Antes de tudo, o que é uma tomada de conta — ou ATO (Account Takeover)? Uma tomada de conta é uma forma de fraude que ocorre quando um agente mal-intencionado obtém acesso não autorizado a uma conta em uma loja online.

Quando fraudadoresobtem acesso às contas online de clientes legítimos, os fraudadores passam a dispor de um grande volume de informações de alto valor. As transações fraudulentas realizadas com essas informações são mais difíceis de detectar e interromper, pois se parecem com compras feitas por clientes conhecidos. Tomadas de conta também são mais prejudiciais do que outras formas de fraudes sem cartão presente (CNP): além da receita perdida devido a pontos de fidelidade roubados e os custos associados a chargebacks e reações a incidentes de fraude, esses ataques têm um impacto devastador na reputação da marca e no valor vitalício do cliente.

O armazenamento de dados se tornou uma grande vantagem para os consumidores digitais, tornando as compras online mais fluidas, mas também significa que as contas das lojas são mais lucrativas e mais vulneráveis a fraudadores. Tudo o que um fraudador precisa para apropriar-se de uma conta é do ponto de entrada mais simples – um nome completo, e-mail, data de nascimento, etc. – e a partir daí, ele trabalha para assumir o controle da conta.

As tomadas de conta são diferentes da fraude CNP comum. Na fraude CNP típica, um fraudador compra detalhes de cartões de crédito roubados, geralmente na dark web, e os utiliza para fazer compras. Os ataques de tomada de conta adicionam uma etapa extra: antes de cometer a fraude, um criminoso ganha acesso à conta de ecommerce de um cliente fiel.

A partir daí, há muitas oportunidades de fraude que podem ser tentadas, desde usar métodos de pagamento armazenados para fazer compras até usar detalhes de cartão de crédito roubados não relacionados, ou transferir ou usar pontos de fidelidade valiosos, como milhas aéreas.

Como as transações de clientes recorrentes são amplamente reconhecidas como “seguras”, os lojistas tendem a questioná-las com menos frequência — o que permite que mais casos de ATO ocorram sem serem detectados.

Como ocorre uma tomada de conta?

Um dos efeitos colaterais não intencionais de incentivar os clientes a criar contas na loja é o quanto essas contas se tornam um alvo atraente para os fraudadores. Os ataques de ATO se tornaram cada vez mais lucrativos — e fáceis de executar. Hoje em dia, os ataques de ATO são tão comuns que o processo de execução já está completamente automatizado. Mesmo um fraudador iniciante consegue invadir a conta de um bom cliente em questão de minutos.

É comum que especialistas em phishing manipulem e enganem os titulares de contas e, em alguns casos, até mesmo representantes de atendimento ao cliente, para que entreguem suas credenciais. Outras vezes, os fraudadores criam uma imitação de um site popular, como o da Amazon.com, e solicitam que os usuários redefinam suas senhas. Kits para criar tais imitações são vendidos na dark web.

Fraudadores online contam com algumas abordagens em larga escala para assumir o controle de contas. Algumas das vias mais comuns de ATO são:

Ataques de phishing: Uma maneira comum para fraudadores digitais enganarem pessoas para que forneçam informações pessoais e de conta. Esses ataques ocorrem na forma de chamadas telefônicas, mensagens de texto e, mais comumente, e-mails.

Credential stuffing:: Quando os fraudadores obtêm acesso a dados comprometidos em uma violação, eles têm em mãos uma lista de combinações de nomes de usuário e senhas — e podem usar bots para testar esses conjuntos de credenciais em diversas lojas online. O processo é feito em massa: centenas e milhares de possíveis logins são testados.

O que acontece depois de uma tomada de conta?

Ao ganharem acesso às contas de loja de clientes legítimos, os fraudadores obtêm uma grande quantidade de informações de alto valor. As transações fraudulentas realizadas a seguir são mais difíceis de detectar e parar porque parecem ser feitas por clientes conhecidos. Depois que a conta de um bom cliente é tomada, os fraudadores podem tentar diversos tipos de golpe.

Eles podem fazer compras com métodos de pagamento armazenados, gastar pontos de fidelidade (como milhas aéreas) e roubar informações pessoais valiosas para usar e vender em outros lugares. Os tipos de dados pessoais que os compradores armazenam regularmente em suas contas online incluem seu endereço, e-mail, número de telefone, métodos de pagamento e números de identificação, incluindo números de passaporte.

Tomadas de conta também são mais custosas: além perda de receita e dos custos associados aos chargebacks, esses ataques têm um impacto devastador na reputação da marca e no valor vitalício de um cliente.

O custo de ATA de bots

Custos diretos de fraude: ATOs resultam em chargebacks — e, embora os lojistas hoje tenham dificuldade em rastrear quais estornos e transações de pontos de fidelidade são consequência de ATOs, as perdas, tanto visíveis quanto ocultas, são significativas.

Custos de atendimento ao cliente: Quando os clientes têm suas contas invadidas e ninguém entra em contato de forma proativa, é provável que liguem ou enviem e-mails ao lojista para reclamar. Com informações pessoais sensíveis em jogo, os agentes precisam verificar se estão realmente falando com o titular da conta e não com um fraudador tentando invadir uma conta. A quantidade de horas de trabalho necessárias para resolver um desses pedidos de suporte aumenta rapidamente.

Perda do customer lifetime value (CLV): Quase metade dos clientes (43,2%) dizem que nunca mais comprariam em uma loja online se sua conta fosse comprometida, de acordo com uma pesquisa da Riskified.

Danos à marca e perdas resultantes: Os ataques de ATO têm um impacto devastador na reputação da marca. Em casos extremos, os ataques podem acabar nos meios de comunicação e até causar colapsos nos preços das ações. O dano pode ser difícil de quantificar, mas a reputação da marca pode ser o problema comercial mais sério em jogo quando a conta de um cliente é violada.

Mitigação de ataques de bots para tomada de conta

Existem várias medidas de segurança que os lojistas online podem tomar para prevenir ataques indesejados de bots e roubo de contas, mas, primeiro, os lojistas devem entender quão vulnerável é sua empresa ou loja virtual.

Depois de avaliar os riscos e possíveis impactos, os lojistas devem definir o nível de conservadorismo que sua operação precisa adotar — estabelecendo um limite de tolerância ao risco com base em suas vulnerabilidades potenciais a fraudes. Igualmente importante, os lojistas também devem considerar como seus clientes reagiriam a medidas de segurança adicionais.

O próximo passo é definir quando e como bloquear usuários suspeitos, notificar clientes sobre tentativas de login incomuns ou solicitar verificação de identidade. Considerando a pouca quantidade de dados que você tem disponível sobre o usuário quando ele tenta fazer login, tomar essas decisões não é uma tarefa fácil. Um programa de compartilhamento de dados com outros lojistas pode ajudar a preencher informações críticas.

Uma solução de machine learning que inclui vinculação de identidade e uma forte rede de lojistas é uma das ferramentas mais poderosas que um comerciante pode ter em defesa contra ataques de bots para tomada de conta.

Saiba mais sobre Account Secure

Equilibre uma experiência do cliente sem fricção com a prevenção de ATOs por meio da nossa solução totalmente automatizada de proteção de contas.

Saiba mais

Fraude com cartões-presente: acabe com esses 8 tipos de golpe