Como a MFA pode proteger as transações PIX e golpes online
*Por Leandro Roosevelt
O sistema de transferência de valores usando PIX revolucionou o mercado brasileiro, facilitando a transferência de dinheiro entre pessoas e entidades. Os criminosos, porém, viram também uma oportunidade para facilitar os roubos através de sequestro relâmpago: usando o PIX dos clientes, e contas usadas somente para receber e sacar os valores. Segundo a SSP (Secretaria de Segurança Pública), entre janeiro a julho de 2021, houve um aumento de 39,1%, com 206 boletins de ocorrência de sequestro-relâmpago com PIX.
Uma forma de minimizar o problema – é através da criação de limites baixos, que tornem o ataque menos atraente. Porém, isso reduziria o uso e o propósito da solução.
A solução mais viável para impedir a crescente onda de golpes via PIX é por meio de soluções de MFA – Autenticação Multi Fator. Ao inserir um token no processo de transferência, por exemplo, o risco do usuário é reduzido ao mesmo tempo em que ele continua usufruindo de todos os benefícios da operação PIX.
Através de um token físico externo ao celular, as transações PIX de maior valor ou risco podem ser autorizadas através de uma OTP – One-Time Password, uma senha única que se altera a cada 30 segundos. Os clientes podem manter um token no escritório, outro em suas casas, e utilizarem o mesmo para transações de valores mais elevados.
Proteção às Compras Online
Neste ano, os golpes em compras pela Internet também aumentaram. Segundo dados do Banco Pan, as tentativas de fraudes em compras online sobiram 32,7% no 1º semestre de 2021 e 2,6 milhões de transações tiveram algum tipo de tentativa de fraude de janeiro a junho.
Uma solução MFA pode ser utilizada não somente para as transações via PIX, mas para qualquer transação que ofereça risco. Por exemplo, compras online. Os sistemas já prevêem o uso de autenticação via OTP. Assim, ao invés de recusar uma compra online suspeita – que pode causar frustração para o comprador e prejuízo para o vendedor -, pode-se simplesmente pedir que o cliente informe qual a OTP sendo apresentada no display de um token.
Aumento de Limites e Proteção em Transações Suspeitas
Outros tipos de transações suspeitas, como por exemplo, para pagamento de IPVA de um veículo novo, ou de alto valor para uma conta não pré-cadastrada, podem exigir um outro meio de pagamento, como via telefone ou obrigando o cliente a se dirigir a uma agência.
Um token pode ser utilizado como uma forma de garantir a transação. Um token da pode ler e apresentar no seu display os dados da transação. Se confirmados pelo cliente, uma OTP que é função de diversos fatores, é usada para finalizar a transação. São estes fatores a chave única do token, o horário da transação, e os dados da transação.
Se os dados da transação forem adulterados, por ocorrência de um malware, a assinatura de transação irá invalidar e barrar a fraude bancária.
O uso de vários fatores melhora a segurança no geral, oferecendo proteção adicional contra vários tipos de ataques, como engenharia social e RATs (cavalos de troia de acesso remoto) projetados para clonar aplicativo.
* Leandro Roosevelt é Sales Director, Banking da WatchGuard Datablink Technologies Brasil.