Aprofundamento: Explorando as últimas estatísticas sobre fraudes de assalto a contas [2024]

O que é fraude de assalto a contas?

Fraude de assalto a contas (ATO) é quando criminosos têm acesso à conta de um cliente sem sua permissão, um tipo de roubo de identidade. Qualquer conta online pode ser alvo, com o potencial de causar enormes danos financeiros.

Na prática da fraude ATO, um ator criminoso passa por duas etapas. Primeiro, o fraudador obtém acesso à conta da vítima usando informações de conta roubadas ou informações que comprou.

Uma vez que o fraudador tenha obtido acesso, ele fará mudanças não monetárias na conta. Essas mudanças incluem:

• Alterar as informações pessoais identificáveis da vítima,
• Solicitar um novo cartão
• Adicionar um usuário autorizado
• Alterar a senha

Os fraudadores podem então realizar uma série de transações não autorizadas que parecem legítimas. Alternativamente, podem vender a conta confirmada ou os dados do cliente para outra pessoa.

Utilizar essas credenciais obtidas de forma ilícita em larga escala constitui um ataque de preenchimento de credenciais. O preenchimento de credenciais é uma das técnicas mais comuns para assumir contas de usuários. O preenchimento de credenciais é perigoso para consumidores e empresas por causa dos efeitos em cascata dessas violações. Um dos outros desafios é a prática comum de usuários utilizarem senhas e nomes de usuário/e-mails idênticos em várias plataformas. Se essas credenciais forem comprometidas por meio de uma violação de banco de dados ou esquema de phishing, inserir essas credenciais roubadas em vários outros sites pode potencialmente conceder a um invasor acesso a essas contas também.

Tipos de contas vulneráveis

Os ataques de assalto a contas estão crescendo a uma taxa rápida. Isso ocorre em parte porque esse tipo de fraude pode ser cometido na maioria dos tipos de contas, como:

1) Contas correntes

2) Cartões de crédito

3) Contas de depósito ou poupança

4) Contas de benefícios governamentais

5) Contas de redes sociais

6) Contas de fidelidade de lojas

7) Contas de e-commerce

8) Contas de jogos

Alguns desses tipos de conta são um foco crescente para fraudes por razões óbvias, notadamente o potencial de ganho financeiro. Pegue o comércio eletrônico, por exemplo: o Relatório de Fraude de Identidade da Veriff 2024 registrou um aumento de 40% na fraude líquida em 2023 em comparação com 2022, subindo de 12,4% para 17,4%. Ou veja as contas bancárias, cartões de crédito e contas de fidelidade de lojas. De acordo com o relatório, a área de pagamentos geralmente viu um aumento de uma taxa de fraude líquida de 4,07% em 2022 para 6,28% em 2023, um salto de 54%.

As últimas estatísticas e fatos sobre fraudes de assalto a contas

Para descobrir mais sobre a prevalência da fraude de assalto a contas, fizemos uma análise aprofundada das últimas estatísticas sobre fraudes de assalto a contas. Infelizmente, elas mostram o quão comum esse tipo de fraude se tornou.

Ataques de fraude online estão crescendo a uma taxa mais rápida do que transações financeiras online válidas

De acordo com relatórios recentes, o número de ataques de fraude online em todo o mundo está crescendo a uma taxa mais rápida do que o número de transações financeiras online válidas. Estima-se no Relatório do Mercado de Cibersegurança que no primeiro trimestre de 2022, os ataques de fraude online aumentaram em 233% em todo o mundo. Durante o mesmo período, o número de transações online aumentou apenas 65%.

A fraude de assalto a contas está em alta

Em 2024, o setor de pagamentos enfrentará níveis elevados de risco, maior supervisão regulatória e mudanças substanciais nos padrões internacionais. De acordo com os dados da Comissão Federal de Comércio, os casos de fraudes e golpes, incluindo fraudes de tomada de conta (ATO), aumentaram em 49 por cento em comparação com 2021, resultando em consumidores perdendo quase US$ 8,8 bilhões. Ao mesmo tempo, os consumidores antecipam que os provedores de serviços de pagamento os protegerão e oferecerão reembolso em caso de fraude. Consequentemente, proteger-se contra fraudes tornou-se imperativo para manter a integridade dos sistemas de pagamento, melhorar a experiência do cliente e proteger as empresas de danos à reputação.

Mas o que as estatísticas de tomada de conta nos dizem sobre esse tipo de fraude? E quão comum é esse crime? Um estudo feito pela Javelin Strategy & Research revela um aumento significativo nas perdas por fraudes de identidade tradicionais em 2021, atingindo US$ 24 bilhões, um aumento de 79% em relação a 2020. Isso resultou em mais de 15 milhões de adultos nos Estados Unidos sendo impactados. O estudo destaca o uso de vetores de ataque virtuais pelos criminosos, como bots e malware. Golpes de fraude de identidade acrescentaram mais US$ 28 bilhões em perdas, vitimizando outros 27 milhões de adultos nos EUA. Mudanças importantes nas táticas de fraude foram observadas, incluindo um aumento de 109% em fraudes de novos contas e um aumento de 90% nas perdas por tomada de conta. A perda média por vítima de fraudes de identidade tradicionais aumentou para US$ 1.551, com as vítimas gastando em média nove horas resolvendo problemas. Os consumidores expressaram grandes expectativas em relação às medidas antifraude das instituições financeiras. Especialistas enfatizam a necessidade de as instituições se adaptarem e melhorarem os esforços de prevenção à fraude para combater o cenário em evolução das fraudes de identidade.

Quase 1 em 4 americanos são vítimas de fraudes ATO

De acordo com as últimas estatísticas de cibersegurança da Spy Cloud, 22% dos adultos dos EUA foram vítimas de fraude de assalto a contas. Isso equivale a mais de 24 milhões de lares.

Quanto custa a tomada de conta de uma conta? 

Notícias sobre vazamentos de ATO provavelmente custarão à sua empresa futuros clientes, com o estigma empurrando as pessoas em direção aos seus concorrentes. Ataques de tomada de conta podem incorrer em despesas substanciais. Em uma pesquisa com 100 executivos de TI realizada pela Arkose Labs, a maioria indicou que ataques ATO podem resultar em despesas variando de US$ 50 a mais de US$ 200 por ocorrência. Multiplicando por milhares representa um ônus financeiro significativo para as empresas.

Ataques ATO visam contas de e-commerce

Embora os ATOs possam afetar várias contas, a maioria dos ataques tem como alvo contas de comércio eletrônico. Isso ocorre porque essas contas apresentam aos cibercriminosos a oportunidade de obter lucro rapidamente. De acordo com o Relatório ATO no Varejo, uma porcentagem maior de empresas do setor de varejo, com 29%, considera o ATO seu principal risco, com 72% o colocando entre suas três principais preocupações em comparação com outros setores. Apesar de experenciar menos ataques médios do que diferentes grupos, o ATO continua sendo o risco principal para uma porcentagem significativa de varejistas de moda, com 32% classificando-o como o mais alto, quase 10% acima da média geral da pesquisa.

Principais vetores de ataque ATO a serem observados em 2024

ATO attacks are poised to overtake malware as the number one concern for businesses and customers. Research from Sift's Q3 2023 Digital Safety and Trust Index indicates a significant increase in Account Takeover (ATO) attacks, surging by a staggering 354% compared to the previous year. Nearly one-fifth (18%) of respondents reported being victims of ATO attacks, with 62% of these incidents occurring within the past year. Moreover, over 34% of those affected encountered fraud multiple times, often while engaging in digital subscriptions, online shopping, and financial services. Adding to the concern, global fraud losses are forecasted to rise by 20% compared to the previous year, posing substantial economic consequences for merchants and consumers by the end of 2023.

De acordo com as estatísticas da Auth Signal, as três principais áreas de preocupação atualmente são:  

Session hijacking

In the past year, session hijacking has emerged as one of the most widespread attacks, impacting numerous prominent platforms. The method is straightforward: the session appears highly trustworthy after a legitimate user authenticates with an application and obtains a session token or cookie, which may involve two-factor or multi-factor authentication for added security. This privileged and often enduring session becomes a valuable target for cybercriminals to seize and exploit. By gaining control, they obtain unfettered access to sensitive data or the ability to initiate a bank withdrawal or extract personally identifiable information (PII) like birthdates, addresses, and transaction histories.

Preenchimento de credenciais / Quebra de senha

O preenchimento de credenciais refere-se à inserção automatizada de combinações de nomes de usuário e senhas furtadas ("credenciais") em portais de login de sites com a intenção de acessar contas de usuários de forma ilícita. Este método de ataque de ATO, bem estabelecido, continua a ser econômico e alcança altas taxas de sucesso. Esses ataques evoluíram rapidamente para contornar medidas de segurança, como CAPTCHAs de proteção contra bots, utilizando bots avançados de preenchimento de credenciais.

Esses bots mais recentes capitalizam sobre a experiência pouco amigável ao usuário causada por quebra-cabeças desafiadores do CAPTCHA. Em cenários específicos, eles orquestram ataques que submetem todos os usuários, incluindo os legítimos, a desafios intermináveis de CAPTCHA, forçando as plataformas a reduzir seus limiares de segurança para mitigar o impacto sobre clientes genuínos. Outras táticas envolvem resolver facilmente CAPTCHAs usando inteligência artificial generativa e executar ataques graduais e discretos que permanecem abaixo dos limiares, acionando contramedidas de segurança.

Phishing de código de senha de uso único (OTP)

O phishing de código OTP é um tipo avançado de phishing que envolve tentativas de hackers de adquirir os códigos de autenticação temporários comumente utilizados em sistemas de autenticação de dois fatores (2FA). Ao contrário do phishing convencional, que geralmente visa credenciais de login como nomes de usuário e senhas, o phishing de OTP se concentra em interceptar ou enganar os usuários para que divulguem seus códigos limitados no tempo.

A identidade do cliente é o principal objetivo dos ciberatacantes

Não surpreendentemente, as estatísticas mais recentes sobre fraudes de tomada de conta mostram que a porcentagem de pessoas preocupadas com a coleta de PII, preenchimento de credenciais e ATO aumentou desde 2021. Todos esses ataques têm algo em comum: eles envolvem o roubo e uso fraudulento de identidade.

Criminosos inteligentes realizam ataques enquanto se escondem atrás de uma identidade legítima, proporcionando inúmeras oportunidades para cometer fraudes. Isso significa que a identidade do cliente agora é o principal alvo dos ciberatacantes.

As empresas estão lentas para se adaptar aos riscos emergentes

À medida que as organizações crescem e mais do mundo se move online, a superfície de ataque de cada organização continua a se expandir. No entanto, pesquisas mostram que, embora as empresas estejam cientes dos riscos apresentados pela migração online e que malware, coleta de PII, preenchimento de credenciais e ATO sejam áreas de preocupação, a adoção de ferramentas de segurança para gerenciar esses riscos permanece baixa.

No entanto, a boa notícia é que os tomadores de decisão em sites dizem que estão tentando colocar sua infraestrutura de segurança de volta nos trilhos. De acordo com os dados, 39,8% das organizações estão considerando a compra de uma solução de gerenciamento de bots. Essas soluções ajudam a defender aplicativos web e móveis e APIs contra os muitos ataques que utilizam redes de bots, incluindo ATO, raspagem de conteúdo e acúmulo de estoque.

Tomando medidas contra fraudes de assalto a contas

Para as empresas, prevenir fraudes de assalto a contas pode ser complicado. Isso ocorre porque as atividades associadas à fraude de assalto a contas acontecem centenas de vezes por dia, e a grande maioria dessas ações de gerenciamento de conta iniciadas pelo cliente são legítimas. O desafio para as empresas é descobrir quais dessas ações não são legítimas e estão, em vez disso, ligadas à fraude de assalto a contas.

Para fazer isso, as empresas devem implementar os processos e ferramentas adequados. Esses podem ajudá-las a diferenciar entre clientes reais e fraudadores. Afinal, se uma empresa não conseguir identificar os fraudadores em tempo real, as perdas podem aumentar rapidamente. Isso ocorre porque, quando um cliente vivencia fraude de assalto a contas, geralmente considera a empresa responsável por quaisquer medidas de segurança brandas que permitiram ao fraudador acessar sua conta. No entanto, ao mesmo tempo, os clientes ficam facilmente frustrados quando pequenas mudanças solicitadas resultam em excessiva vigilância e se tornam um incômodo.

As empresas devem encontrar um equilíbrio entre implementar segurança adequada e fornecer uma experiência do cliente sem costura. A melhor maneira de alcançar isso é verificar a identidade de um usuário antes de ele ser autorizado a criar uma conta e, em seguida, autenticar um usuário sempre que ele desejar fazer uma alteração em sua conta.

By employing the use of identity verification software to help onboard a customer, a business can make the verification process swift, efficient, and accurate. In fact, with a piece of software like ours, a customer’s identity can be verified in as little as six seconds.

Quando o cliente deseja fazer uma mudança em sua conta, você pode empregar uma solução de autenticação biométrica. Dessa forma, você pode proteger contas, acesso a dados e transações. O processo é tão rápido e fácil quanto tirar uma selfie. Graças à automação poderosa, a identidade de um cliente pode ser autenticada em apenas um segundo. Além de manter os dados de um cliente seguros, você também pode tornar o processo de autenticação simples e sem empecilhos.

Como a Veriff ajuda na recuperação de fraudes de ATO

Parar a fraude de ATO significa tanto evitar que aconteça quanto detectar atividades suspeitas para que você possa intervir antes que um criminoso assuma uma conta.

Com a ajuda de nossas soluções, você pode gerenciar o acesso dos usuários e manter sua empresa segura sem prejudicar a retenção de clientes. Você também pode garantir que saiba que seus clientes são quem dizem ser.

Quando se trata de onboarding de clientes, nossa plataforma de verificação de identidade ajuda você a atender aos requisitos de conformidade regulatória. 

Depois que seu cliente criar sua conta, você pode protegê-la com a ajuda de nossa solução de autenticação biométrica. Essa solução usa automação poderosa para verificar clientes e garante que seu negócio não dependa mais de senhas e códigos de acesso temporários, que podem ser interceptados por fraudadores.

Em vez disso, ela confirma que um usuário retornando é quem alegam ser com o uso de uma selfie, que é comparada a um modelo biométrico previamente verificado. É verificada em busca de vitalidade e autenticidade. A solução é totalmente automatizada e uma decisão é fornecida em menos de 1 segundo.

Substituindo senhas por processos de autenticação biométrica, a Veriff pode ajudar a impedir que um fraudador que utilize informações roubadas/comprometidas acesse a conta de um cliente. você pode impedir que hackers roubem informações de clientes e garantir que mesmo se os dados de um cliente forem comprometidos, um fraudador não possa acessar sua conta. A solução de Autenticação Biométrica da Veriff utiliza IA avançada e análise biométrica facial para autenticar rapidamente e com segurança os usuários, concedendo acesso instantâneo a produtos e serviços. Esse processo rápido e totalmente automatizado pode ser integrado em qualquer estágio da jornada do usuário, como acesso à conta, atividades de alto risco ou recuperação de conta.