Entre 70% e 80% das fraudes financeiras reportadas no Brasil são golpes, em especial os de engenharia social. A estimativa foi feita por Filipe Ferreira, engenheiro de pré-vendas Latam da BioCatch, em conversa com Mobile Time. A empresa especialista na detecção de fraudes digitais e prevenção de crimes financeiros por meio de inteligência biométrica comportamental lançou nesta quarta-feira, 28, o relatório Tendências de fraudes bancárias digitais no Brasil 2024, em que mostra como se dá o comportamento de uso do celular de um fraudador e o compara com aquele de um cliente do banco.
Entre os outros dados apresentados está que 82% dessas ações acontecem entre 9h e 17h. Quatro em cada dez sessões apresentam sinais de distração por parte do cliente e 60% dos golpes registraram um incremento significativo de atividade antes de o pagamento fraudulento ser efetuado. Ou seja, são muitas entradas e saídas da conta e feitas por mais de um dispositivo, às vezes três ou mais.
Casos de uso da BioCatch
O estudo apresenta alguns casos de uso identificados pela BioCatch. Um deles está relacionado ao cronograma das sessões, ou seja, quando o usuário entra no canal do banco (o aplicativo, por exemplo) até sua saída. As informações são capturadas por inteligência artificial (baseada em modelos supervisionados, modelos com padrões de fraude), que vai entendendo à medida do uso a sessão, e faz um histórico dessas entradas e saídas e como ele faz o uso da aplicação – os botões que acessa, se usa somente uma mão, se digita rápido ou devagar, entre outros parâmetros.
No exemplo abaixo, nota-se que o cliente usa os serviços digitais bancários em dois dispositivos diferentes e faz login com mais frequência em um do que no segundo. Até aí, tudo normal. No entanto, a tecnologia da BioCatch registra um pico no volume de uso no segundo dispositivo (a bola maior do dia 4 de agosto) no momento em que ocorre a fraude, seguido pelo surgimento de um terceiro dispositivo com acesso à conta, ou seja, no aparelho usado pelo fraudador.
Estudo de caso: Cronograma das sessões. Gráfico: divulgação/BioCatch
“O fraudador conta uma história – seja porque estão tentando roubar o cliente ou uma compra diferente que foi feita – e ele vai guiando este usuário, entrando e saindo do site ou do app do banco para fornecer os dados necessários para cometer a fraude. Pode até mesmo solicitar acesso remoto ao dispositivo da vítima”, explica Ferreira.
A tecnologia da BioCatch avalia o uso do dispositivo móvel enquanto o usuário acessa o app do banco, por exemplo. Com isso, traça o perfil do tipo de atividade da tela por parte do cliente e, assim, é possível saber a diferença quando um terceiro usuário assume o controle da conta bancária.
“O fraudador faz atividades inconsistentes na comparação com o perfil do usuário. Pode ser que a pessoa use apenas uma mão e o fraudador opere com as duas (no caso do exemplo das telas). Por isso vemos toques de tela dos dois lados e é totalmente diferente com relação ao perfil normal do cliente”, explica.
Estudo de caso: Interação com o dispositivo. Gráfico: divulgação/BioCatch
As diferenças do modo como o cliente utiliza o dispositivo móvel por si só não significa que aquele tipo de uso seja por causa de uma fraude. O que configura a fraude é a mudança de comportamento associada a um comportamento de risco, como tentar fazer uma transação com valor monetário que não é normal.
“O fraudador não muda sua forma de usar o dispositivo se está fazendo uma transferência de R$ 100 ou de R$ 50 mil. Se fosse um usuário comum, ele verificaria várias vezes se os dados estão corretos. Para o fraudador, o importante é fazer a transação o mais rápido possível antes de ser pego”, exemplifica o executivo da BioCatch. “Ao associarmos a mudança de comportamento com o comportamento anormal e de risco é onde temos o ponto de equilíbrio para encontrar um comportamento fraudulento”, acrescenta.
“Grande parte do nosso trabalho é encontrar o comportamento genuíno do cliente para diminuir as defesas usadas pelos bancos, que causam fricção. A biometria facial, por exemplo, é uma invasão de privacidade, então muita gente não trabalha com a câmera, ou o celular não tem uma câmera de qualidade boa. Estamos aqui para separar o lobo do rebanho”, diz Ferreira.
No terceiro estudo de caso, as bolas mostram o momento em que o cliente (nos dois dispositivos azuis) digita uma senha temporária (OTP) de seis dígitos. No “legítimo 1”, por exemplo, ele digita dois números, volta para verificar os números seguintes, retorna ao app e digita mais dois números e volta mais duas vezes para verificar os outros números. O mesmo acontece no “legítimo 2”, em que ele verifica um número, volta para ver a senha novamente, digita mais três números e volta para o código OTP outras duas vezes.
Porém, o fraudador digita de forma constante, sem o ir e vir de telas porque o código enviado pelo cliente está ali, na mesma tela à sua frente. É uma digitação mais fluida, com um padrão consistente.
Estudo de caso: digitação do usuário. Gráfico: divulgação/BioCatch
“O que fazemos é um novo marco na prevenção de fraudes bancárias porque ela sempre foi muito focada em momentos. É o momento da transação, o momento de uma biometria facial, do token. Mas nada dessas coisas conversam entre si. Ao analisar tudo o tempo todo, não tenho fotos, mas tenho filmes e de vários ângulos”, explica o engenheiro de pré-vendas Latam da BioCatch.
Outro exemplo de golpe é o realizado em aplicativos de encontros e de relacionamentos. Em São Paulo, nove em cada dez sequestros estão ligados a golpes iniciados por meio desses apps. O dinheiro extorquido vai para contas laranja, os criminosos lavam o dinheiro roubado antes de convertê-lo em criptomoedas ou sacá-lo.
Dados de terceiros no relatório
O relatório da BioCatch também utiliza dados de terceiros. Entre eles, de que nove em cada dez fraudes acontecem em dispositivos móveis. 20% da população brasileira já sofreu uma fraude financeira nos últimos 12 meses e 40% já caíram em golpes em algum momento de suas vidas. Em sua maioria eles são elaborados por engenharia social e os criminosos manipulam as vítimas de modo que elas repassem senhas ou códigos de segurança. O Pix representa mais de 70% do total de perdas por fraude em 2022, que ultrapassaram mais de R$ 2,5 bilhões.
