Truora Blog

Roubo de identidade - eu sou eu! Por que isso é tão difícil de provar?

Written by Daniel Bilbao - Cofounder and CEO | May 7, 2021 4:00:00 AM

Atualmente, é bastante complicado para um usuário provar sua identidade e fica cada vez mais fácil para agentes fraudulentos personificarem outra pessoa. Uma análise de Daniel Bilbao.

O fato é que o roubo de identidade tem sido uma grande preocupação nos dias atuais. “Quem sou” é um conceito tão simples e ao mesmo tempo tão abstrato que é estranho pensar na necessidade de estabelecer a identidade de uma pessoa.

No entanto, esse tem sido um desafio para a sociedade desde suas origens: retratos, impressões digitais, DNA e registros dentários são alguns dos métodos utilizados ​​para atingir esse objetivo com diferentes (e longe de perfeitos) graus de sucesso.

Dado que não existe um vencedor legítimo, está claro que a sociedade atual precisa de um novo método que resolva os pontos fracos dos atuais e, ao mesmo tempo, ofereça agilidade.

Neste post falaremos sobre o roubo de identidade e por que é tão difícil provar que você é você mesmo. Acompanhe!

Como os serviços de atendimento contribuem para o roubo de identidade?

Toda vez que ligo para qualquer serviço de atendimento ao cliente e verifico minha identidade, sinto-me no mundo do absurdo. Uma pessoa desconhecida me faz três perguntas e, com pouquíssima informação, conclui que eu sou quem eu digo que sou: “Você tem uma conta x no banco x desde o ano xx? ou seu endereço é ou foi na Rua y no apto yy?”.

Tenho vergonha de ter falhado em muitas provas na minha vida e não consigo nem imaginar a vergonha de ter falhado em um teste de identidade. Mas continuo pensando que o processo não faz sentido e, em vez de adicionar segurança, abre uma vulnerabilidade ao sistema, e uma que eu não conhecia até ser vítima de roubo de identidade.

Como funciona o roubo de identidade?

Como roubam minha identidade? Como alguém me personifica? E ainda mais, como agentes de atendimento acreditam nele? Quando se pensa em roubo de identidade, geralmente se imagina um mestre de fantasias que aprende a falar e agir como sua vítima e que facilmente falsifica documentos. A realidade é muito mais simples e, infelizmente, muito mais eficaz. O motivo é que esses ladrões exploram várias vulnerabilidades do sistema:

  1. Agentes de atendimento treinados para ajudar: os consultores que geralmente fazem as perguntas são treinados para ajudar o consumidor. Afinal esse é o trabalho deles: facilitar a vida do usuário. O problema é quando estão ajudando a pessoa errada.
  2. Falta de informação: Há uma grande diferença entre se passar por alguém na frente de seus amigos, colegas de trabalho ou na frente de um atendente de um banco. O primeiro é quase impossível, o segundo muito difícil e o último extremamente fácil. As perguntas de verificação de identidade são limitadas pelas informações que a empresa possui. Algumas vezes, são limitadas ao endereço e ao número de telefone da pessoa.
  3. Dificuldade de acesso à informação: as empresas estão sempre tentando reduzir as barreiras entre eles e os clientes. Isso evita a papelada e os requisitos de acesso aos seus serviços. No entanto, às vezes isso gera menos conhecimento de quem são seus consumidores.

Então, como fazem os ladrões? Eles basicamente usam informações acessíveis ao público para criar listas e listas de possíveis vítimas. Eu sei o que você está pensando agora: “O quê?! meus dados não são protegidos?". Sim e não: o tratamento de suas informações é um problema que todas as empresas levam a sério, porque a lei as obriga.

No entanto, existem três tipos de informação: pública, semi-privada e privada. O público deve estar acessível, enquanto o privado e o semi-privado devem ser protegidos. Os dados semi-privados dizem respeito não apenas ao proprietário ou detentor dos dados, mas também a um setor ou grupo de pessoas, como dados financeiros e de crédito. Finalmente, os dados públicos são qualificados como tal por lei, pela Constituição ou por exclusão, pois não pertencem a nenhuma das categorias anteriores.

Em geral, os dados pessoais são classificados de acordo com o interesse que possa estar por trás do uso deles. Também atribuindo o caráter de privado aos dados que "devido à sua natureza íntima ou reservada, são relevantes apenas para o proprietário". Um exemplo de dado pessoal público é o próprio estado civil. O mesmo acontece com os dados contidos em documentos públicos que não estão sujeitos a grande proteção. Meu endereço? Público. Meu número de telefone? Público.

O próximo passo dos ladrões varia, mas, em geral (e no meu caso particular), é por telefone. Com algumas informações, o ladrão telefona fingindo-se de consultor bancário ou operador de telecomunicações e, com a desculpa de querer atualizar as informações de cadastro, faz com que você verifique se as suas informações estão corretas, podendo até solicitar as informações que estão faltando.

Com essas informações, qualquer um pode contratar uma série de serviços em seu nome, abrir contas fraudulentas ou até mesmo ter acesso a crédito. Geralmente, eles realizam esses processos por telefone ou pela Internet e evitam os canais presenciais, visto que eles muitas vezes já possuem um número de identificação (CPF, por exemplo), mas não o documento em si (RG ou carteira de motorista).

Dessa maneira, com todas as informações que eles já têm, as perguntas de verificação não são difíceis de responder. No meu caso, descobri a fraude quando me ligaram para dizer que a cobrança da minha conta estava quase sendo cobrada judicialmente. Tive que ir até um dos escritórios da companhia telefônica e registrar um recurso de eliminação da conta, uma vez que provei que não era a pessoa que solicitou o serviço e, portanto, não sou credor das cobranças geradas.

Como evitar esse problema?

A recomendação que eles me deram, e eu compartilho com você, é evitar confirmar informações por telefone ou fornecer informações adicionais. Disseram que as empresas já tem todas as informações relacionadas aos clientes e, para atualizar os dados, basta ligar diretamente para a empresa ou acesse o site.

Na prática, não sei se essas contas são classificadas como alto risco de recuperação para as empresas ou se são provisionadas sabendo que não será possível recuperar esse dinheiro. De qualquer forma, tenho certeza de que é do interesse do usuário e das empresas eliminar o problema de fraude de identidade. Mas então, por que isso ainda não aconteceu?

O motivo é que, para ter uma solução definitiva, é necessária toda uma gama de serviços e não são triviais:

  • deve haver uma plataforma de identidade na qual o usuário possa verificar por meio de tecnologias avançadas de biometria, como: reconhecimento facial, reconhecimento de voz, fotos do documento de identidade ou perguntas de validação (ou todas as anteriores) para garantir que é quem o usuário diz ser;
  • para realizar as perguntas de validação, a plataforma deve acessar todas as informações disponíveis do usuário (sem invadir sua privacidade, obviamente) com o objetivo de tornar muito difícil para alguém - que não seja o usuário - responder corretamente;
  • por fim, a plataforma deve permitir que o usuário compartilhe toda ou parte de suas informações com empresas ou autoridades para os procedimentos necessários de validação. O que exige que a informação seja compatível com diferentes sistemas em várias organizações.

Nossa sociedade atual exige uma identidade digital completa, que seja facilmente verificável pelo proprietário legítimo e quase impossível de fraudar. Além disso, que se integre aos diferentes sistemas governamentais e comerciais de vários países e facilite a rastreabilidade dos antecedentes através das fronteiras jurisdicionais. Dessa forma, garantindo sempre que cada pessoa seja realmente o proprietário exclusivo de sua identidade.

Quais práticas podem ajudar a evitar o roubo de dados nas empresas?

Adote senhas seguras e mude-as com periodicidade

Muitas violações de dados acontecem por acidente. A melhor coisa que uma empresa pode fazer é treinar seus funcionários regularmente sobre como criptografar dados, como gerar senhas fortes, como arquivar e armazenar dados corretamente e como evitar malware. Limitar o acesso dos funcionários a sites fora do escopo de suas tarefas diárias também é útil. Lembre-se de mudar periodicamente as senhas de acesso aos dados.

Uma senha inteligente precisa ser mais longa e complexa para que seja mais difícil de ser quebrada por hackers que procuram roubar suas informações.

Tenha atenção ao compartilhamento de dados financeiros online

As instituições bancárias possuem a permissão para realizar o compartilhamento de dados sobre seus clientes, abrangendo nomes das lojas onde fazem compras e saldos de contas. Porém, também é obrigatório dar a permissão a qualquer cliente de optar pelo compartilhamento de dados ou não.

Cada banco é diferente, por isso é importante ler atentamente a política de privacidade da sua instituição financeira e seguir as instruções fornecidas para o cancelamento. É de suma importância investir na segurança da informação, especialmente em um cenário em que os consumidores estão cada dia mais conectados, por dentro das tecnologias e executando operações financeiras de forma online.

A conscientização é o primeiro passo antes de qualquer transação ou investimento a ser realizado, a fim de assegurar a segurança dos dados da empresa e dos clientes.

Proteja as redes sem fio

Embora proteger as informações pessoais da sua base de clientes seja a maior parte do seu trabalho, você também terá que tomar as medidas necessárias para manter os dados de mercado da sua empresa, de sua equipe e as suas informações privadas longe de mãos erradas. Isso começa com o investimento na consulta de profissionais de segurança cibernética que podem ajudá-lo a traçar um curso seguro em águas turbulentas.

A série interligada de software de segurança de que você precisa para proteger totalmente a rede da sua empresa, exige um certo grau de conhecimento e habilidade que muitos não possuem. Portanto, é recomendável contratar especialistas na área para construir seu sistema de segurança.

Alguns dos auxílios de que você precisa incluem ferramentas básicas como software antimalware, bem como programas mais voltados para negócios, como ferramentas de prevenção de DDoS e software de prevenção e detecção de intrusão. O monitoramento de rede também é uma parte importante da segurança cibernética. Esse envolve uma mistura de software e observação e experiência humana.

O monitoramento do tráfego em sua rede costuma ser a primeira etapa para prever ataques cibernéticos com antecedência, observando atividades suspeitas e respondendo de acordo.

Tenha um bom antivírus

Faça a instalação de um bom software antivírus, o qual consiga verificar também o tráfego HTTPS, a fim de protegê-lo de certos ataques de phishing. A verificação antivírus de sua comunicação criptografada na Web analisará o conteúdo dos sites que você visita e tentará combiná-los com assinaturas de padrões de comportamento de sites potencialmente maliciosos.

Isso o protegerá de baixar arquivos de fontes desconhecidas. O software antivírus moderno também é capaz de protegê-lo contra alguns tipos de ataques de ransomware. Portanto, é muito importante manter esse software atualizado e usar um fornecedor renomado. Use o bom senso ao navegar na internet ou conectar algo ao seu computador, porque o antivírus e outros softwares defensivos são apenas uma camada adicional de proteção à sua sanidade.

Além disso, é preciso ser muito cuidadoso. Ao clicar em links nos e-mails recebidos, não realizar download de software pirata, acessar somente os sites de comércio eletrônico que suportam HTTPS, entre outras coisas.

Acesso limitado a drives e serviços de cloud

Embora a melhor solução seja colar todas as portas de armazenamento externo dos dispositivos, na praticidade isso pode custar a conveniência do funcionário. O próximo método melhor e mais conveniente é monitorar a troca de dados dos sistemas da empresa por meio de softwares de vigilância.

Muitas vezes, também foi descoberto que os funcionários carregam dados em sites de armazenamento em nuvem ou podem até enviá-los para suas contas de e-mail pessoais quando fora das instalações. Para resolver tais situações, você deve manter um acesso limitado à intranet e limitar o acesso de alguns funcionários à nuvem da empresa e as assinaturas fora das instalações da empresa.

Processos legais definidos

Não importa a quantidade de segurança dada aos dados (que comercializa a conveniência para cada funcionário) ou a quantidade de educação dada aos funcionários, ainda haverá chances de roubo de dados por eles. Para enfrentar esses cenários e proteger sua empresa e os seus interesses comerciais, a melhor metodologia é ter sistemas jurídicos adequados em funcionamento.

Sistemas jurídicos adequados não só ajudam a reduzir as chances de roubo de dados, mas também podem ajudar as empresas a recuperar seus ativos roubados e garantir que o culpado seja punido pela lei.

A maioria das empresas depende de modelos copiados ou padrão de documentos legais importantes, como contratos de trabalho, política de privacidade, política da empresa, avisos legais etc. Esse pode ser um enorme erro para a sua empresa. Sempre conte com advogados corporativos especializados para redigir tais documentos.

Implementação de medidas de tecnologia adequadas

Ativos digitais como registros de funcionários, dados de clientes, código, projetos, etc., são os ativos mais vulneráveis ​​ao roubo de dados. Medidas de TI adequadas, como as enumeradas abaixo, podem não apenas evitar que o roubo de dados aconteça, mas também podem atuar como prova durante o recurso legal contra o culpado, uma vez que tal ato já tenha ocorrido.

Por fim, é bem melhor prevenir do que remediar. É sempre melhor proteger a sua empresa contra roubo de identidade, implementando sistemas e processos adequados para evitá-lo. Mas há momentos em que mesmo as melhores implementações de tecnologia não poderiam evitar esse contratempo.

Ter um conjunto adequado de procedimentos legais em vigor não apenas evitará que o roubo de dados aconteça, mas também poderá reduzir a intensidade da perda, caso já tenha ocorrido.