O roubo de conta respondeu por 72% das fraudes digitais no Brasil em 2022. Os estelionatários recorrem a dados vazados, chips clonados e a técnicas de engenharia social, como links e emails falsos, para conseguir as informações de acesso das vítimas. O país teve cerca de um extravio de conta por minuto.

Os dados foram levantados pela empresa de cibersegurança e identidade digital AllowMe, prestadora de serviços a bancos, empresas de pagamento e sites de ecommerce.

A AllowMe tem, em seu banco de dados, mais de 130 milhões de smartphones, tablets e computadores cadastrados –29% dos cerca de 447 milhões dos dispositivos digitais em uso no país, segundo a última Pesquisa Anual do Uso de TI, da Fundação Getúlio Vargas (FGV). A empresa acessa esses dados por meio das empresas contratantes, como Cielo e banco next.

A partir desses registros, a empresa de identidade digital analisou cerca de 300 milhões de transações e afirma ter evitado R$ 755 milhões de prejuízo com fraudes.

Os golpes ainda podem ocorrer em outras duas etapas: a criação de conta, com 23% dos casos, e a transação, 4%.

No primeiro caso, os estelionatários criam contas falsas com dados vazados ou usam programas maliciosos para roubar informações das vítimas. No segundo, criam anúncios falsos ou enviam comprovantes de transferência falsa a comerciantes.

A habilidade do estelionatário também importa: os amadores operam em menor escala e com técnicas mais simples do que os profissionais.

São Paulo é o estado que mais sofre com fraudes em números absolutos e concentra 37,68% do total de registros. Quando se considera os golpes em relação à população, o cidadão fluminense é o que mais recebe golpes proporcionalmente -paulistanos, mato-grossenses, capixabas e pernambucanos completam a lista.

Entre as transações monitoradas, 83% foram feitas no celular e 17% no computador. Os dispositivos móveis são alvo de menos visados. A cada 100 transações monitoradas, 3% configuram tentativas de fraude para smartphones, e 1%, para computadores.

A AllowMe também levanta comportamentos suspeitos relacionados a configurações do aparelho, geolocalização, histórico de uso, navegação e conexão. "Um aparelho que teve conexões a várias contas de um mesmo aplicativo pede precauções", cita Diana, da empresa de identidade digital, como exemplo.

Quando a firma de segurança detecta um comportamento suspeito, a chance de fraude fica em 0,3%. Essa probabilidade sobe para 50% quando são dez comportamentos suspeitos.

Os dispositivos eletrônicos mais antigos também são mais vulneráveis, sobretudo se estiverem com sistema operacional desatualizado. Entre as tentativas de fraude detectadas 90% foram em aparelhos de seis a nove anos atrás.

Como as empresas podem proteger seus clientes


De acordo com a AllowMe, a criação da conta é o momento em que o usuário está mais disposto a passar por mecanismos de verificação. Os sites e aplicativos precisam aproveitar essa chance para aumentar a segurança de seus sistemas.

O fluxo de proteção envolve:
Validar CPF ou CNPJ do cliente
Recolher informações pessoais e de contato
Analisar esses dados para evitar fraudes, como fotos geradas por computador e inconsistências, e contas falsas
Criar senha
Autenticação por email
Autenticação por SMS
Validação de dados cadastrais
Autenticação por biometria facial

Como se proteger


Além de habilitar todas os estágios de segurança disponíveis, os clientes aumentam a sua segurança com aparelhos mais recentes e atualizados. Podem também baixar antivírus para detectar programas maliciosos na máquina e evitar instalar aplicações de origem suspeita.

Os celulares, em geral, representam menos riscos durante a transação, porque oferecem mais opções de reconhecimento com dados biométricos. Os sistemas operacionais dos smartphones também são mais restritivos do que computadores quanto ao download de softwares verificados.

Antivírus checam se houve vazamentos de dados de usuários cadastrados. O site Have I Been Pwned e o aplicativo Data Breach Tracker (disponível neste link para usuários Android) também permitem consultar o estado dessas informações.

O Banco Central também permite verificar dívidas com bancos e órgãos públicos, cheques devolvidos, contas, chaves Pix e operações de câmbio no site Registrato.