A dinâmica da área de segurança é um “jogo infinito”, uma natureza de “inovação constante”. Chega uma nova fraude, se estuda, se cria um sistema de proteção, mas isso não convence o criminoso a arrumar um emprego e sair dessa vida. Muito pelo contrário, ele vai tentar um novo tipo de golpe. É assim que Victor Thomazetti enxerga seu dia-dia no Itaú Unibanco como superintendente de Prevenção a Fraudes. Em conversa recente com Mobile Time, o executivo comentou sobre os últimos tipos de golpes aplicados na praça e os cuidados que se deve ter com presentes de aniversário e a biometria facial. Destacou também que o sistema financeiro não compete quando o tema é cibersegurança e, embora os bancos sejam um alvo comum, a fraude se expandiu para além do setor, afetando empresas de tecnologia que detém acesso a sistemas e APIs.

“Provavelmente o sistema financeiro é um alvo óbvio, pelo seu contexto. Mas hoje em dia a gente tem visto empresas de tecnologia serem visadas pelos criminosos. São invasões, aliciamentos porque elas acabam tendo acesso a sistemas, controles, API e serviços. Então, esse contexto da fraude não tem nehuma barreira”, comenta.

Evolução da engenharia social: texto e contexto

Itaú

Victor Thomazetti é superintendente de Prevenção a Fraudes do Itaú Unibanco. Crédito: divulgação

No radar do superintendente estão golpes recentes, aplicados por meio de engenharia social nos quais são roubados dos clientes de bancos suas biometrias faciais. A fraude de coleta de biometria utiliza argumentos enganosos, como a promessa de brindes promocionais ou alegações de fraudes inexistentes para conquistar a confiança das vítimas e justificar a solicitação de dados sensíveis, como reconhecimento facial e impressão digital.

Thomazetti explica que a engenharia social tem se tornado mais avançada devido às tecnologias emergentes e à vasta disponibilidade de dados na internet. Ele define a engenharia social como a combinação de “texto e contexto”: o fraudador cria um contexto (ambiente e circunstâncias) que faz um pedido ilícito (“texto”) parecer lógico, derrubando as defesas da vítima.

Neste cenário, a biometria, apesar de ser uma tecnologia extremamente segura e baseada em inteligência artificial avançada, torna-se alvo justamente por sua confiabilidade.

A biometria tem evoluído no “jogo infinito” da segurança. Ela começou com uma simples foto, evoluiu para a detecção de liveness (movimento) e, mais recentemente, para o liveness 3D, capaz de detectar a profundidade da imagem, essencial para combater o deep fake. E, não à toa, as fraudes precisam ser cada vez mais criativas e convincentes.

Um exemplo concreto de como a biometria é coletada é o “Golpe do Aniversário”:

  1. O criminoso obtém a data de aniversário, endereço da vítima e o CPF;
  2. No dia do aniversário, um falso entregador leva um presente de alto valor, como uma cesta de café da manhã ou um buquês de flores;
  3. O entregador pede para tirar uma foto da vítima com o presente para “confirmar a entrega”, mas, na realidade, está com o app do banco ativado no celular, capturando a biometria facial para contratar produtos (como crédito) em nome da vítima.

O executivo conta que os criminosos exploram gatilhos emocionais, como urgência e medo, para manipular as vítimas, fazendo-as acreditar que fornecer esses dados é indispensável.

“Antes, os golpistas conseguem a data de nascimento, nome, endereço e CPF da vítima. E, quando chega o entregador ali pedindo algo que faz sentido, num certo contexto, a pessoa permite, ‘tudo bem’ e tira a foto. Nessa hora, ele está com o app de banco aberto, contratando crédito no seu nome, mas está faltando a biometria facial. Ele diz que vai tirar uma foto para comprovar a entrega do presente, mas está capturando a biometria, a selfie, e isso habilita algum produto que ele está tentando contratar no seu nome”, explica o superintendente. “Esse é um modus operandi. Você concorda que, se eu cruzo com você na rua e peço para tirar uma foto sua, você vai responder não?”, questiona. Agora, se é no dia do seu aniversário, no seu endereço, tem um presente de alto valor, a vítima baixou suas defesas e permite que aquele texto acabe impactando. Esse é um exemplo e é o que a gente chama de ‘golpe do aniversário’. É uma fraude que coloca o cliente nesse contexto e acaba conseguindo capturar a biometria facial”, diz o Thomazetti.

Golpe do cartão

Outro golpe bastante aplicado ultimamente é o do cartão: o fraudador se passa por funcionário do banco, relata uma transação indevida e a estorna. Ao criar uma experiência positiva, ele pede à vítima para cortar o cartão no meio (deixando o chip intacto) e entregá-lo a um motoboy para “perícia”, permitindo o uso do chip.

A detecção e os falsos positivos no Itaú

O Itaú utiliza modelos de machine learning e inteligência artificial (IA) para aprender o comportamento transacional do cliente e, com isso,  prever o comportamento do fraudador. Isso é feito tanto para o envio (cash out) quanto para o recebimento (cash in) de valores.

Quando o modelo detecta uma transação atípica, é fácil bloqueá-la. Por exemplo, um cliente que recebe R$ 1 mil por dia e, de repente, recebe R$ 1 milhão. No entanto, conforme o fraudador reduz os valores, a curva de comportamento do cliente e do fraudador começa a se assimilar, gerando o falso positivo.

Neste caso, o banco busca a confirmação humanizada com o cliente através de pushes ou mensagens (como o WhatsApp do banco), perguntando se ele está realmente efetuando a transação.

Além disso, o Itaú desenvolveu o alerta contextualizado contra golpes, que emite uma mensagem para o cliente que está realizando uma transação, mesmo que de valor típico, se o destino for suspeito ou se a transação parecer arriscada. Esse alerta oferece ao cliente a chance de desistir, caso ele tenha caído em um golpe de engenharia social. “Essas medidas visam não apenas garantir que o cliente esteja seguro, mas que ele se sinta seguro, fortalecendo a confiança e o relacionamento com o banco”, diz o superintendente.

Cooperação entre instituições financeiras

Apesar de cada instituição financeira promover ações individuais, há um forte trabalho em conjunto. Thomazetti ressalta que, no mercado de segurança, seja o banco brasileiro ou global, os times de prevenção à fraude não competem entre si. Eles se ajudam por meio de entidades como a Febraban e a Abecs, pois estão, na realidade, competindo contra o fraudador e o criminoso.

A complexidade dos ataques exige que a defesa se expanda, agregando forças entre ecossistemas, como o financeiro, o de telecomunicações (Open Gateway) e o governo (com políticas públicas e leis). O superintendente aponta que, embora o banco não tenha responsabilidade direta por falhas em sistemas terceiros (como um ataque de SIM Swap em uma telco), na prática ele tem, pois o cliente é da instituição. É por isso que ferramentas como o Open Gateway (que o Itaú foi um dos primeiros a aderir) são cruciais para a defesa.

 

*********************************

Receba gratuitamente a newsletter do Mobile Time e fique bem informado sobre tecnologia móvel e negócios. Cadastre-se aqui!

E siga o canal do Mobile Time no WhatsApp!