Matheus Raposo (*)
As compras on-line e transações financeiras em plataformas digitais tornaram-se tão comuns que parece que sempre existiram. Hoje, mais e mais pessoas estão usando computadores e smartphones para transacionar nessas plataformas, aproveitando dos benefícios e da conveniência que tornam essas experiências difíceis de superar.
Como consequência disso, observamos o crescente apelo para a exploração das vulnerabilidades desses ambientes por fraudadores, que vêm desenvolvendo modus operandi de fraudes cada vez mais sofisticados. Eventos de mega vazamentos de dados pessoais como os registrados no início de 2021, em que mais de 223 milhões de brasileiros tiveram dados expostos como CPFs, nome, data de nascimento, celulares e e-mails torna ainda mais fácil a tarefa dos fraudadores de burlar processos de onboarding ou login em plataformas digitais com dados reais de usuários.
Uma das possibilidades de prevenção a fraudes é a biometria comportamental, que consiste em traçar uma identidade do usuário em uma sessão de uso, com base em seu modo de uso e não em dados pessoais ou transacionais. Desse modo, os fraudadores até conseguem enganar os dados e passar pelas camadas de proteção antifraude tradicionais por regras de decisão e machine learning, mas não conseguem enganar o comportamento. Dados comportamentais e a biometria comportamental são, assim, considerados a evolução na detecção de fraudes.
Neste modelo, centenas de variáveis formam uma identidade comportamental da pessoa. No uso de um aplicativo, por exemplo, o software captura o tipo do celular, o nível de bateria, se há chip instalado, se ele está se movimentando durante o uso, se é novo, a quantidade de aplicativos instalados, como o usuário movimenta o dedo, a grossura do dedo e até mesmo a pressão do dedo na tela. De forma geral, esses indicadores de comportamento podem ser distribuídos em quatro categorias, tais como:
- Navegação e padrões de uso: são analisadas as formas de utilização de periféricos como mouse e teclado, além de touchscreen e sensores de celulares.
- Padrão comportamental: apuram-se desvio do comportamento em toda a jornada do usuário, além de questões como fluência de aplicação, falta de familiaridade com dados pessoais que deveriam ser conhecidos e velocidades incompatíveis com os demais usuários padrão.
- Atributos do dispositivo: são avaliadas as propriedades do navegador, o sistema operacional, a presença de máquinas virtuais e automação, além dos dados de hardware e firmware.
- Atributos da rede: realiza-se uma análise de IP (Endereço de Protocolo da Internet), existência de data centers, características de hospedagem, rede, ISP (Provedor de Serviço de Internet) e informações da operadora.
A coleta de todos esses dados acontece a partir da instalação de códigos SDK (Kit de Desenvolvimento de Software) e Javascript para início do monitoramento nos diferentes tipos de plataforma, sejam elas Android, iOS ou web.
Todas essas detecções de dados comportamentais dificultam a ação de um fraudador que tenta emular esses comportamentos, seja para criar uma conta com dados de terceiros (fraude de nova conta) ou acesso à conta com dados roubados (apropriação de conta), mas podem ser usados também para enriquecimento de dados referentes também à jornada dos usuários honestos nas aplicações para fins comerciais, por exemplo.
Outros casos de uso além de fraude em criação de novas contas e fraude de apropriação de contas tratam da fraude no checkout (meios de pagamento), detecção de robôs e emuladores, validação do usuário (autenticação de N fatores, com base em comportamento), bloqueio de estoque (indisponibilidade de itens estratégicos provocada propositadamente pelo uso de robôs que simulam compras) e até revenda de estoque a preço premium (itens promocionais ou exclusivos).
É claro que, à medida que uma quantidade cada vez maior de usuários se move em direção aos canais digitais, os fraudadores estão desenvolvendo métodos mais sofisticados para roubar dados e realizar atividades fraudulentas. A chave para combater fraudes de todos os tipos é estar sempre ciente das ameaças atuais e novas e ser capaz de mitigá-las com as ferramentas e soluções efetivas.
(*) – É consultor master em Riscos e Performance na ICTS Protiviti, especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados