Recentemente foi amplamente noticiado o vazamento dos dados de mais de 220 milhões de brasileiros, praticamente toda a população do país. Os dados estão à venda em um site público, diferente de outros episódios, em que os dados podiam apenas ser encontrados na Dark Web, mais difícil de ser acessada pela população. O que mais impressiona neste episódio é a amplitude e a variedade de tipos de dados, que vão desde nome a foto do rosto (o nome do arquivo em JPG é o CPF do indivíduo!) CPF, nome dos pais, endereço, telefone, e-mail, score de crédito, salário, renda e muito mais.
O acontecimento é histórico e tem o potencial para alterar completamente a dinâmica do setor de prevenção à fraude financeira no Brasil, no curto, médio e longo prazo. Isso porque as informações vazadas são a maneira mais comumente utilizada para a verificação de identidade na abertura de novas contas e autenticação em contas existentes, por meio de uma técnica chamada "checagem de pares". Funciona de forma tão simples quanto o próprio nome diz: uma pessoa buscando abrir uma conta ou realizar uma transação apresenta uma informação credencial, e a instituição checa se a informação é real, de forma automática ou manual. A maneira mais amplamente utilizada é a checagem de pares com informações estáticas, feita com uma diversidade de técnicas, como checagem de números de documentos, endereço de um comprovante de residência e o endereço de residência declarado e, agora, a famosa selfie, que pode detectar com reconhecimento facial a correspondência entre um rosto e uma foto em um documento.
O problema das instituições financeiras fazerem a verificação de identidade e autenticação utilizando informações estáticas é que, as informações permanecem para sempre as mesmas, como a foto de um rosto. Como este tipo de informação não muda nunca, se cair em mãos erradas, é a receita perfeita para múltiplos tipos de fraude. No recente vazamento, o que se notou é que virtualmente não existe mais informação estática que não seja mais pública. Portanto, se uma instituição não utilizar técnicas adicionais de prevenção, com outros tipos de dados, como os dinâmicos, que mudam constantemente, as barreiras de segurança ficam comprometidas e baixas. E, infelizmente, é o caso em que nos encontramos considerando o recente vazamento.
Instituições que, após o vazamento, continuarem utilizando apenas a checagem de pares com dados estáticos para validar a abertura de contas, correm o maior risco da história de sofrerem com fraudes de abertura de conta com identidade sintética e identidade roubada. Além disso, também tendem a aumentar os casos de roubo de conta com autenticação feita com credenciais roubadas, além de estelionatos.
Os dados vazados são matéria prima para muitas técnicas possíveis de fraude e estelionato, porém alguns golpes e métodos devem crescer mais rapidamente que outros.
Com tantas informações reais de identificação da população à disposição, a abertura de conta com identidade sintética é um dos golpes que mais tende a crescer. Cerca de 85% dos solicitantes de crédito identificados como potenciais fraudadores sintéticos não foram sinalizados como usuários de alto risco por modelos tradicionais antifraude, segundo pesquisa da ID Analytics.
Os processos de abertura de contas de instituições financeiras contam com a coleta de informações para identificar a identidade do potencial novo cliente. Muitas informações são obrigatórias no processo de KYC (Know Your Customer), como por exemplo a comprovação de endereço, mas que podem ser comprometidas por documentação, fácil de ser falsificada, como uma conta de consumo. Ainda, a identidade que deve ser comprovada, pode ser uma identidade sintética, técnica que combina dados reais com informações falsas para criar uma identidade nova, que se assemelha bastante com a de uma pessoa que está começando a acessar serviços bancários e de crédito. Como a identidade daquele solicitante abrindo a conta não é real, não existe uma vítima que possa alertar as instituições financeiras do que está acontecendo. Em alguns casos as instituições só percebem a fraude depois de meses. Os rastros da fraude podem não levar ao criminoso, já que aquela identidade de fato não existe.
Fraudadores utilizam a engenharia social para roubar contas já existentes. Normalmente é feito contato com a vítima do golpe, por telefone, mensagem ou email, sendo que o golpista finge que é uma instituição ou serviço e pede a confirmação de dados e informações. Em posse de informações sensíveis e com muito conhecimento a respeito da vítima, ganham confiança para conseguir informações que faltam para invadir uma conta, como uma senha eletrônica, dada pela própria vítima. De posse da conta do usuário, no caso de uma instituição financeira por exemplo, o fraudador pode fazer transações, causando enormes prejuízos. O famoso golpe do whatsapp pode ser aplicado da mesma forma.
Outra maneira engenhosa é de posse das informações na qual o fraudador se faz passar pelo usuário do serviço e liga para um canal de atendimento ao consumidor. Este tipo de golpe será potencializado com o recente vazamento, já que o golpista poderá fazer todas as confirmações necessárias, uma vez que tem absolutamente todas as informações necessárias que normalmente são usadas para clientes legítimos se identificarem para instituições.
Ataques de phising mobile tendem a crescer, também para o roubo de conta. A vítima é induzida ao erro, clicando em URLs maliciosas que podem instalar malwares no telefone para roubar senhas ou a vítima pode ainda, ser levada a colocar suas informações em páginas falsas, incluindo suas senhas. Será mais fácil induzi-las ao erro uma vez que verão suas informações reais e poderão confiar na legitimidade da instituição.
Já que o vazamento de informações atingiu praticamente toda a população e tem praticamente todas as informações necessárias para um golpista se passar por uma pessoa que não é, soluções que utilizam informações estáticas, que não mudam, serão menos eficazes. A verificação de dados cadastrais, comumente usada, será comprometida. Como um aplicativo ou atendente poderá contestar a legitimidade de um aplicante à abertura de conta se todas as informações são legítimas? Um atacante pode até confirmar os nomes de pai e mãe, endereço, o que compromete também a eficácia de perguntas de conhecimento, as famosas KBA.
Até a biometria facial, que vem ganhando muita popularidade, pode ser comprometida, dado que no vazamento estão incluídas fotos dos indivíduos, que podem ser utilizadas tanto para falsificar documentos, quanto para escaneamento da selfie. Para utilizá-la, é necessário implementar tecnologias como liveness detection, que requer ações do usuário, como um sorriso ou movimentação do rosto, para interpretar se trata-se de uma pessoa de fato ou apenas uma reprodução.
As instituições precisarão se mover muito rapidamente para poder minimizar sua exposição ao risco. A melhor alternativa do mercado são técnicas de prevenção à fraude que usam dados dinâmicos, ou seja, que são alterados o tempo todo, como os que mudam de acordo com o comportamento dos usuários.
Identidades digitais suportadas por dados dinâmicos são mais seguras e precisam ser adotadas pelas instituições financeiras, varejistas e outras instituições para impedir o crescimento das fraudes resultantes desse vazamento. Essas identidades digitais dinâmicas, por serem alteradas constantemente, se tornam muito complexas, o que faz com que seja quase impossível de serem copiadas ou forjadas. Um exemplo de dado dinâmico, são os dados associados ao comportamento das pessoas, que podem ser automaticamente captados por dispositivos, como o smartphone. Dois exemplos são o comportamento de localização ou a maneira como digitamos.
É difícil prever o quanto e quando os ataques descritos serão intensificados, mas uma coisa é certa: pela natureza dos dados estáticos, os efeitos negativos serão sentidos por muitos anos.
O vazamento que ocorreu é tão grande, e tem informações tão diversas, que ainda é difícil calcular o impacto em nossa sociedade e nos negócios. No entanto, pode-se imaginar que será enorme o choque no setor financeiro e de segurança, assim como a COVID-19 impactou o mundo em 2020, ou seja: Todas as regras do jogo estão para mudar.