Back to Blog

Como os vazamentos de senhas podem aumentar os Account Takeovers

Natália Lord

Mais um vazamento deixa os brasileiros em alerta. Dessa vez, quase um milhão de senhas foram roubadas através de phishing, em e-mails falsos de empresas de telefonias. Nesses e-mails, cobranças de faturas atrasadas com arquivos em PDF contaminados por vírus que invadem o computador e roubam senhas armazenadas no navegador. A ação é muito discreta e a vítima nem nota que tem seu computador invadido.

Esse tipo de ação com foco nas senhas geralmente tem um objetivo bem específico: os account takeovers, que podem oferecer riscos à pessoas físicas e jurídicas. Além disso, a disposição de senhas possibilita invasões simultâneas e difíceis de serem mapeadas.

Não apenas as vítimas precisam estar atentas, como empresas de todos os segmentos que possuem usuários com senhas e acessos a algum sistema. Sejam eles clientes ou colaboradores. 

O que são Account Takeovers

Em uma tradução literal, o termo account takeovers significa roubo de contas e é exatamente isso que acontece. Quando, através de phishing ou outro tipo de golpe, pessoas indevidas acabam tendo acesso às senhas de contas bancárias, de e-mail ou aplicativos, e fazem ações não autorizadas, é considerado um Account Takeover.

O grande perigo é que os account takeovers geralmente afetam várias contas de um único indivíduo, pois, quando o criminoso tem acesso a uma senha, inicia a tentativa de invasão de diversas outras, já que por padrão os usuários costumam usar a mesma senha em vários lugares diferentes.

Os tipos mais comuns de account takeovers envolvem o setor financeiro, com invasão em contas e transferências indevidas para contas de terceiros, por isso é tão importante que as instituições possuam diferentes autenticações de segurança para os usuários.


Roubo de identidade x Account Takeovers

Os atos de Account Takeovers são facilmente confundidos com outro crime também muito comum no ambiente digital, o roubo de identidade. No caso desse segundo, os criminosos usam dados pessoais de uma pessoa para se passar por outro e tirar vantagem: abertura de conta, aquisição de crédito, limites e outras vantagens. 

No caso do account takeover, o criminoso invade e rouba - dados ou dinheiro - de contas e cadastros já existentes, podendo oferecer um prejuízo ainda maior aos envolvidos. Geralmente esse tipo de crime é difícil de rastrear e o criminoso age super rápido.

Uso das senhas vazadas em Account Takeovers

Mesmo que as senhas vazadas tenham relação apenas com e-mails, isso oferece um grande risco. Geralmente, e-mails estão vinculados a diversos outros serviços em aplicativos e é ali que o usuário recebe códigos de confirmação e afins. A orientação que é os aplicativos sugiram a substituição de senhas imediatamente e inclui em seu sistema a autenticação em dois fatores.

O vazamento de senhas, dá um acesso muito mais imediato às contas pelos criminosos, pois ali já há a existência de uma conta com dados pessoais e valiosos. No caso do vazamento de dados, os criminosos podem se passar pela vítima e tentar criar contas falsas, mas a ação pode demorar mais, por isso o vazamento de senhas pode ser ainda mais prejudicial.

Como não há como o usuário saber se sua senha foi vazada, o ideal é uma substituição constante de senhas e o uso de autenticação em dois fatores, já disponíveis na maioria das ferramentas. Isso é um forte diferencial para aplicativos e ferramentas, já que oferece uma maior segurança e tranquilidade aos usuários.


Como as empresas podem oferecer segurança contra ataques de ladrões de contas?

A utilização de ferramentas de autenticação que vão além de senhas estão sendo cada vez mais comuns. Esse tipo de ferramenta oferece à empresa a possibilidade de escolher ações dentro de uma variedade, configurando políticas. As MFA - Multi Factor Authentications - podem monitorar desde a localização do acesso à conta, quanto o aparelho pelo qual o usuário está tentando login. Ações que fogem do padrão acionam um sistema de segurança e uma segunda verificação pode ser exigida.

Os tipos de autenticação variam desde o envio de códigos para e-mail ou telefone cadastrados previamente pelo usuário, quanto a verificação da face já registrada, por autenticação facial ou ainda, através da impressão digital do usuário.

Ainda vale dizer que as empresas precisam manter os dados dos seus usuários sempre atualizados e verificados, para que eles não tenham problema caso o sistema seja acionado: e-mail desatualizado, telefone em falta no cadastro, selfie não enviada ou impressão digital não cadastrada podem bloquear a entrada do usuário e gerar um desconforto. É claro que esse desconforto não se compara à possibilidade de uma account takeover, mas manter os dados em dia pode oferecer uma experiência muito mais agradável ao usuário.

Mais artigos

Entenda os motivos para reprovação de um documento ou análise pendente

Dois status que costumam confundir na documentoscopia são a Reprovação e Análise Pendente. A primeira coisa que é importante dizer é que nem sempre é indício de tentativa de fraude. Mas, o que são, então?

Read Story

Saiba o que é spoofing e como se defender

Spoofing é um termo para o tipo de comportamento em que um criminoso virtual se disfarça como um usuário ou dispositivo confiável para que a vítima faça algo que beneficie o hacker e prejudique o usuário.

Read Story

6 motivos para reprovação de um documento

A reprovação de um documento na documentoscopia nem sempre é indício de tentativa de fraude. Confira nesse post o que pode causar a reprovação do documento e algumas dicas para evitar que aconteça com você.

Read Story

Não perca uma postagem.

Se inscreva em nossa newsletter para receber conteúdo exclusivo assim que publicado.
Não iremos compartilhar seu email com terceiros.