação, os prejuízos serão observados por muitos anos. Diante desse cenário, a melhor decisão que as empresas podem tomar é se mobilizar para implementar soluções mais seguras para estarem um passo à frente dos criminosos.
Qual é a relevância dos dados vazados e o risco que eles representam
O primeiro passo para estabelecer uma relação com um cliente é por meio do processo de KYC (know your customer), que envolve uma série de práticas para que a empresa possa verificar se a pessoa é quem realmente diz ser. Isso é uma parte essencial da PLD (Prevenção à Lavagem de Dinheiro), já que permite avaliar o risco associado a um potencial cliente. Tal processo de verificação de identidade costuma ser feito por meio de dados como CPF, endereço, telefone, entre outros. Esse tipo de informação é chamada de estática, pois ela permanece sempre a mesma.
Se antes esse modelo de checagem já representava riscos para empresas e clientes, os recentes megavazamentos de dados de 2021 foram um alerta para a urgência de instituições implementarem métodos de prevenção à fraude mais seguros.
Uma vez que dados são vazados, não há como reverter a situação e os estragos serão observados não apenas nos próximos meses, como podem durar anos. Afinal, os dados estarão circulando pela internet de forma quase impossível de ser impedida ou rastreada e a maior parte deles não poderão ser alterados ou apagados pela vítima.
Considerando que os dados são pertencentes a mais de 220 milhões de pessoas (o número é acima da população brasileira porque inclui indivíduos já falecidos), qualquer cidadão passa a ser um possível alvo de fraude.
Afinal, com todas as informações necessárias em mãos, um criminoso pode se passar por qualquer pessoa, ou até mesmo criar uma identidade sintética, para realizar uma série de ataques, que vão desde solicitar mais dados ou transferências financeira por meio de engenharia social a criar uma conta bancária ou se aproveitar do score de crédito das vítimas.
Dada a dimensão do vazamento, os impactos serão observados nos mais diversos setores. No entanto, é seguro dizer que as instituições financeiras serão um dos principais alvos..
Para se ter uma ideia, entre os arquivos que estão sendo vendidos junto com os dados estão alguns guias que ajudam a entender como é feito o cálculo do score e os perfis de consumo de diferentes grupos em que as vítimas estavam classificadas. Além disso, os dados vazados incluem informações como renda, profissão e poder aquisitivo, o que facilita para os criminosos direcionarem seus ataques a alvos específicos.
Os métodos tradicionais de autenticação e verificação de identidade estão mais ameaçados do que nunca
Essa não é a primeira (e, infelizmente, com certeza não será a última) vez que dados da população são vazados. Ou seja, os riscos de fraudes relacionados a incidentes como esse já existiam. A diferença é que agora as oportunidades para os criminosos aumentaram e foram democratizados exponencialmente. Por muito tempo, documentos como RG, CPF e foto foram vistos como maneiras seguras de identificar uma pessoa exatamente pelo fato de que essas informações são únicas para cada indivíduo durante toda a sua vida.
O problema é que essa ideia não é válida no mundo digital. Essa característica única e estática da informação acaba se tornando, na verdade, uma ferramenta que pode ser usada contra a vítima. Se alguém se apossar do seu CPF, por exemplo, você não poderá simplesmente mudar o número do documento para evitar que o criminoso abra contas ou contraia dívidas em seu nome. Algumas tecnologias tentaram solucionar isso por meio de biometria digital ou reconhecimento facial. Porém, novamente, esses tipos de dados são estáticos e já existem técnicas capazes de hackear tais sistemas de autenticação.
Com o megavazamento de dados recente, uma das principais técnicas utilizadas para aplicar golpes será por meio da identidade sintética. Nesse tipo de fraude, o criminoso utiliza alguns informações reais da vítima e modifica outras, como nomes e endereços, para criar uma identidade fictícia. Assim, ele consegue passar despercebido nos procedimentos de KYC, visto que é comum as pessoas mudarem de endereço, por exemplo. Após o golpe, ele também é dificilmente rastreado já que a identidade criada por ele não pertence a nenhuma pessoa real.
Golpes que devem aumentar ainda mais são aqueles envolvendo engenharia social. No início da pandemia, entre abril e junho, um em cada oito brasileiros havia sofrido uma tentativa de ataque de phishing, segundo relatório da Kaspersky. O estudo aponta que os criminosos se aproveitaram da situação para enviar e-mails e mensagens relacionadas à Covid-19 e programas de auxílio social, mostrando que esses golpes são estruturados de forma estratégica.
O vazamento recente oferece aos compradores dos dados a oportunidade de traçar um perfil completo da vítima, incluindo nomes de familiares, o que facilita ainda mais na hora de escolher o alvo e a forma como manipular cada indivíduo.
As possibilidades são inúmeras. O criminoso pode entrar em contato com uma pessoa se passando por uma instituição, por exemplo, e solicitar dados aos quais ele não tem acesso (como uma senha eletrônica) ou até mesmo a confirmação de um código enviado por SMS e que, na verdade, será usado para passar pela autenticação de dois fatores de um aplicativo. O contrário também pode ocorrer: o agente mal-intencionado pode entrar em contato com uma instituição e, pelo fato de ter todos os dados pessoais do cliente, se passar facilmente pela vítima para fazer qualquer tipo de solicitação.
Mas se os dados já estão vazados e não é possível reverter, como se proteger das fraudes futuras? A melhor solução será descartar de vez os métodos que utilizem exclusivamente informações estáticas.
E agora, o que fazer?
É essencial que as empresas encarem o acontecimento recente como um alerta e se mobilizem o quanto antes para protegerem suas instituições, marcas e os seus clientes. Um cuidado importante é verificar quais soluções são mais eficazes e que não prejudicam a experiência do usuário.
O usuário pode confiar em tecnologias que utilizam dados dinâmicos, como a biometria comportamental por localização. A biometria comportamental por localização, uma das tecnologias que permite a verificação da identidade sem nenhuma ação ativa do usuário para isso, com casos de mais de 80% de verificações automáticas. A validação acontece através da comparação entre o endereço declarado no onboarding e o comportamento do dispositivo, então é praticamente impossível ser imitada por fraudadores, que não podem estar na casa do usuário, portanto mitiga fraudes, e sem ação do usuário, pois faz a validação à partir do comportamento rotineiro de localização. Apenas quando a comparação do endereço declarado não corresponde ao comportamento de localização, outros métodos de verificação podem ser adicionados.
Além de adicionar uma camada extra de proteção, esta solução de identidade mobile por meio da biometria comportamental por localização também garante uma precisão maior durante o processo de verificação da identidade de uma pessoa. Isso é essencial para reduzir o número de falsos positivos e construir uma boa relação com os clientes. Todo o processo de checagem da identidade é feito em segundo plano, ou seja, sem causar nenhuma interferência ao usuário, que não precisa realizar nenhuma ação, além de ser ele mesmo.
Buscar soluções como essa no mercado podem definir o futuro das empresas daqui pra frente. Afinal, um número crescente de fraudes pode resultar não apenas na perda de clientes como também prejudicar a imagem da companhia (algo que pode ser irreversível) e ainda ter implicações judiciais. Cientes de que seus dados agora estão espalhados pela internet, os clientes vão optar cada vez mais por serviços que garantam a sua segurança. É bom estar preparado.
Fonte: Blog Incognia
A identidade digital e a biometria prometem acabar com a tirania das senhas