voltarVoltar

Entrevista: “É impossível assegurar fraude zero a um negócio digital sem prejudicar sua sustentabilidade financeira”

Redação AllowMe
Siga no Linkedin

O blog SafetyDetectives conversou com Gustavo Monteiro, managing director do AllowMe, sobre diversos assuntos relacionados a prevenção à fraude, proteção de identidades digitais e segurança digital.

O executivo fala sobre o desafio de identificar comportamentos suspeitos, a importância da análise do dispositivo, o mito da “fraude zero”, os golpes mais recorrentes no Brasil, dentre outros temas relevantes.

Confira a entrevista na íntegra:

Você pode me contar um pouco sobre sua experiência profissional e seu trabalho no AllowMe?

Hoje sou diretor geral do AllowMe, uma unidade de negócios da Tempest, a maior empresa de cibersegurança do Brasil. Sou formado em Ciência da Computação e em 2005 comecei a trabalhar na Tempest como estagiário. Foram inúmeros os cargos que ocupei desde então – com um pequeno hiato entre 2010 e 2012, quando resolvi empreender. 

O AllowMe nasceu como uma plataforma de proteção de identidades digitais em 2018 e, desde o início, estive envolvido com a criação dessa ferramenta. Em 2020, a plataforma ganhou tração e escala e foi então que decidimos promovê-la a uma unidade de negócio. 

Enquanto a Tempest atua, primordialmente, como uma provedora de soluções na área de cibersegurança, com um portfólio de serviços e tecnologias voltada para empresas que precisam proteger suas operações, o AllowMe atua na proteção de identidades digitais, prevenindo fraudes e viabilizando negócios a partir de uma plataforma SaaS, que pode ser contratada de forma apartada por qualquer negócio digital independentemente do segmento ou do porte da empresa.

Quais são alguns dos principais serviços que o AllowMe oferece? 

O AllowMe é uma plataforma de prevenção a fraudes e proteção de identidades digitais com expertise em análise do contexto de uso do dispositivo e comportamento do usuário. O AllowMe oferece uma solução completa e customizável, para que as empresas possam identificar e gerenciar tentativas de fraudes em todas as etapas da jornada de um usuário final, do cadastro em um site ou aplicativo até a concretização de uma transação ou compra.

A principal camada de nossa solução se concentra no que chamamos de análise Contextual. Baseada no contexto do dispositivo do usuário, ela é capaz de avaliar o risco de fraude de uma transação, de modo a não impactar negativamente a experiência do usuário legítimo e, ao mesmo tempo, separá-lo dos usuários potencialmente fraudulentos. Essa é a nossa primeira etapa do processo de prevenção à fraude – assim posicionada para que outras tecnologias não precisem ser acionadas sem necessidade, tornando a experiência do usuário final mais fluida , reduzindo o custo geral da operação e contribuindo com a conversão de mais negócios.

Combinados à análise Contextual, temos também o AllowMe Bio e os Múltiplos Fatores de Autenticação (MFA) – ambos recursos de validação de identidades digitais. O AllowMe Bio é uma potencialização da biometria facial convencional, justamente por causa de sua combinação com a análise do dispositivo. Mais comum, a autenticação por múltiplos fatores pode se dar por chamada de voz, OTP, e-mail ou SMS.

Como você detecta um comportamento suspeito e quais são as etapas quando se descobre que a rede de um usuário está comprometida?

A análise do dispositivo é o cerne da ferramenta do AllowMe. Com ela, conseguimos mapear e analisar uma série de variáveis do dispositivo, seja ele mobile ou desktop, assim como identificar eventuais mudanças de padrão de navegação do usuário. 

Consideremos, por exemplo, o acesso de um usuário a sua conta corrente via aplicativo. O celular que ele usa é o já cadastrado? A rede wi-fi em que está conectado lhe é usual? Sua geolocalização condiz com seus percursos? O número de transações e a velocidade com que acontecem parecem corresponder a suas transações usuais? Essas e outras dezenas de perguntas são realizadas pela plataforma e respondidas automaticamente em milisegundos. Uma vez identificadas alterações em padrões pré-existentes, somos capazes de acionar uma nova camada de validação – a exemplo da biometria facial e/ou MFA.   

Ao final dessa verificação, atribuímos um score a essa transação que indica o seu grau de confiabilidade e dividimos com o cliente – nesse caso, com o banco digital. A nota de corte, no entanto, é de sua responsabilidade. Para alguns negócios, uma alteração específica, um único comportamento suspeito, é o suficiente para o bloqueio daquela transação. Para outros, há uma flexibilidade maior. Isso varia bastante de negócio para negócio e do apetite ao risco daquela empresa. 

E, para além disso, caso confirmemos que determinado dispositivo envolveu-se em uma fraude, marcamos como comprometido, alimentando o nosso Efeito Rede. Voltando ao exemplo acima, vamos supor que conseguimos confirmar que o dispositivo utilizado não era do usuário legítimo e que, mediante o acionamento de uma biometria facial, reiteramos que se tratava de um fraudador. Esse celular não apenas será inviabilizado para qualquer transação junto a esse banco digital, mas a todos os nossos clientes. Caso esse fraudador tente, por exemplo, acessar um aplicativo de seguro saúde por meio daquele mesmo dispositivo, ele de cara será identificado como potencialmente fraudulento.

Quais são as maiores ameaças cibernéticas e como é possível detectá-las?

O AllowMe atua primordialmente na área de prevenção à fraude e de proteção de identidades digitais. Entre as principais tentativas de fraude que encontramos em nosso dia a dia estão o account takeover, golpe pelo qual o fraudador consegue se apoderar de uma conta da vítima, modificando os dados de login e tendo o caminho livre para fazer diversas transações. Para efetivar a fraude, o criminoso usa desde técnicas como phishing, engenharia social e softwares maliciosos até dados vazados ou ataques de força bruta que descobrem rapidamente senhas frágeis. 

Outro golpe que o AllowMe previne e detecta é a criação de contas falsas. Os fraudadores se valem de dados vazados como CPF (o equivalente aos SSN nos Estados Unidos), RG, fotos e endereço para criar um cadastro no nome de terceiros, geralmente em instituições financeiras, com o intuito de solicitar empréstimos ou emitir cartões de crédito. Nesses casos, a vítima só toma conhecimento de que teve uma conta aberta em seu nome meses depois, quando recebe cobranças que desconhece. 

Bastante similar à conta falsa é o golpe da identidade sintética, que também vem crescendo nos últimos anos. Neste caso, porém, o fraudador combina informações verdadeiras e falsas para criar cadastros a partir de uma nova identidade e espera alguns meses para começar a fazer transações – na tentativa de tornar o seu perfil mais confiável. Cibercriminosos costumam apostar na identidade sintética para aplicar golpes financeiros, abrir contas em bancos digitais, praticar abuso de promoção, receber cashbacks, promover anúncios falsos, dentre outras ações.

Embora complexos, o AllowMe consegue prevenir e detectar estes três tipos de fraude (além de diversos outros golpes) combinando a análise de dispositivo com a proteção em camadas. Outro diferencial é que o fluxo de segurança e prevenção à fraude é customizável – construído de acordo com o modelo de negócio do cliente, seu segmento e seu apetite ao risco.

Quais são os desafios na criação de aplicativos seguros para empresas?

Costumamos dizer que assegurar fraude zero a um negócio digital sem prejudicar sua sustentabilidade financeira é algo impossível. Isso porque aplicar ferramentas de prevenção a fraudes a cada acesso ou movimento de um usuário dentro de um aplicativo, por exemplo, tornaria sua experiência na jornada ruim, cheia de fricções. Isto muito provavelmente impediria a ação da maior parte dos fraudadores, é verdade, mas afastaria também os bons consumidores. Nosso maior desafio é então garantir segurança e a proteção da identidade digital dos usuários, mas sem prejudicar a experiência que eles têm nesses aplicativos.

Como o usuário comum pode impedir que hackers obtenham acesso ao seu dispositivo ou rede?

As ameaças cibernéticas sempre foram uma realidade muito presente no dia a dia de empresas e usuários brasileiros. Criminosos se aproveitam da oportunidade, em muitos casos por vulnerabilidades de sistemas, para atacá-los, invadindo suas redes e capturando dados de usuários. Entretanto, as falhas não se limitam aos ambientes virtuais. Erros humanos também podem comprometer estruturas e informações confidenciais, e a engenharia social pode ser a causadora de todo esse problema.  

No contexto de fraude, é urgente que todo cidadão busque uma educação voltada para segurança digital, pois muitos dos golpes hoje em curso só são concretizados graças à falta de conhecimento dos usuários. Geralmente, as abordagens fraudulentas ocorrem por meio de técnicas de phishing, ações em que criminosos usam informações falsas para convencer as vítimas a compartilhar dados ou realizar uma determinada ação.

No Brasil, por exemplo, tem sido comum a abordagem de usuários pelo Whatsapp. Há criminosos que oferecem uma vaga de emprego que não existe, a condições extremamente atraentes do ponto de vista financeiro. Na maioria desses casos, os criminosos solicitam alguns dados pessoais e então pedem que o “candidato” baixe algum aplicativo, a partir do qual conseguirá, supostamente, monetizar. Não à toa, esses apps estão fora das lojas oficiais – Google Play e Apple Store – justamente porque apresentam uma série de vulnerabilidades que podem expor o usuário. 

De forma mais abrangente, vale dizer que toda mensagem com links deve ser encarada com desconfiança pelo usuário. Se ele recebe uma proposta que parece interessante demais, uma receita fácil, essa desconfiança deve ser ainda maior, ainda que a mensagem venha de um de seus contatos. Essa pessoa pode ter tido seu WhatsApp clonado. Atentar-se para todos os pontos acima destacados é fundamental para garantir sua segurança digital.

****

Gustavo Monteiro, managing director of AllowMe, for Safety Detectives

SafetyDetectives spoke with Gustavo Monteiro, managing director of AllowMe, about detecting suspicious network behavior, some of the worst cyberthreats he’s seen, tips for how to prevent hackers from accessing a private network, and more.

Can you tell me a little bit about your background and your role at AllowMe?

I have a Bachelor’s degree in Computer Science. I joined Tempest in 2005, when it was still a small company, as an intern, and since then I have held numerous positions – with a hiatus between 2010 and 2012, when I decided to leave Tempest in order to start my own startup.

I eventually returned to the company. From 2013 to 2016 I held several positions, until I started to work fully focused on the creation of AllowMe. I professionally grew as the product evolved. We’ve grown so much that in 2020 we’ve become an independent business unit.

Now I am the managing director of AllowMe, a business unit of Tempest, which has become the largest cybersecurity company in Brazil.

While Tempest mainly works in the cybersecurity area, with a portfolio of services and technologies focused on companies that need to protect their operations, AllowMe is a SaaS platform focused on digital identity protection, preventing fraud, enabling businesses.

What are some of AllowMe’s main services?

AllowMe is a platform focused on fraud prevention and digital identity protection, with expertise in analyzing device usage context and user behavior. AllowMe offers a complete and customizable solution, allowing businesses to identify and manage fraud attempts at every stage of a user’s journey, from registering on a website or application to completing a transaction or purchase.

The primary layer of our solution is focused on what we call Contextual Analysis. Based on the user’s device context, AllowMe is able to evaluate the risk of fraud in a transaction in order to not negatively impact the experience of legitimate users, while at the same time separating potentially fraudulent users.

This is our first step in the fraud prevention process. Filtering the good from the bad user,  avoiding to activate further unnecessarily authentication steps, making the end-user experience more fluid, reducing overall operation costs, and contributing to the conversion of more businesses.

In addition to Contextual Analysis, we also have AllowMe Bio and Multiple Factor Authentication (MFA) – both resources for digital identity validation. AllowMe Bio is an enhancement of conventional facial biometrics, precisely because of its combination with device analysis. Most common, multi-factor authentication can be done through voice calls, app OTP, email, or SMS.

How do you detect suspicious behavior, and what are the next steps if you find a clients network is compromised?

The device analysis is at the core of AllowMe’s analysis engine. AllowMe can map and analyze hundreds of device variables, whether it is mobile or desktop, as well as identify any changes in user navigation patterns.

Consider, for example, a user accessing his checking account via an application. Is the cell phone he uses already registered? Is the usual wi-fi network you are connected to? Does your geolocation matches your routes? Does the number of transactions and the speed at which they happen seem to match your usual transactions? These and dozens of other questions are asked by the platform and answered automatically in milliseconds. Once changes in pre-existing patterns are identified, we are able to trigger a new layer of validation – such as facial biometrics and/or MFA.

At the end of this verification, we assign a score to this transaction that indicates its degree of reliability and share it with our customer – in this case, the digital bank. However, the cutoff score is the responsibility of the customer. For some businesses, a specific change, a single suspicious behavior, is enough to block that transaction. For others, there is greater flexibility. This varies greatly from business to business and the risk appetite of that company.

Moreover, if we confirm that a particular device was involved in a fraud, we mark it as compromised, feeding our Network Effect. Going back to the example above, let’s suppose we can confirm that the device used was not one of the usually used by the user, and, by triggering a facial biometrics, we confirm that it was a fraudster. This phone will not only be blocked for any transaction with that digital bank but with all our customers. If that fraudster tries to access a health insurance app through the same device, they will immediately be identified as potentially fraudulent.

What are some of the worst cyberthreats you’ve come across, and how do you help prevent them?

AllowMe works primarily on fraud prevention and protection of digital identities. Among the main fraud attempts we face daily, there is the account takeover, in which the fraudster manages to take over a victim’s account, modifying the login data, thereby having the free way to make various transactions. To carry out the fraud, the criminal uses techniques such as phishing, social engineering and malicious software over leaked data or brute force attacks that quickly discover fragile passwords.

Another scam that AllowMe prevents and detects is the creation of mule accounts. Fraudsters use leaked data such as CPF (the equivalent of SSN in the United States), photos and address to create a registration using third parties information, usually in financial institutions, in order to apply for loans or issue credit cards. In these cases, the victim only becomes aware that he had an account opened in his name months later, when he receives charges he is unaware of.

Quite similar to the fake account is the synthetic identity scam, which has also been growing in recent years. In this case, however, the fraudster combines true and false information to create records from a new identity and waits a few months to start making transactions – in an attempt to make your profile more reliable.

Cybercriminals often bet on the synthetic identity to apply financial scams, open accounts in digital banks, practice promotion abuse, receive cashbacks, promote fake ads, among other actions.

Although complex, AllowMe manages to prevent and detect these three types of fraud (as well as many other threats) by combining device analysis with layered protection. Another difference is that the security and fraud prevention flow is customizable – built according to the client’s business model, segment and risk appetite.

What are the challenges in creating secure mobile apps for businesses?

We often say that ensuring zero fraud to a digital business without jeopardizing its financial sustainability is impossible. Enforcing fraud prevention tools to each access or interaction of a user would make their experience on the journey poor, full of friction. That is, it would most likely to prevent the action of most fraudsters, it is true, but it would also drive away good consumers. Our biggest challenge is therefore to ensure security and protection of users’ digital identity, but without jeopardizing the experience they have in these journeys.

How can the average user prevent hackers from gaining access to their computer or network?

Cyber threats have always been a very present reality in the daily lives of Brazilian companies and citizens. Criminals take advantage in many cases due to system vulnerabilities, to attack them, invading their networks and capturing user data. However, the failures are not limited to virtual environments. Human errors can also compromise sensitive structures and information, and social engineering can be at the root of all this trouble.

In the context of fraud, it is urgent that every citizen seek an education focused on digital security, as many of the current scams are only carried out thanks to the lack of knowledge on the part of users. Generally, fraudulent approaches occur through phishing techniques, actions in which criminals use false information to convince victims to share data or perform a certain action.

In Brazil, for example, it has been common to approach users via WhatsApp. There are criminals who offer a job vacancy that does not exist, at extremely attractive conditions from a financial point of view. In most of these cases, criminals request some personal data and then ask the “candidate” to download an application, from which they will supposedly be able to monetize. No wonder these apps are out of official stores – Google Play and Apple Store – precisely because they have a series of vulnerabilities that can expose the user.

More broadly, it is worth saying that every message with links should be viewed with distrust by the user. If he receives a huge proposal that seems too interesting, an easy recipe to make money, this distrust must be even greater, even if the message comes from one of his contacts. That person may have had their whatsapp either cloned or compromised. Paying attention to all the points highlighted above is essential to ensure your digital security.

Artigo publicado originalmente no blog SafetyDetectives

Acompanhe as novidades