Segurança dos bancos digitais: caso real de prejuízo de R$10.000 
Igor Loiola

Igor Loiola

Product Manager

15 minutos de leitura

Recentemente fui furtado em São Paulo e os ladrões acessaram minhas contas bancárias e de investimento, realizando várias movimentações. Resolvi escrever um caso de Produto relacionado a segurança dos bancos digitais, avaliando o possível tamanho da oportunidade e os processos de segurança em diversas instituições, assim como propondo algumas ideias de como as empresas podem evitar problemas com fraudes associadas a furtos.

Esse texto está organizado da seguinte forma:

Contexto sobre o que aconteceu comigo

No dia 12/08/2022, passei por uma das piores experiências da minha vida. Estive em São Paulo, voltando de Uber de um evento no Cubo Itaú. Já chegando em casa, o motorista parou em um sinal, bem rapidamente. Foi o suficiente para um bandido botar a mão dentro do carro e puxar o celular da minha mão.

Cheguei em casa tranquilo, porque pensei: “tudo relacionado a banco tem Face ID, ele não vai conseguir fazer nada”. Mas eu estava muito errado

Assim que cheguei, abri o WhatsApp Web, que ainda estava conectado, e comecei a informar meus amigos sobre o furto. Logo eles me alertaram sobre os riscos decorrentes do acesso ao meu celular e e-mail e, consequentemente, da alteração de várias senhas, já que a maioria dos processos de redefinição de senha geralmente envolvem algum código via um desses 2 meios de comunicação. No final das contas, os bandidos conseguiram realizar operações no Nubank, BTG e Binance.

Vou compartilhar com vocês uma linha do tempo do ocorrido. Fiquem atentos ao nível de profissionalismo e velocidade desses assaltantes:

  1. Furto ocorreu por volta das 21h55;
  2. Às 22:03 os ladrões acessaram minha conta na Binance e começaram a converter todas minhas criptos para Bitcoin (Eu estava chegando em casa nesse momento)
  3. Às 22:06, eles solicitaram saque dos meus bitcoins para wallet pessoal deles
  4. Às 22:15, eles solicitaram retirada das minhas aplicações financeiras em renda fixa e fundo de investimento no app do BTG investimentos e logo em seguida programaram TED do valor que conseguiram para uma conta (pra minha sorte essa operação não deu certo)
  5. Por volta de 22:30 eles começaram a fazer compras via Apple pay. Fizeram cerca de 6 compras no débito e 1 no crédito.

Em 1 hora, eles já tinham feito a festa no meu celular. Por fim, a Nubank me ressarciu as compras feitas pelos assaltantes e a transição de retirada do dinheiro do BTG deu algum erro. Fiquei com o prejuízo das criptomoedas, o que corresponde ao valor do título da matéria, mas por pouco o valor não foi bem mais significativo.

Se tiver interesse em ver um relato mais detalhado de como é viver essa experiência terrível, o Bruno De Paula conta nessa thread do twitter. A descrição de como você se sente é perfeita:

Avaliando a oportunidade

Pesquisando mais sobre o assunto, vi diversos casos de furtos como o meu em São Paulo. Encontrei evidências de que as autoridades tomaram decisões favorecendo as vítimas do furto e obrigando as instituições financeiras a reembolsar as vítimas e, em alguns casos, até pagaram uma multa por danos morais, como pode ser visto nessa matéria.

Eu me questionei quanto os bancos poderiam estar sendo prejudicados em vista dos prejuízos causados ​​por movimentações fraudulentas após furtos. Busquei estimar esse valor no estado de São Paulo. Para isso, levantei o número de furtos a celular nesse site da secretaria de segurança pública de São Paulo. De janeiro a novembro, ocorreram relatos de 127.212 furtos de celular.

Então montei um gráfico com 2 parâmetros, buscando avaliar o tamanho do prejuízo tomado por instituições financeiras devido a problemas como esse:

  • Taxa de sucesso em invadir aplicações financeiras;
  • Ticket médio total das perdas pelas vítimas.
estimativa de possível prejuízo por furto de celular

Para um caso em que temos a taxa de sucesso de 20% e um TM de R$ 500,00, o prejuízo nesse período apenas no estado de São Paulo é estimado em cerca de R$ 12.000.000,00

Se levarmos um cenário de 30% de taxa de sucesso e um TM de R$2000,00, o pagamento chega na casa dos R$50.000.000,00. No caso mais extremo, onde temos um TM de R$20.000,00 e uma taxa de sucesso de 50%, o pagamento total supera R$1.200.000.000,00.

Alguns outros pontos interessantes que encontrei em minhas análises:

  • Em uma pesquisa, estima-se que o prejuízo total decorrente de fraudes financeiras nos 12 meses anteriores à pesquisa chegue a cerca de R$ 1,8 bilhão. A pesquisa indica que 21% dos recebidos roubados, assalto ou furto como fato que antecedeu a fraude;
  • Estudos de consultorias mostram que os gastos com soluções contra fraudes de identidade vão chegar a US$ 10,4 bilhões até 2023, enquanto os prejuízos decorrentes de fraudes de cartão de crédito alcançarão os US$ 35 bilhões até 2020;
  • Existem vários tipos de fraudes no e-commerce: fraude por interceptação, fraude de teste de cartão, roubo de identidade;
  • Phishing é o termo usado para o crime de enganar pessoas para que elas compartilhem dados com sucesso como senhas e números de cartão de crédito;
  • No primeiro semestre de 2022, o Brasil registrou mais de 5 mil tentativas de fraude de identidade por hora, segundo levantamento realizado pela idtech Unico. A empresa contabilizou 2,1 milhões de casos evitados, que representariam um pagamento de cerca de R$ 59 bilhões. As fintechs são as mais visadas quando se trata desse tipo de golpe. Em segundo lugar aparecem os bancos, seguidos pelo varejo.

Analisando esses números, parece-me interessante que os times de produto dos bancos trabalham na temática de segurança abordando a redução de prejuízos causados ​​por ressarcimento a clientes que foram furtados.

Mas antes de tomar essa decisão, existem outros pontos que fazem sentido analisar, mas que não pude analisá-los por serem dados internos de cada empresa. São eles:

  • Qual seria o tamanho desse prejuízo por cada instituição financeira ? Fiz uma estimativa de perda em todos os bancos juntos, mas qual é esse número em cada instituição? Pode ser que seja um problema mais grave para alguns bancos do que outros;
  • Quais outros problemas de segurança causam prejuízos financeiros a instituição financeira? Qual o tamanho dessas perdas? (Sei que o problema de fraude por cartão clonado é bem grande);
  • Como tem sido as decisões de julgamento nesses outros casos de segurança?
  • Qual a complexidade de tratar a segurança em caso de furto? E em outros casos, como cartão clonado?
  • Já existem iniciativas em andamento? Já tentou trabalhar em alguns desses casos no passado? Quais foram as ações tomadas?

Obs.: estou assumindo que essa temática tem alinhamento estratégico com os objetivos das instituições.

Analisando a segurança no aplicativo de diversas instituições financeiras

Após analisar um pouco sobre a oportunidade, passei a avaliar os procedimentos de segurança em diversas instituições financeiras. Algumas empresas se destacaram, outras me surpreenderam negativamente. 

Itaú tem processos de segurança muito robustos, o Nubank também se destaca positivamente. Já como destaque negativo, vi quão frágil é a segurança do app do BTG Investimentos, Banco Inter e Banco Pan. A seguir, faço uma breve análise sobre duas instituições que se destacaram positivamente e uma que se destacou:

Itaú Tech

  • Acesso ao app: para tentar usar o app usando o “Esqueci a senha” é solicitado o número da agência e conta. O que já dificulta bastante o acesso, mas não o impossibilita, já que o ladrão pode conseguir isso em aplicativos de outras instituições;
  • Realização de PIX, transferência e pagamento de boletos : para todas essas transações é solicitada a senha do cartão que é diferente da senha de acesso ao app;
  • Tentativa de conclusão de empréstimo: não testada;
  • Tentativa de redefinição de senhas: só é possível realizar nas caixas eletrônicas;
  • Tentativa de redefinição de limite do PIX: não testada;
  • Criação e acesso a dados de cartão virtual: é preciso da senha do cartão que é diferente da senha de acesso ao app para criar e acessar dados do cartão virtual.

Nubank

  • Acesso ao app: com o celular furtado, o bandido tem acesso ao e-mail e celular da vítima, o que ajuda a redefinir facilmente a senha de acesso ao aplicativo;
  • Realização de PIX, transferência e pagamento de boletos: para todas essas transações, é solicitada a senha do cartão, que é diferente da senha de acesso ao app;
  • Tentativa de realização de concessão: para essa transação é solicitada a senha do cartão, que é diferente da senha de acesso ao app;
  • Tentativa de redefinição de senhas dentro do app: solicita Face ID;
  • Tentativa de redefinição de limite do PIX: para isso é necessário a senha do cartão, que é diferente da senha do app, e leva entre 24hrs e 48hrs;
  • Criação e acesso a dados de cartão virtual: para essas transações é necessário a senha do cartão, que é diferente da senha do aplicativo.

Obs.: Destaque para funcionalide de “Lista de confiança” para enviar qualquer valor por PIX. Apesar de ser interessante, ela traz um risco de os bandidos mandarem o dinheiro para alguém dessa lista e tentarem realizar o golpe no WhatsApp, se passando por você (já que eles estão com seu celular).

BTG Investimentos

  • Acesso ao aplicativo: com o celular furtado, o bandido tem acesso ao e-mail e celular da vítima, o que ajuda a redefinir facilmente a senha de acesso ao aplicativo;
  • Realização de PIX, transferência e pagamento de boletos: não pede senha para retirada de dinheiro de aplicações financeiras nem para outras transações;
  • Tentativa de conclusão de empréstimo: não testada;
  • Tentativa de redefinição de senhas dentro do app: não pede senha;
  • Tentativa de redefinição de limite do PIX: não encontrei configurações de limite;
  • Criação e acesso a dados de cartão virtual: não tem essa funcionalidade.

Obs.: Me surpreendi com o BTG, pois é uma conta de investimento e costuma ser uma conta onde as pessoas guardam suas economias. Porém é extremamente simples realizar movimentações dentro do app.

comparativo de segurança aplicativos bancários

Criando a Árvore de Oportunidades, propondo soluções e priorizando-as

Feita as análises dos bancos, criei uma Árvore de Oportunidades “generalista”, ou seja, considerando todos os problemas/oportunidades sem focar em uma instituição específica. 

Como estou analisando o caso de forma generalista isso faz sentido. Porém, se estivesse em uma dessas empresas provavelmente a árvore mudaria, já que nem todas apresentam os mesmos problemas/oportunidades que listei.

árvore de oportunidades instituições bancárias

As principais oportunidades a serem trabalhadas que listei foram:

  • O processo de esquecimento senha baseado em código de verificação por e-mail ou celular não é seguro em casos de furto;
  • Possibilidade de realizar transações e/ou acessar/alterar dados sensíveis sem verificação de segurança;
  • Falha na identificação de comportamento fraudulento com base na comparação entre compras sendo realizadas e comportamento de compras do usuário.

Gosto da abordagem da Teresa Torres que nesse post fala sobre priorização e acredito que se aplica nesse caso. Nele, ela menciona a perspectiva de decisões de nível 1, que são decisões difíceis de reverter e por isso você deve ser extremamente cauteloso. Já as decisões de nível 2, são decisões que são simples de reverter. 

A decisão de priorização de oportunidades é uma decisão de nível 2, então após priorizar uma oportunidade e testá-la, você pode voltar atrás e partir para outra oportunidade, caso essa primeira que você testou não tenha apresentado os resultados esperados.

Lendo sobre o assunto de segurança enquanto preparava esse estudo caso, percebi que não existe uma solução “matadora” e sim um conjunto de soluções que se conectam de forma a potencializar a segurança da aplicação e diminuir a frequência de ocorrência e potencial de uso. 

Com isso em mente, priorizar uma oportunidade apenas pode ser uma atitude precipitada. Minha estratégia para esse caso seria a de atacar as 2 primeiras oportunidades, com soluções que parecem ser de simples implementação e já podem dificultar bastante a vida dos assantaltes.

Olhando para o espaço das soluções na oportunidade 2, acredito que a mais básica de todas seria a solicitação de senha do cartão (que deve ser diferente da senha do aplicativo) para realizar qualquer transação no app ou tentar visualizar dados sensíveis, como os dados do cartão virtual.

Na oportunidade 1, temos 4 possibilidades de solução listadas na Árvore de Oportunidades:

  • Autenticação multifator (MFA) sem usar código por e-mail ou SMS, mas usando outros dados como data de vencimento do cartão e CVV;
  • MFA “mix”: combinar verificação em código com outros dados como data de vencimento do cartão e CVV;
  • Verificação via selfie;
  • Integrar solução da Incognia na aplicação.

Nesse caso, priorizaria a solução do MFA “mix”, pois contrastando com as demais ideias de solução, temos os seguintes pontos negativos nelas:

  • Autenticação multifator (MFA) sem usar código por e-mail ou SMS, mas usando outros dados como data de vencimento do cartão e CVV: acaba tornando o acesso a conta mais sensível a golpes do tipo phishing;
  • Verificação via selfie: costuma ser feito por serviços de terceiros, o que provavelmente implicaria em mais custos;
  • Integrar solução da Incognia: por ser uma solução de terceiro, também geraria mais custos.

O MFA “mix” não parece ser de implementação complexa e traz dificuldade para os bandidos que furtaram, já que eles “só” têm acesso ao celular e e-mail da pessoa. Além disso, não gera nenhum tipo de custo extra.

Métricas de acompanhamento

Para acompanhar o sucesso das soluções otimizadas, é importante ficar atento ao aumento de fricção e possível queda de engajamento devido a soluções que aumentam a segurança da aplicação. Com isso em mente, acredito que algumas características interessantes de se acompanhar seriam:

  • Prejuízo financeiro total devido a furtos: comparar o montante que era perdido mês a mês devido a reembolsos a clientes que tinham sido furtados e os bandidos haviam realizado movimentações;
  • Número total de casos em que o banco foi acionado para tratar casos de movimentações fraudulentas por furto: importante para dar suporte na métrica 1, pois o montante pode ter diminuído por uma queda no TM do valor movimentado nos furtos e não devido a uma diminuição na quantidade de vezes que bandidos têm sucesso em realizar movimentações após um furto;
  • Número de BOs devido a furto celular: se a quantidade de furtos cai, a tendência é que os indicadores 1 e 2 caiam, por isso essa métrica te ajuda a entender se de fato sua solução está dificultando a vida dos bandidos;
  • Volume transacionado: analisando a série histórica de volume transacionado ajuda a entender se vai existir algum impacto no engajamento dos clientes com suas respectivas contas

Conclusão

Me dediquei bastante nesse caso, li extensivamente sobre o assunto de segurança nas últimas semanas e conversei com algumas pessoas que trabalham na área. 

Chegando ao final desse texto, destaco o nível de engenhosidade que os fraudadores são capazes de atingir e o tamanho do prejuízo que podem causar. Os bancos não terão vida fácil e precisarão estar sempre atentos a novas modalidades de ataque. 

O desafio de equilibrar o nível de fricção com a segurança dos aplicativos é, na minha opinião, o maior desafio das instituições financeiras nesse aspecto.

Confira outras análises: