Troca de dispositivo e SIM Swap: prevenir a fraude sem criar fricção Featured Image

Troca de dispositivo e SIM Swap: prevenir a fraude sem criar fricção

Hoje a experiência do usuário sem fricção é tão importante quanto uma conta segura. Veja como resolver a fraude mobile com os dados de comportamento do usuário.

Usuários de smartphones trocam seu dispositivo em média após 2 anos de uso, e os motivos no geral são por não funcionarem tão bem quanto antes, por estarem quebrados ou perdidos, ou apenas por quererem um upgrade para um modelo mais recente. Acontece que esse processo de trocar de aparelho pode gerar alguns inconvenientes, principalmente quando chega a hora de autenticar tantas contas de aplicativos como do banco, carteiras digitais, apps de compra e outras instituições financeiras. Ao mesmo tempo, golpes como o SIM Swap representam um dos principais problemas relacionados às fraudes mobile. É preciso adotar soluções que garantam a segurança nos aplicativos, mas que não criem ainda mais fricção para os usuários.

Somente as credenciais como login e senha geralmente não são o suficiente para autenticar um usuário e permitir que ele faça transações – com a profusão de vazamentos de dados, tampouco isso seria prudente. Para aumentar a proteção, instituições financeiras costumam recorrer a métodos que causam bastante fricção para o cliente: em algumas instituições, ele precisa ir até um caixa eletrônico para liberar aquele dispositivo; em outros casos, é necessário enviar uma foto segurando um documento para que o acesso seja liberado após algumas horas – só para ficarmos em dois exemplos.

Não é o tipo de experiência que os usuários de apps procuram. As pessoas querem acesso fácil e direto aos seus serviços financeiros, com soluções integradas e personalizadas, como aponta um relatório de 2019 da Accenture. Não é à toa que soluções digitais ganharam espaço, e há outras leituras que reforçam que os consumidores preferem experiências simples e que não demande esforços. 

Uma pesquisa de 2019 da IDology mostrou que mais de um terço das pessoas abandonaram o processo de abertura de contas digitais porque era muito difícil ou levava muito tempo. Um outro levantamento, desta vez realizado pela idwall, revela que existe relação direta entre a percepção de burocracia e o número de documentos solicitados pelos bancos digitais.

É fácil identificar que o usuário foge da fricção mas ainda  assim espera que a companhia mantenha suas informações seguras. Uma pesquisa de 2020 da McKinsey realizada com consumidores americanos descobriu que 87% dos entrevistados deixariam de fazer negócios com uma empresa caso tivessem preocupações sobre suas práticas de segurança e privacidade. Por outro lado, um estudo do CyLab da Universidade de Carnegie Mellon mostrou que só um terço dos usuários mudaram uma senha exposta em um vazamento de dados – entre as pessoas que trocaram as senhas, apenas 9 escolheram uma combinação mais forte, com o restante criando senhas similares ou até mesmo mais fracas. 

Para proteger usuários, empresas podem adicionar mais uma camada de autenticação, como a autenticação em dois fatores. No entanto pode ser considerada um fardo: existem evidências de que a maioria dos usuários não utilizam utiliza ferramentas de autenticação em dois fatores para suas contas de redes sociais ou e-mail. Apesar disso, a adoção do método tem aumentado: um levantamento de 2019 da Duo Labs com usuários dos Estados Unidos e Reino Unido mostrou 53% das pessoas usavam o recurso de autenticação de múltiplos fatores – desses, 72% via SMS.

A autenticação em dois fatores via SMS, no entanto, pode não ser forte o suficiente. Já faz alguns anos que cibercriminosos têm explorado a técnica de SIM Swap, na qual por meio de engenharia social ou conluio com funcionário das operadoras é possível passar temporariamente a linha telefônica de uma vítima para um chip que está nas mãos de um fraudador. Com acesso completo ao número de telefone da vítima, o golpista pode obter códigos de autenticação enviados por SMS e, em alguns casos, recuperar senhas e autorizar a entrada a uma série de contas. Outras barreiras, como a solicitação de selfies com documentos podem ficar vulneráveis a vazamentos, como vimos recentemente – principalmente se esses dados são armazenados por um longo período de tempo. 

O SIM Swap é bastante análogo a uma troca de celular: quando compramos um novo aparelho, colocamos o chip e começamos a fazer login em nossos aplicativos. Ou seja, esse pode ser um comportamento bastante difícil de diferenciar, criando um obstáculo comum no setor de serviços financeiros: o equilíbrio entre as medidas de segurança e a fricção para o usuário. 

Já na aplicação de um golpe como esse, um cibercriminoso é capaz de roubar diversas contas e causar uma série de danos e prejuízos para as pessoas e instituições financeiras. Alguns serviços de e-mail, por exemplo, utilizam o número de celular como opção de recuperação de senhas – se alguém consegue acessar a caixa de entrada, fica muito mais fácil de comprometer várias contas. Em um exemplo nos Estados Unidos, um grupo de criminosos causou prejuízos de milhões de dólares ao aplicar o SIM Swap e roubar contas de corretoras de criptomoedas que realizavam a confirmação de identidade via SMS. Uma fintech brasileira também sofreu ataque similar: criminosos obtinham acesso ao número de celular da vítima em outro chip e utilizavam a recuperação de senha via SMS oferecida pelo app. Após o roubo de conta, eram realizados pagamentos de boletos que enviavam o dinheiro para contas digitais.

Como diminuir a fricção e ainda por cima manter os clientes protegidos e evitar a fraude mobile? E como separar o joio do trigo, identificando um usuário legítimo de um fraudador? A resposta está na biometria comportamental, capaz de identificar as pessoas com base em hábitos que são impossíveis de serem copiados ou roubados, principalmente porque são dinâmicos e únicos para cada usuário. No caso de roubos de contas que utilizam a técnica de troca de linhas em chips, os acessos acontecem em localizações desconhecidas, que não fazem parte do perfil de comportamento do usuário legítimo.  

A biometria comportamental de localização captura os hábitos de locomoção das pessoas, formando um mapeamento único dos locais que ela costuma frequentar. Ninguém tem o mesmo comportamento de visita a locais específicos, e com isso podemos realizar checagens em segundo plano, sem nenhum esforço do cliente, para dizer se a tentativa de login é legítima. Essa identidade digital privada é usada então sempre pelo app para autenticar o usuário.

Outra forma de identificar uma tentativa de fraude é analisar o risco com base no local em que o usuário está ao realizar alguma ação importante no app, como um pagamento ou login. Se o endereço não for comum aos locais normalmente frequentados pelo usuário, isso não é visto como uma localização confiável – um outro indicador de que aquela pessoa potencialmente não é usuário, gerando em um alto score de risco. Com uma nota de alto risco, o app pode exigir métodos adicionais de autenticação, como a solicitação de selfie do usuário, somente depois de perceber comportamentos pouco usuais dos clientes, diminuindo drasticamente a fricção enquanto a segurança da conta e identidade do usuário são mantidas.

A tecnologia veio para facilitar a vida dos usuários, e sua satisfação com um app mobile geralmente passa por uma experiência simples e intuitiva que praticamente não requer esforço. A troca de dispositivo é uma experiência que a maioria dos usuários vivenciará em algum momento, seja por vontade de atualizar para um modelo mais novo, ou em alguns casos porque seu dispositivo original é perdido ou roubado. Enquanto os fraudadores procuram explorar a mudança de dispositivo como uma oportunidade para assumir as contas, a biometria comportamental oferece a oportunidade para serviços de aplicativos móveis lutarem contra isso. A biometria comportamental é uma ferramenta poderosa para unir segurança, privacidade e facilidade para usuários que precisam re-autenticar aplicativos mobile após uma troca de dispositivo.

Leia um Estudo de Caso sobre autenticação