Mais de 2,1 milhões de tentativas de fraudes de identidade ocorreram, no Brasil, no primeiro semestre de 2022. O resultado é 30% maior do que a quantidade de casos registrados de janeiro a junho de 2021, segundo levantamento feito pela Unico, empresa líder em identidade digital no país.
O principal alvo dos fraudadores foram as financeiras, com mais de 1 milhão de ocorrências. Os bancos (512.145 casos) e o comércio varejista (234.608 casos) aparecem, respectivamente, em segundo e terceiro lugares deste ranking. Caso as tentativas de fraudes de identidade não tivessem sido barradas a tempo, com o apoio de uma robusta solução via biometria facial, o prejuízo chegaria a R$ 59 bilhões.
A fraude de identidade pode ser executada de várias maneiras. Isto acontece, por exemplo, quando o fraudador obtém as credenciais de acesso de usuários de plataformas digitais, dados de cartão de crédito, documentos pessoais, entre outros meios. As informações confidenciais também podem ser obtidas por vazamento de dados, furto ou roubo de documentos, acesso a anotações de login e senha, e também por outras maneiras cada vez mais engenhosas como a fraude por injection, por exemplo.
Neste post vamos explicar o que é fraude por injection e como ela funciona na prática. Confira!
O que é fraude por injection?
A fraude por injection é executada a partir da inserção de códigos maliciosos para burlar a linguagem SQL aplicada aos bancos de dados de sites e aplicativos. Desenvolvida pela IBM, na década de 70, e padronizada internacionalmente, a SQL (Linguagem de Consulta Estruturada) é utilizada em softwares de bancos de dados, ferramentas de CRM (gestão de relacionamento com o cliente) e Business Intelligence, entre outras aplicações. De modo geral, a programação SQL possibilita a inserção, atualização e exclusão de dados, além permitir a pesquisa de informações, com rapidez e assertividade. Sem dúvida, a programação SQL é bastante eficaz no processamento e consulta de dados.
O problema é que uma estrutura SQL pode apresentar pontos vulneráveis na estrutura de comandos, tornando viável as fraudes por injection. Uma pessoa má intencionada e conhecedora da linguagem SQL pode tentar invadir a conta de usuários de sites e aplicativos, utilizando comandos para, por exemplo, manipular a estrutura SQL do formulário de login (nome de usuário e senha).
Se a invasão for bem sucedida, dados confidenciais, como o cadastro completo do usuário, informações de cartões bancários e/ou crédito poderão ser usados para aplicar várias fraudes, tais como compras online, contratação de serviços e operações financeiras.
Sistemas que realizam a validação e autenticação facial do usuário, também podem ser alvo da fraude por injection, caso não disponham de tecnologia de ponta para realizar a análise de dados biométricos da face. Neste caso, o fraudador de identidade consegue burlar a ferramenta de captura da selfie ao vivo, inserindo a imagem de outra pessoa, obtida por meio de dados vazados, copiada de mídias sociais e selecionada em outros repositórios. Somente com uma ferramenta tecnológica completa, baseada em biometria facial, é possível evitar esta modalidade de fraude por injection.
Como evitar as fraudes por injection?
A fraude por injection pode gerar inúmeros problemas para as organizações e usuários de sites e aplicativos:
Vazamentos de dados;
Roubo de identidades;
Operações fraudulentas;
Prejuízos financeiros;
Violação de plataformas digitais;
Danos à reputação da organização;
Perda da credibilidade;
Entre outros.
Existem vários procedimentos que podem proteger sua empresa contra a fraude por injection, entre os quais:
Atualizar o sistema em conformidade com a versão mais recente de SQL;
Utilizar logs de segurança no servidor SQL;
Manter separadas e criptografadas as credenciais de acesso ao banco de dados;
Eliminar a conexão entre servidor SQL e usuários não autorizados;
Manter ocultas as mensagens de erro relativas ao banco de dados;
Validar a entrada do usuário em tempo real, não permitindo o uso de códigos de linguagem SQL para realizar esse procedimento;
Entre outros recursos que ajudam a prevenir a fraude por injection.
Considerando que o processo de cadastro do usuário é um ponto vulnerável à injeção SQL, é importante utilizar uma ferramenta eficaz, baseada em biometria facial com tecnologia de prova de vida ativa, para validar e autenticar a identidade de quem deseja realizar o cadastro e/ou acessar o painel para realizar operações transacionais. Com esta tecnologia, a chance de uma tentativa de fraude de identidade por injection dar certo é praticamente nula, pois ela demanda de uma “prova” de que o indivíduo realmente esteja ao vivo no momento da captura da selfie.
Como a biometria facial pode ajudar a prevenir a fraude por injection?
A biometria facial é única de cada indivíduo, ou seja, uma pessoa não consegue se passar por outra, na hora de validar ou autenticar a identidade, com base na leitura de dados biométricos da face em tempo real.
Uma solução completa, como o Unico Check, possibilita o cadastro da biometria facial do usuário e, posteriormente, viabiliza o acesso por meio de reconhecimento facial. Com esta tecnologia é possível bloquear vários tipos de fraudes como:
O uso de foto de foto;
Foto de monitor;
Foto de documento e imagem de vídeo.
Tanto na hora do cadastro quanto no acesso à plataforma (site ou aplicativo).
A ferramenta é capaz de detectar se a imagem capturada pelo leitor biométrico corresponde a uma selfie em tempo real ou uma possível tentativa de fraude de identidade, através da tecnologia SmartLive de prova de vida ativa. Dessa forma, é possível construir um banco de dados mais consistentes, com uma camada robusta de segurança. Primeiro porque a identidade do usuário é validada por biometria facial. E, posteriormente, porque a autenticação facial substitui o uso do nome de usuário e a senha para acessar o site ou aplicativo e realizar transações.
A validação da entrada do usuário por meio da autenticação biométrica facial é, sem dúvida, um mecanismo eficaz para evitar a fraude por injection de uma imagem que não corresponde, de fato, à face da pessoa que está tentando fazer o login. Isso porque, com a tecnologia Unico Check, a prova de vida, na hora do cadastro, é realizada de maneira interativa, ou seja, o usuário precisa executar alguns procedimentos como, por exemplo, movimentar a cabeça suavemente conforme as instruções apresentadas pela solução. Dessa maneira, fica inviável utilizar imagens pré-existentes, armazenadas no dispositivo (smartphone ou computador) para realizar a prova de vida no cadastro e, muito menos, executar operações como movimentações financeiras, pagamentos e compras online, através de plataformas que utilizam a tecnologia de reconhecimento facial para autorizar as transações solicitadas pelo usuário.
Vantagens da utilização do Unico Check contra fraudes por injection
Após o cadastro, as transações futuras poderão ficar condicionadas à autenticação da identidade do usuário através do reconhecimento biométrico facial, ou seja, se alguém tentar efetuar o login, inserindo códigos maliciosos para “enganar” os comandos de SQL, o acesso será negado automaticamente.
A aplicação da biometria facial no cadastro do usuário e na autenticação em processos transacionais proporciona mais segurança e contribui para a prevenção e o combate das tentativas de fraudes de identidade.
A tecnologia também melhora a qualidade de atendimento online e a experiência do usuário, que passa a se sentir mais seguro e confortável ao preencher o formulário de cadastro, fornecer dados pessoais e/ou financeiros.
O investimento em segurança digital, através de uma solução com prova de vida ativa, como o Unico Check, evita perdas financeiras, em decorrência de vazamentos de dados e operações fraudulentas, além de preservar a imagem e a credibilidade da organização no mercado e perante a opinião pública em geral. Neste contexto, a tecnologia de biometria facial é uma solução tecnológica eficaz para blindar a base de dados das empresas contra possíveis tentativas de fraudes de por injection.
Saiba mais sobre a solução antifraudeUnico Check para proteger seu negócio contra fraudes por injection.