0
0
A informação é poder, e as informações de identificação pessoal (PII) são um ativo extremamente poderoso que está alimentando o rápido crescimento da fraude on-line (também conhecida como Crise da Identidade Digital).
PII é qualquer dado que alguém possa usar para descobrir quem você é. Dados históricos como seu nome, data de nascimento ou número de previdência social vêm à mente, mas sites de mídia social, plataformas de comércio eletrônico, empresas de cartão de crédito, agências governamentais e empregadores coletam e armazenam pontos de dados que podem ser combinados e processados para criar uma imagem virtual de quem você é.
Uma vez considerada uma maneira confiável de verificar identidades, as PII ficaram comprometidas à medida que as violações de privacidade se tornaram comuns. Tanto que se tornou uma mercadoria nos mercados da dark web para criminosos que usam bots e anéis de fraude organizados para ajudar a cometer fraudes em níveis sem precedentes.
A cada ano, os fraudadores são mais calculados em seus métodos para cometer fraudes em maior escala, com 2021 sendo um ano recorde para violações de dados, de acordo com o Centro de Recursos de Roubo de Identidade. Mais de 1.862 violações de dados relatadas ocorreram em 2021, mostrando um aumento de 68% em relação às violações relatadas em 2020. A gravidade dos fraudadores que atacam sistemas frágeis está disparando, com mais de 290 milhões de vítimas em 2021, e já mais de 20 milhões de vítimas apenas em 2022. Embora os fraudadores não parem, as empresas podem tomar as medidas importantes para proteger seus usuários, entendendo a mudança em evolução em seu comportamento.
Mudanças no comportamento do consumidor expõem PII
A pandemia mudou os padrões de comportamento do consumidor de inúmeras maneiras. Ele reformulou o que, onde e como os indivíduos compram produtos e serviços, e proporcionou aos fraudadores trabalhadoras oportunidades de tirar proveito de pessoas e empresas despreparadas para lidar com essas mudanças.
Novos aplicativos e ferramentas
O rápido crescimento e a integração de aplicativos para uso pessoal e comercial criaram um vasto tesouro de novos alvos de dados de PII para possíveis fraudadores.
Cada vez que os indivíduos criam uma conta para a mais recente plataforma de mídia social ou são obrigados a se conectar a aplicativos de produtividade e comunicação como Slack ou Zoom para o trabalho, há um aumento na quantidade de suas PII no universo online. Ao considerar um mundo conectado de aparelhos e dispositivos inteligentes, uma grande superfície de ataque é criada e, nos últimos anos, tem sido um desafio para as empresas se defenderem contra maus atores determinados e sofisticados com pilhas de fraude legadas.
Convivência sobre cautela
À medida que mais atividades diárias se movem on-line e se integram com dispositivos móveis, a automação se tornou uma parte essencial da experiência do usuário. Ferramentas como pré-preenchimentos de PII são frequentemente vistas como maneiras amigáveis ao consumidor de acelerar a criação de novas contas, auxiliar na integração digital e móvel e, geralmente, reduzir o atrito dentro da experiência on-line.
Infelizmente, os fraudadores têm explorado os recursos de preenchimento automático de PII incorporados em navegadores e aplicativos até 2013, mas o uso principal dessas ferramentas, particularmente em dispositivos móveis, criou um boom para bots e ataques de anel de fraude.
O aumento dos anéis de fraude
Pré-pandemia, a maioria das fraudes on-line foi cometida por indivíduos ou pequenos grupos e foram tentativas diretas de acessar os dados ou contas comerciais do indivíduo ou foram fraudes de identidade no nível do candidato. No entanto, os programas de alívio da pandemia, como os empréstimos PPP, demonstraram o valor de ataques em larga escala no valor de US$ 100 bilhões, de acordo com os EUA. Serviço Secreto.
Esse salto no volume e sofisticação da atividade fraudulenta pode ser atribuído à evolução dos anéis de fraude – círculos organizados de criminosos que trabalham em conjunto ao longo do espectro da fraude de identidade.
Embora seja tentador imaginar uma equipe arrojada e ousada à la Oceans 11, a verdade é que os anéis de fraude operam de maneira mundana e comercial. Por um lado, eles coletam PII vulneráveis por meio de violações, varredura social, e-mails de phishing e sites duvidosos. Essa PII é então vendida através de fóruns da dark web e utilizada por indivíduos e grupos para criar identidades sintéticas em massa. Essas identidades virtuais são usadas para abrir contas, comprar mercadorias e serviços ou distribuir malware para outros fins (por exemplo, spyware, ransomware).
Os anéis de fraude empregam muitas das mesmas táticas que criminosos individuais e grupos menores, mas ao se organizarem e alavancarem tecnologia como IA e bots, a escala em que operam e os lucros ilícitos que podem obter estão em uma escala exponencialmente maior.
Implacável e repetível
Seja por razões políticas ou econômicas, as redes de fraude também têm a vantagem de serem implacáveis. Um conjunto de mão-de-obra e tecnologia baratos se combinam para permitir que eles testem sistemas que acessam facilmente PII vulneráveis para roubar e comprometer constantemente. Quando os fraudadores encontrarem um, eles o explorarão com a máxima eficiência.
Raramente é um e feito com anéis de fraude, pois eles prosperam como qualquer outro negócio, criando soluções repetíveis e buscando “clientes” ideais. Uma vez que um anel de fraude identifique uma fraqueza em uma tecnologia, pilhas de detecção de fraude legadas desatualizadas ou processos e procedimentos ruins em vigor, eles continuarão a cometer fraudes até que a vulnerabilidade seja fechada. Eles também procuram outras organizações com vulnerabilidades semelhantes (como as que executam software desatualizado ou sem correção) onde possam utilizar as mesmas ferramentas e táticas. Com pilhas de fraude legadas focadas em dados pós-submissão, esses anéis de fraude geralmente não são identificados até que o crime já tenha sido cometido.
O problema com a pilha tradicional de prevenção de fraudes
A tecnologia de detecção de fraude baseada em PII é praticamente inútil para evitar identidades sintéticas usando PII roubadas.
A promessa de aprendizado de máquina não se concretizou, já que a maioria das tecnologias atuais no mercado não pode ser treinada para detectar modelos sintéticos de fraude de identidade digital antes do fato.
A verificação de identidade tradicional baseada em documentos também é curta porque os IDs usados no momento da inscrição podem ser genuínos – eles ainda podem estar nas mãos de alguém a quem não pertencem.
Em suma, a verificação de identidade dependente de PII depende de dados históricos de PII que são facilmente violados e/ou comprometidos, sem nenhuma maneira identificável conectada à pessoa que o usa naquele momento. Isso significa que, com pilhas de fraudes legadas, se um fraudador ou bot inserir todas as informações precisas de um determinado usuário, eles não serão sinalizados como arriscados.
É aqui que a análise comportamental entra e, se integrada corretamente, adiciona um nível de proteção contra fraudes para as empresas no portão da frente, para impedir a fraude antes que isso aconteça, analisando os dados pré-submissão dos usuários.
A mudança da detecção pós-submissão para a detecção pré-submissão
O problema até mesmo com as pilhas de detecção de fraude mais sofisticadas é que o uso de PII para confirmar e verificar a identidade ainda exige que o usuário envie seus dados antes que ele possa detectar fraudes. Ao mudar a detecção de fraude para a triagem de dados pré-submissão, as organizações podem potencialmente economizar os bilhões de dólares perdidos anualmente por fraude, reduzindo os falsos positivos e o atrito do cliente.
Usando o que é conhecido como sinais de intenção digital baseados em comportamento, as empresas podem “pré-selecionar” a identidade de um usuário antes que qualquer PII seja enviada ou considerada. Alguns desses sinais de intenção incluem:
- Texto, tipos e furtos dos usuários. Todos eles são relevantes para sua intenção (por exemplo, eles soletram mal seu nome? Esqueceu o número de telefone deles?)
- Comparação com o comportamento de outros clientes verificados
- Adesão ao perfil comportamental do usuário
- A sequência e o momento das ações ou comportamentos
- Alertas de dados de navegação que se assemelham ao comportamento semelhante a uma máquina ou bot
Esses dados de triagem comportamental pré-submissão podem ser usados para eliminar clientes que não estão familiarizados com suas próprias PII, impulsionar clientes genuínos através da integração de forma mais eficiente e reduzir o número de falsos declínios, falsos positivos e atrito de abertura de contas.
Para onde vamos a partir daqui?
A pandemia alterou para sempre a maneira como as pessoas se comunicam, interagem e trocam bens e serviços. As soluções de prevenção de fraudes e verificação de identidade que temos usado não são páreo para as novas vulnerabilidades criadas, o volume de PII comprometidas ou a sofisticação e tenacidade dos anéis de fraude organizados.
No cenário digital de hoje, as PII podem ser facilmente obtidas a partir de informações on-line, mas o comportamento é impossível de falsificar. Com a camada adicional de segurança baseada em análise comportamental, as empresas digitais obtêm uma visão aprofundada do risco de cada usuário a partir do topo do funil de integração, sem adicionar atrito.
FONTE: HELPNET SECURITY