Guia com vários capítulos | Verificação de Identidade do Cliente

Prevenção de Tomada de Conta: Como Detectar e Parar Ataques de ATO

Sumário

Os ataques de tomada de conta (ATO) estão aumentando. A Pesquisa Pulso da Indústria de Fraudes 2026 da Veriff identificou os ataques de ATO como um dos dez principais tipos de fraude, com os entrevistados relatando os ataques de ATO como um dos “mais temidos” em 2026.

Os invasores de ATO usam técnicas como credential stuffing, phishing, ataques Man-in-the-Middle (MitM) e malware para sequestrar contas de clientes. Os ataques assistidos por IA também estão em ascensão. Em nosso Relatório de Fraude de Identidade Veriff de 2026, documentamos um aumento de 300 vezes na mídia apresentada digitalmente que foi totalmente gerada por IA ou alterada de outra forma.

O que mudou recentemente é onde os invasores concentram seus esforços. No último trimestre, nossa equipe de fraude observou uma mudança mensurável de ATOs baseados em credential stuffing para a interceptação de ‘links mágicos’ e ataques à etapa de verificação — invasores manipulando o próprio momento da verificação de identidade em vez de tentar passar por ele com força bruta. O sinal é claro: à medida que os fluxos de login de contas se fortaleceram (MFA, vinculação de dispositivo, passkeys), o momento da verificação de identidade se tornou o elo mais fraco em um ciclo de vida de conta bem defendido. É nessa parte do problema que este artigo se concentra.

Ataques de ATO indicam uma lacuna na verificação de identidade dentro da organização. Este artigo explora as táticas, técnicas e procedimentos (TTPs) por trás dos ataques de ATO, os sinais de um ATO e as melhores práticas para a prevenção de tomada de conta.

Resumo dos principais conceitos na prevenção de tomada de conta

Conceito Descrição
Caminhos comuns de ataque de ATO 
  • Credential stuffing
  • Sequestro de sessão
  • Troca de SIM
  • Engenharia social e phishing
  • Bots de GenAI
  • Emuladores em ataques de ATO
Pontos cegos e sinais de alerta 
  • Fluxos de autenticação fracos
  • Controles de recuperação de conta mal configurados 
  • Visibilidade de sessão limitada
  • Falsificação de dispositivo
Realize uma avaliação de risco de ATO
  • Identifique a avaliação da conta 
  • Use dados da avaliação para estabelecer áreas de fraqueza e informar políticas de segurança
  • Realize um exercício de mapeamento para identificar medidas apropriadas.
Determine as políticas de verificação de identidade
  • Estabeleça políticas de verificação iniciais
  • Desenvolva regras e eventos que acionem a reverificação
  • Mapeie políticas para regulamentações locais e globais
Defina políticas e medidas de verificação e autorização
  • Implemente um ambiente de confiança zero
  • Garanta que a detecção de vitalidade esteja ativada
  • Use soluções biométricas que incorporem tecnologia anti-spoofing
  • Use tecnologias de adaptação comportamental
  • Aplique autenticação baseada em risco
  • Implante autenticação sem senha
Outras melhores práticas de ATO
  • Implemente inteligência de ameaças de ATO em tempo real 
  • Eduque os clientes sobre táticas e sinais de ATO
  • Documente planos de resposta a incidentes 
  • Audite e revise a resposta a ataques de ATO
A principal solução de Conheça Seu Cliente (KYC) com tecnologia de IA do setor
  • Verifique IDs, documentos, endereços, idade, bases de dados globais de fraude e listas de sanções

  • Aumente a confiança com tecnologia biométrica, processamento de imagens e Estimativa de idade

  • Proteja-se contra fraude e risco de lavagem de dinheiro com detecção em tempo real baseada em IA

Caminhos comuns de ataque de ATO

Cibercriminosos usam abordagens inovadoras para explorar contas de clientes, incluindo o uso de IA.

Common ATO attack paths: How cybercriminals hijack customer accounts

Caminhos comuns de ataque de ATO: Como os cibercriminosos sequestram contas de clientes

 

Credential stuffing e botnets

Combinações de nome de usuário e senha são facilmente acessíveis a cibercriminosos por meio de violações de dados ou da compra de credenciais roubadas. Eles usam ferramentas automatizadas, como o Atlantis All-In-One (AIO), para testar credenciais em vários sites simultaneamente para determinar quais conjuntos fornecem acesso. Com mais de 26 bilhões de credenciais expostas em violações de dados até o momento, a matéria-prima para esses ataques é efetivamente ilimitada.

Mecanismos secundários para impedir que bots de automação usem credential stuffing para obter acesso não autorizado são cada vez mais contornados. Algumas ferramentas incluem recursos de bypass de CAPTCHA. Algumas ferramentas podem explorar a autenticação multifator (MFA) mal configurada. Por exemplo, interceptando OTPs baseados em SMS usando proxies de phishing em tempo real ou explorando fluxos de recuperação fracos que recorrem à verificação por e-mail.

As ferramentas de credential stuffing são projetadas para anonimizar ataques e impedir a detecção. As ferramentas usam Tor, VPNs e Proxies para evitar a detecção. A Fraud Intelligence da Veriff analisa sinais de dispositivo, rede e comportamento no momento da verificação: sinalização de IP de datacenter e proxy, coerência de impressão digital de celular vs. desktop, atestado de sensor e hardware e padrões de tempo que distinguem uma tentativa humana de uma automatizada. Mas o problema mais difícil com o credential stuffing não é capturar uma única tentativa — é reconhecer a campanha. Uma tentativa usando um proxy residencial contra um cliente parece um falso positivo ruidoso isoladamente. A mesma impressão digital de dispositivo aparecendo em três clientes de dois setores em 48 horas é inequívoca.

É aqui que o CrossLinks faz um trabalho que nenhum fornecedor de tenant único pode replicar. Ao vincular sessões em toda a nossa rede de clientes por meio de sinais de documento, dispositivo, biometria e rede, revelamos a visão da campanha — anéis de fraude reciclam os mesmos dispositivos e credenciais comprometidos entre nossos clientes, e o CrossLinks transforma essa reciclagem em nossa vantagem de sinal. Capturar a primeira tentativa no cliente A significa que a segunda, terceira e quadringentésima tentativa no cliente B já está em uma lista de observação. Sequestro de sessão

O sequestro de sessão é uma técnica que intercepta o token de sessão ativo de um usuário, contornando assim a autenticação. O invasor não precisa de uma senha. Em vez disso, ele herda uma sessão que lhe permite parecer um usuário legítimo que fez login.

As técnicas comuns de sequestro de sessão incluem:

  • Cross-site scripting (XSS) rouba cookies de sessão.
  • Man-in-the-Browser (MitB) usa malware para interceptar tokens em tempo real.
  • Fixação de sessão: um invasor define um ID de sessão conhecido antes de a vítima fazer login.
  • A interceptação em nível de rede é usada em redes Wi-Fi não seguras.

O que torna o sequestro de sessão particularmente perigoso é que, da perspectiva da plataforma, a sessão parece totalmente legítima. O IP, o dispositivo e o navegador podem corresponder ao perfil do usuário original. A detecção requer análise de anomalias comportamentais, ou seja, mudanças nos padrões de navegação, velocidade das transações ou mudanças geográficas no meio da sessão, combinadas com a validação contínua da impressão digital do dispositivo. A Device Intelligence da Veriff inclui análise de anomalias comportamentais além da autenticação puramente baseada em sessão.

Troca de SIM

A fraude de troca de SIM explora processos de operadoras de telefonia móvel. O invasor convence ou suborna um funcionário da operadora para transferir o número de telefone da vítima para um novo cartão SIM. Uma vez que controlam o número, eles podem interceptar OTPs baseados em SMS e redefinir senhas em qualquer conta que use verificação por telefone. Um ataque de troca de SIM torna redundante um fluxo de autenticação que depende de SMS como segundo fator.

Em 2025, a FCC fortaleceu as regras de troca de SIM nos EUA; no entanto, a aplicação permanece inconsistente.

Garanta que qualquer redefinição de autenticação ou fluxo de step-up inclua uma verificação de identidade biométrica que não possa ser interceptada por uma rede telefônica. O produto de Autenticação biométrica da Veriff inclui correspondência de selfie com selfie em relação a uma identidade registrada, vinculada à pessoa em vez de a um dispositivo ou número de telefone.

Engenharia social e campanhas de phishing

O phishing continua sendo o segundo vetor de ATO mais prolífico porque é fácil de escalar. Campanhas de phishing modernas usam conteúdo gerado por IA para produzir réplicas quase perfeitas de comunicações legítimas. Proxies de phishing em tempo real agora atuam como proxies reversos transparentes entre a vítima e a página de login real, capturando credenciais e tokens de sessão simultaneamente, contornando até mesmo a MFA.

Uma das variantes de phishing mais perigosas para plataformas de verificação de identidade é o ataque de interceptação de ‘link mágico’. O ataque explora uma URL de verificação legítima usando engenharia social ou malware. O ardil redireciona o alvo para autenticar uma sessão. A vítima, sem saber, conclui a verificação de identidade em nome do fraudador. O que torna este gênero de ataque unicamente difícil é que cada sinal individual parece correto. O documento é real. O rosto corresponde ao documento. A verificação de vitalidade é genuína. A selfie não é um deepfake ou uma injeção — é uma pessoa, biometricamente presente, concluindo voluntariamente o fluxo. A maioria dos controles de fraude na indústria de IDV é projetada para responder à pergunta “esta é a pessoa certa?” — e a resposta honesta em uma interceptação de link mágico é sim. O invasor tornou esse ‘sim‘ uma arma.

A mudança defensiva que isso requer é conceitual, não apenas técnica: a verificação de identidade tem que evoluir de confirmar quem para confirmar quem, fazendo o quê, com qual intenção.

A Veriff está construindo ativamente defesas contra este vetor, incluindo verificações comportamentais que não apenas verificam a identidade de um indivíduo, mas também capturam a intenção de autorizar uma ação específica.

Bots de GenAI

As IAs maliciosas de primeira geração, como WormGPT, FraudGPT, juntamente com candidatos mais novos, HackerGPT, Xanthorox, devem se tornar um aspecto central de muitos ataques de ATO, tornando a detecção e prevenção mais complexas. A Pesquisa Pulso da Indústria de Fraudes 2026 da Veriff descobriu que mais de 78% das empresas esperam ver mais fraudes impulsionadas por IA em 2026.

No relatório O Lado Sombrio da GenAI, foi realizado um concurso de injeção de prompt para encontrar maneiras de enganar um chatbot para revelar uma senha. Os resultados descobriram que 88% dos competidores conseguiram usar um chatbot para revelar senhas.

Survey results show that most businesses expect more AI and deepfake-powered fraud in 2026 (source)

Os resultados da pesquisa mostram que a maioria das empresas espera mais fraudes impulsionadas por IA e deepfakes em 2026 (fonte)

Relatório de Fraude de Identidade Veriff: Tendências mais recentes de fraude e técnicas de ataque de IA

Emuladores em ataques de ATO

Ferramentas de emulação são usadas legitimamente por testadores de software para facilitar o teste de aplicativos em múltiplos dispositivos e sistemas operacionais. No entanto, nas mãos de cibercriminosos, um emulador se torna uma arma eficaz para a tomada de conta.

Durante um ataque de ATO, um emulador é usado para replicar uma sessão de usuário, contornando assim as medidas de segurança e dificultando a detecção de um ATO em andamento. Kits de ferramentas de ATO avançados combinam emuladores com proxies residenciais para imitar o perfil de dispositivo típico e a localização geográfica da vítima. Emuladores também permitem que os fraudadores escalem seus ataques.

Emuladores e spoofing são uma das técnicas de evasão mais difíceis de detectar com métodos tradicionais. A Device Intelligence da Veriff analisa sinais de dispositivo de baixo nível para sinalizar ambientes emulados, mesmo quando o emulador está configurado para replicar um modelo de dispositivo e versão de SO específicos. Combinado com nossa tecnologia CrossLinks, que vincula sessões por dispositivo, documento, rosto e sinais de rede em toda a nossa rede de verificação, podemos identificar padrões invisíveis para qualquer visão de cliente único.

Pontos cegos e sinais de alerta

O ATO é desafiador de detectar. No entanto, alguns comportamentos incomuns de conta

apontam para uma conta de cliente que pode estar sob ataque. Identificar esses indicadores de um ataque de ATO é um elemento essencial para proteger os clientes e controlar a fraude.

Múltiplos logins de diferentes geolocalizações

Tentativas de login em uma única conta a partir de múltiplos endereços IP e geolocalizações podem ser um sinal de um evento de ATO. Os clientes tendem a usar um ou dois locais familiares para fazer login em uma conta.

Múltiplas falhas de login

A falha repetida em apresentar as credenciais corretas no login pode indicar um ATO em andamento. No entanto, isso está se tornando menos comum à medida que os cibercriminosos mudam de ataques de força bruta para campanhas de phishing, ataques de troca de SIM e sequestro de sessão mais bem-sucedidos.

Múltiplas contas acessadas do mesmo dispositivo

Este sinal pode ser de múltiplos usuários na mesma casa usando um computador compartilhado. No entanto, também pode ser um sinal de um ATO. É provável que cibercriminosos acessem múltiplas contas (às vezes centenas ou milhares) do mesmo dispositivo. Nossa pesquisa recente sobre anéis de fraude revelou que suas operações raramente se limitam a ataques únicos; eles rotineiramente adaptam táticas e aproveitam o conhecimento interno para evitar a detecção.

Alterações inesperadas na conta e padrões de comportamento

As pessoas tendem a formar hábitos no uso de suas contas e padrões de compra. Se um cliente fizer alterações em seus dados pessoais, especialmente endereço de e-mail, endereço residencial e número de telefone, juntamente com outro comportamento incomum, como fazer login de um novo dispositivo, isso provavelmente é um indicador de um ataque de ATO.

Múltiplas contas contendo dados semelhantes

Após um ATO bem-sucedido, os fraudadores alterarão informações como números de celular e endereços de e-mail. Procure por sinais de múltiplas contas alterando detalhes pessoais, como números de celular e endereços de e-mail, pois isso pode indicar um ATO.

Múltiplos sinais de atividade incomum

Procure por atividades incomuns, como fazer login de locais diferentes em um curto período e usar um novo dispositivo.

Isso inclui mudanças no comportamento típico do usuário, como um súbito alto volume de transações, uma compra extraordinariamente grande ou mudanças nos caminhos de navegação típicos dentro do aplicativo. Essas anomalias podem ser um indicador de que a conta está sendo controlada por um fraudador que não está familiarizado com as rotinas do usuário legítimo.

Melhores práticas para a prevenção de ATO

As melhores práticas a seguir garantem que as contas de seus clientes recebam o mais alto nível de segurança.

Realize uma avaliação de risco

A avaliação de risco de potenciais ataques de tomada de conta (ATO) é uma revisão formal que reúne informações de sistemas de TI e operadores humanos para identificar vulnerabilidades nas contas dos clientes.

O processo de revisão deve cobrir todo o ciclo de vida de uma conta de identidade, desde o registro inicial até os padrões de uso e o encerramento da conta. Catalogue todos os aspectos da segurança da identidade, incluindo pessoas, aplicativos, dispositivos e dados sensíveis. Inclua contas em estágio inicial ou novas usadas por cibercriminosos para criar contas ‘placeholder’ ou ‘dormentes’, prontas para serem exploradas no momento certo.

A avaliação também deve avaliar o impacto de um ataque de ATO nas contas dos clientes. Por exemplo, pode haver implicações financeiras e de responsabilidade se as contas dos clientes forem sequestradas.

Sistemas que não usam verificação robusta durante o registro correm o risco de fraude de identidade em estágio inicial. A ajuda para estruturar sua avaliação de risco pode ser encontrada no National Institute of Standards and Technology (NIST) Cybersecurity Framework e na International Organization for Standardization (ISO) 27001.

Identifique a avaliação da conta

Uma avaliação do risco de ATO começa com a catalogação de todos os aspectos da segurança da identidade, incluindo pessoas, aplicativos, dispositivos e dados sensíveis. As áreas do ciclo de vida da conta e os tipos de conta que devem ser cobertos incluem contas em estágio inicial ou novas usadas por cibercriminosos para criar contas ‘placeholder’ ou ‘dormentes’, prontas para serem exploradas no momento certo. Sistemas que não usam verificação robusta durante o registro correm o risco de fraude de identidade em estágio inicial.

A avaliação deve avaliar o impacto de um ataque de ATO nas contas dos clientes. Por exemplo, pode haver implicações financeiras e de responsabilidade se as contas dos clientes forem sequestradas.

Use dados da avaliação para estabelecer áreas de fraqueza e informar políticas de segurança

A inteligência coletada durante a fase de avaliação da conta de identidade informa as medidas de segurança da identidade. A verificação de identidade é uma medida para mitigar o risco.

Outras medidas de segurança, como autenticação robusta e biometria comportamental, devem ser avaliadas para inclusão nas políticas de segurança. Desenvolver as prioridades para as medidas é o próximo passo no exercício de avaliação de risco de ATO.

Realize um exercício de mapeamento para identificar medidas apropriadas

Determinar as medidas mais apropriadas para mitigar o risco de ataques de tomada de conta é essencial para otimizar sua abordagem de cibersegurança para o ATO. Depois de reunir sua inteligência de análise de ameaças, crie uma tabela de avaliação de risco que exiba o risco, uma descrição e o nível. Use esta tabela para gerar uma tabela de mitigação de riscos e medidas.

Exemplo de tabela de avaliação de risco

Risco/ID Descrição Nível de Risco
Registro de conta de cliente

001

Cibercriminosos podem criar contas dormentes que podem ser usadas posteriormente para cometer fraudes. Alto
Roubo de credenciais: funcionários

002

Clientes podem estar em risco de phishing. Alto
Potencial de Troca de SIM

003

Clientes podem estar em risco de um ataque de TROCA DE SIM Médio

Exemplo de tabela de mitigação de riscos e medidas

Risco e impacto Medidas propostas Notas sobre a implementação
ID:001

Fraude

ID AT001: Verificação de identidade durante o registro Use as melhores práticas para verificação de ID do cliente

[adicionar link para o outro artigo sobre verificação de ID do cliente]

NIST SP800-63A

ID:002

Roubo de credenciais

ID: ATO002: Garanta que os clientes estejam cientes de fraudes de ATO em potencial

ID: AT003: Relato e resposta a incidentes

Eduque os clientes usando vários canais

National Cyber Security Centre consultivo

Determine as políticas de verificação de identidade

A verificação de identidade reduz o risco de ATO ao estabelecer uma conta de identidade garantida desde o início. A reverificação pode ocorrer se houver suspeita de ATO ou quando regras, como uma transação acima de um certo valor, forem acionadas.

De acordo com o Relatório de Fraude de Identidade Veriff de 2026, 4,18% de todas as tentativas de verificação foram fraudulentas em 2025 – o que significa que uma em cada 25 tentativas de verificação que encontramos nos últimos 12 meses foi de alguém se passando por outra pessoa.

A mídia apresentada digitalmente teve 300% mais probabilidade de ser totalmente gerada por IA ou alterada de outra forma. A fraude de falsificação de identidade representou mais de 85% de todos os ataques de fraude que encontramos este ano, tornando-se de longe o tipo mais comum de fraude online.

A Veriff combina IA com um sistema biométrico facial de alta resolução para identificar rapidamente um indivíduo, reduzindo a probabilidade de vídeos transmitidos ou pré-gravados, imagens sintéticas ou manipuladas e deepfakes gerados por IA.

Estabeleça políticas de verificação iniciais

Um processo de verificação de identidade (IDV) envolve o uso de vários elementos para identificar de forma única e segura esse indivíduo.

Por exemplo, a pessoa pode ser solicitada a fornecer documentos de identidade (por exemplo, um passaporte) durante o registro, ter sua biometria facial capturada e passar por verificações de nome e endereço.

As verificações de IDV devem estar alinhadas a várias regulamentações locais e globais, como KYC (Conheça Seu Cliente) e PLD (Prevenção à Lavagem de Dinheiro).

Desenvolva regras e eventos que acionem a reverificação

A reverificação levará o usuário por um processo para verificar novamente sua identidade. As regras de reverificação são acionadas, por exemplo, quando ocorre uma transação de alto valor.

Se um fraudador sequestra uma conta e tenta usá-la para transações financeiras, uma verificação de reverificação provavelmente dificultará a tentativa.

Mapeie políticas para regulamentações locais e globais

Mapear as políticas de verificação e reverificação para regulamentações locais e globais é um exercício essencial. Ao decidir sobre o tipo de verificação necessária, uma empresa deve verificar novamente se os requisitos atendem às exigências regulatórias, como PLD e KYC. Verificar um indivíduo envolve o manuseio de dados pessoais e sensíveis, portanto, a empresa deve equilibrar a necessidade de verificar com as regulamentações de privacidade, como o GDPR. Regulamentações como o Regulamento de PLD da UE (AMLR/AMLA) exigem que as entidades realizem monitoramento contínuo e reverificação baseada em risco.

Defina políticas e medidas de verificação e autorização

Políticas robustas de autenticação e autorização ajudam a reduzir o risco de ATO. As seguintes medidas provavelmente farão parte dos resultados da sua avaliação de risco:

Implemente um ambiente de confiança zero

A confiança zero baseia-se na segmentação da rede para conter violações e no monitoramento contínuo para preveni-las ou detectar rapidamente potenciais eventos de segurança. A base da confiança zero é a verificação robusta. Neste caso, os clientes devem ser autenticados para solicitações de acesso e receber apenas os privilégios de acesso necessários para realizar uma tarefa (o princípio do menor privilégio, ou POLP). O monitoramento contínuo é essencial.

Garanta que a detecção de vitalidade esteja ativada

A própria verificação de identidade é um alvo para os invasores de ATO. A biometria facial demonstrou reduzir significativamente a probabilidade de subversão da verificação, mas o sistema deve suportar a detecção de vitalidade. A vitalidade da Veriff usa uma mistura de IA e um sistema biométrico facial de alta resolução para identificar rapidamente um indivíduo, reduzindo a probabilidade de vídeos transmitidos ou pré-gravados, imagens sintéticas ou manipuladas e deepfakes gerados por IA. Os clientes têm uma experiência simplificada usando uma selfie para concluir a verificação.

Use soluções biométricas que incorporem tecnologia anti-spoofing

Cibercriminosos usam técnicas sofisticadas para falsificar sistemas de verificação, incluindo emuladores e câmeras virtuais. Uma defesa em várias camadas deve analisar o rosto, dispositivo, sensor, carimbo de data/hora e dados comportamentais para permitir uma detecção precisa de spoofing.

Use tecnologias de adaptação comportamental

A biometria facial deve usar múltiplos sinais antifraude para garantir uma correspondência precisa. A Veriff, além de usar a detecção de vitalidade em tempo real, captura sinais de risco comportamentais, de dispositivo e de rede para detectar atividades fraudulentas.

Aplique autenticação baseada em risco

Para transações de alto valor ou altamente sensíveis, os clientes podem ser levados por um processo de autenticação e verificação de step-up. A autenticação e verificação de step-up são impulsionadas por pontos de gatilho que solicitam medidas de segurança adicionais, como a reverificação.

Implante autenticação sem senha

Violações de dados massivas que incluem combinações de nome de usuário e senha comprometidas, combinadas com soluções alternativas de MFA, estão impulsionando um futuro sem senhas. Um relatório da The FIDO Alliance (Fast Identity Online), uma associação do setor da qual a Veriff é membro, está por trás do mecanismo sem senha, as passkeys, e descobriu que 87% dos tomadores de decisão estão implantando passkeys em suas empresas. Biometria e passkeys podem eliminar senhas e podem ser combinadas com autenticação multifator (MFA) para transações de alto valor ou sensíveis.

Use soluções biométricas que incorporem tecnologia anti-spoofing

Cibercriminosos usam técnicas sofisticadas para falsificar sistemas de verificação, incluindo emuladores e câmeras virtuais. Uma defesa em várias camadas deve analisar o rosto, dispositivo, sensor, carimbo de data/hora e dados comportamentais para permitir uma detecção precisa de spoofing.

A biometria facial deve aproveitar múltiplos sinais antifraude para garantir correspondências precisas. O sistema também deve suportar a detecção de vitalidade.

A vitalidade da Veriff usa uma mistura de IA e um sistema biométrico facial de alta resolução para identificar rapidamente um indivíduo, reduzindo a probabilidade de vídeos transmitidos ou pré-gravados, imagens sintéticas ou manipuladas e deepfakes gerados por IA. Os clientes têm uma experiência simplificada usando uma selfie para concluir a verificação. Foi descoberto que ela reduz o ATO em 80% – 90%, proporcionando os seguintes benefícios:

  • Menor risco de fraude – Vitalidade passiva e detecção de fraude por meio de blocklisting facial e impressão digital do dispositivo
  • Logins mais rápidos – Tempo de resposta inferior a 1 segundo
  • Experiência contínua – Não há necessidade de sair da jornada do usuário para OTPs
  • Segurança aprimorada – A biometria é única, difícil de falsificar e não pode ser compartilhada
  • Redução do erro humano – Sem senhas para digitar ou gerenciar

Implemente inteligência de ameaças de ATO em tempo real

Novas ameaças, como ataques assistidos por IA, mudam as métricas de resposta. Um aspecto essencial da mitigação de ameaças de ATO é o monitoramento contínuo de ameaças. Ele identifica atividades incomuns centradas em ações como:

  • Monitoramento da atividade da conta e perfil do usuário.
  • Atividade de acesso à conta, como eventos de logon incomuns (por exemplo, de um novo local), bem como exfiltração de dados incomum.
  • Atividade de e-mail incomum, como alterar regras de encaminhamento.
  • Análise de endereços IP usados durante o login da conta.
  • Monitoramento da segurança do dispositivo para evitar a troca de SIM.

Eduque os clientes sobre táticas e sinais de ATO

Ameaças de tomada de conta frequentemente usam engenharia social para iniciar o ataque. Os clientes correm risco de ataques que contêm um elemento social, como o phishing. Para ajudar a prevenir ataques de ATO, é importante educar os clientes sobre como identificar possíveis tentativas de phishing e outras ameaças cibernéticas. As organizações podem oferecer educação por meio de uma campanha de postagens de blog explicando como os cibercriminosos usam a engenharia social para acessar as contas dos clientes. Outros canais, como newsletters por e-mail e mídias sociais, também podem ajudar os clientes a permanecerem vigilantes sobre os perigos de um ATO.

Documente planos de resposta a incidentes

O plano de resposta é essencial para restaurar rapidamente as operações comerciais e mitigar o impacto de um incidente de ATO. O NIST fornece orientação de melhores práticas, com base em quatro etapas:

  1. Preparação
  2. Detecção e Análise
  3. Contenção, Erradicação e Recuperação
  4. Atividade Pós-Incidente

As melhores práticas de quatro etapas na criação de um plano de resposta podem ser aplicadas a ataques de ATO, por exemplo:

  1. Preparação: Realize uma avaliação de risco para entender as principais áreas de risco e prioridades.
  2. Detecção e Análise: Implemente inteligência de ameaças de ATO em tempo real.
  3. Contenção, Erradicação e Recuperação: Implante medidas como segurança de e-mail e backups seguros. A recuperação envolverá processos que encerram quaisquer contas de identidade afetadas.
  4. Atividade Pós-Incidente: Implemente programas de treinamento de conscientização de segurança para funcionários, revise suas opções de verificação e autenticação e audite e revise suas respostas a ataques de ATO.

 Four stages of incident response for account takeover events (source)

 Quatro estágios de resposta a incidentes para eventos de tomada de conta (fonte)

Como a preparação, detecção e análise e revisão pós-incidente são abordadas em outras partes deste artigo, a parte mais relevante para focar aqui é a contenção, erradicação e recuperação. Em um cenário de tomada de conta, isso significa proteger rapidamente as contas afetadas, encerrar sessões suspeitas, bloquear mais acessos não autorizados, reverter alterações fraudulentas sempre que possível e restaurar o controle para o usuário legítimo. Também pode envolver redefinições de credenciais, reverificação, investigação de contas vinculadas e monitoramento de tentativas de fraude subsequentes. Os insights obtidos durante esta fase devem então alimentar a preparação e melhoria futuras.

Audite e revise a resposta a ataques de ATO

Importante para manter a detecção e prevenção eficazes de ataques de ATO.

  • Realize auditorias de segurança regulares
  • Verifique a veracidade da autenticação
  • Valide a aplicação consistente das políticas de autenticação e autorização
  • As diretrizes atuais de resposta a incidentes ainda são apropriadas?
  • Simule cenários de violação e teste a capacidade de resposta
Relatório de Índice de Fraude da Veriff: insights de 2.000 consumidores

Conclusão

O Centro de Reclamações de Crimes na Internet (IC3) do FBI recebeu aproximadamente 4.700 reclamações públicas em 2025 sobre ATO de consumidores, com ataques resultando em US$ 359,7 milhões em perdas. Os invasores de ATO estão usando técnicas e táticas cada vez mais sofisticadas para explorar as contas dos clientes. O login não é mais o principal campo de batalha, pois Passkeys, vinculação de dispositivos e MFA resistente a phishing fecham os pontos de entrada. Os dados de 2026 da FIDO mostram que 75% dos consumidores globalmente habilitaram uma passkey em pelo menos uma conta, e quase metade as usa regularmente. Os invasores sabem disso, então sua energia agora está se movendo para os momentos que controlam a conta, em vez dos momentos que a abrem — fluxos de recuperação de conta, verificação de step-up em transações de alto valor, registro de novos dispositivos e autorização de pagamento. Onde quer que uma reverificação ou link mágico esteja entre um invasor e um resultado, essa é a nova superfície de ataque. No entanto, a era do credential stuffing não acabou, com invasores operando antes da senha e depois do login.

Uma mistura de soluções deve ser implantada para detectar e prevenir este que é um dos ciberataques mais insidiosos e prejudiciais. Medidas como verificação e autenticação estão na vanguarda da prevenção de ataques de ATO. No entanto, as soluções devem equilibrar a experiência do cliente com a segurança. Autenticação sem senha, vivacidade biométrica e reverificação baseada em risco não são mais extras opcionais; estão se tornando requisitos essenciais para uma prevenção eficaz da tomada de conta.”

Navigate Chapters:

Inscreva-se para obter insights

CTA form illustration