Hackers abriram 500 mil contas falsas com emails vazados no Brasil, diz estudo
Aproveitando-se de frequentes exposições de bases de dados, hackers criaram 500 mil contas falsas com emails vazados no Brasil em 2021, ano em que o país registrou 3,7 tentativas de fraude online por minuto.
Como nos emails residem informações pessoais sobre pagamentos, alterações de senhas e confirmações de cadastro, os fraudadores conseguem usá-los para criar novos acessos ou recuperar os já existentes, colocando em risco a privacidade e as finanças do usuário.
Os dados constam de um estudo elaborado pelo AllowMe, empresa especializada em proteção de identidades digitais. O levantamento, intitulado Device Fraud Scan 2022, analisou 155,6 milhões de interações de usuários brasileiros com aplicativos e sites de setores diversos para entender o comportamento de um fraudador na internet.
Análise identificou o roubo de contas como a principal fraude online praticada no Brasil no ano passado.
Segundo os critérios do AllowMe, uma série de atividades suspeitas é levada em conta para que uma interação seja considerada fraude, como o horário em que ela foi feita, o uso de mais de uma conta no dispositivo, alterações incomuns na geolocalização e a adoção de emails descartáveis.
"Isso, isoladamente, pode não significar uma fraude, mas a composição desse contexto gera essa diferenciação entre o usuário bom e ruim –mesmo quando estivermos falando de um bom que realize muitas transações", explica Gustavo Monteiro, managing director do AllowMe
Enquanto o usuário considerado bom faz em média 6,6 transações - que compreendem cadastros, logins, alterações cadastrais e trocas de dispositivo -, o fraudador faz 11 em um mesmo período.
Se os acessos tiverem sido feitos através de uma máquina virtual e a rede e o dispositivo usados já estiverem associados a outras práticas maliciosas, a chance de se tratar de um fraudador aumenta.
De acordo com o estudo, mais de 70% das interações identificadas como fraudes continham ao menos dois comportamentos suspeitos.
O estudo ainda mostra que a maior parte das fraudes online aplicadas no país teve como alvo o setor financeiro. Programas de fidelidade, instituições bancárias tradicionais, fintechs, sistemas de avaliações online e criptomoedas, nesta ordem, foram os segmentos mais afetados por ameaças de transações maliciosas, segundo o estudo.
"O fraudador busca setores em que ele consegue transformar aquele ativo roubado em dinheiro ou algo que seja importante para ele - e de maneira rápida. O setor de milhas, por exemplo, é um setor que ele consegue transformar aquilo em dinheiro mais rapidamente", explica Monteiro.
A maior parte dessas ofensivas (63,7%) acontece no momento do login em um site ou aplicativo. Isso significa que o objetivo principal dos fraudadores é acessar contas de terceiros diretamente, com dados que obtiveram por meio de engenharia social, phishing, restauro de senha ou vazamentos.
O restante das tentativas de fraude acontece no momento de cadastro nas plataformas e, por último, nas próprias transações financeiras, onde se concentram as maiores medidas de segurança.
É por isso que, entre os tipos de fraude, o roubo de conta foi o golpe mais aplicado pelos fraudadores brasileiros no ano passado, de acordo com o estudo. Na lista, também constam abuso de promoção, fraude amiga, autofraude, SIM Swap, identidade sintética e numerador de contas.
De acordo com o levantamento, a maior parte dos ataques ocorre durante o dia: 70% dos identificados foram feitos entre 9h e 20h. O horário que concentra o maior número, às 11h, com 6,2% do total, é também aquele em que o maior número de interações acontece.
A partir das 21h, a média do número de tentativas de fraudes cai para cerca de metade, com 1,6 fraude por minuto até as 8h.
Isso não significa que o usuário esteja sob maior risco durante o horário comercial. A probabilidade de um usuário ser ameaçado, definida pela proporção entre o número de tentativas de fraude e o número de transações, é maior na madrugada, entre 00h e 5h59, com 1,6% de chance.
"O importante é que as empresas pensem num processo de prevenção à fraude com camadas e saber que não existe uma bala de prata. É fundamental ter ferramentas e processos desenhados em toda jornada do cliente com objetivo de prevenir a fraude, mas respeitando sempre a privacidade do usuário", diz Monteiro.