Ouça este conteúdo
O crescimento do mercado de crédito e a transformação digital dos negócios, acelerada pela pandemia da Covid-19, têm caminhado lado a lado com um efeito colateral danoso: a disparada nas tentativas de fraude no país. Dados da Serasa Experian apontam que o ano de 2021 foi recordista, com mais de 4,1 milhões de tentativas de golpes financeiros. É o maior registro da série histórica, iniciada em 2011 com a elaboração do indicador específico por parte da empresa.
E as fraudes seguem avançando em 2022. No primeiro trimestre do ano, o número absoluto levantado pelo Indicador de Tentativas de Fraudes da Serasa Experian ultrapassou 1 milhão. Só em março, as ações do tipo cresceram 18,9% em relação ao mesmo mês do ano anterior (389.788 casos em 2022 contra 327.843 em 2021).
Os registros, segundo a Serasa Experian, permitem dizer que a cada sete segundos um brasileiro é vítima de golpistas. E, na avaliação do economista-chefe da empresa, Luís Rabi, o volume de tentativas continuará a subir. A conclusão se baseia no fato de que o crescimento da ação de golpistas acompanha o desenvolvimento de outros indicadores, como o de brasileiros com acesso ao crédito.
"O mercado de crédito tem crescido mais do que a própria economia, temos uma inserção cada vez maior de pessoas que estavam fora do mercado de crédito. Nós estimamos que o Cadastro Positivo incorporou ao mercado de crédito brasileiro mais ou menos 22 milhões de consumidores. O open banking está chegando, vai colocar mais 4,6 milhões de pessoas para dentro desse mercado", diz. "Ou seja, à medida que o principal alvo dos fraudadores aumenta, e aumenta mais do que a própria economia, fazendo uma inclusão financeira de milhões de brasileiros, a quantidade de alvos potenciais também aumenta. E por isso a estatística [de tentativas de fraudes] vem crescendo", resume.
Alvo preferencial: fraudes estão concentradas em bancos e financeiras
A leitura de Rabi encontra eco em outro número apontado pelo indicador, o que demonstra ampla concentração de ataques dos fraudadores contra os setores bancário e financeiro. Mais da metade das tentativas, 56%, são de fraude bancária, em bancos ou cartões. As financeiras reúnem outros 17%.
"Então, mais de 70%, três quartos, são golpes em que os fraudadores tentam usar dados pessoais de terceiros para obter dinheiro rápido, abrir conta em banco e pegar um empréstimo, ou emitir um cartão", destaca o economista, ao pontuar que os setores mais visados são também os que garantem mais liquidez quando o golpe é bem sucedido. "Eles querem ganhar dinheiro e é no banco que o dinheiro está", diz.
Reunidos, os segmentos bancário e financeiro foram alvo de 3,1 milhões de tentativas de fraude durante o ano de 2021. Com menos pressão, serviços, varejo e telefonia também concentraram ataques de fraudadores (com 14%, 7% e 3%, respectivamente).
O varejo, ainda que tenha fatia menor no número absoluto de tentativas de fraude, experimentou crescimento anual de 33% entre 2020 e 2021 e em 2022 aparece como destaque no indicador. É o segmento com maior crescimento da atividade dos golpistas, com alta de 74% nas tentativas de fraudes. Apenas em março foram 32.214 mil casos.
Aumento da exposição e exploração de vulnerabilidades
Segundo a Serasa Experian, o avanço dos golpes relacionados ao varejo reflete a reabertura das lojas físicas após o fim da fase mais aguda da Covid-19, mas a popularização do e-commerce e a corrida dos negócios por um espaço no ambiente online também criaram oportunidade para fraudadores.
"Há uma relação direta entre quantidade de empresas se transformando digitalmente e a exposição online a fraudes", afirma Gustavo Monteiro, diretor-gerente da AllowMe, plataforma de proteção de identidades digitais. Ele destaca, entretanto, que a vulnerabilidade explorada pelo golpista não está necessariamente na empresa.
"O elo mais fraco dessa relação tende a ser a pessoa, porque não fomos programados para responder a cada estímulo mapeado. E o fraudador usa e abusa desse tipo de gatilho. Ele vai gerar curiosidade para você clicar num link, vai tentar subverter a forma como você enxerga um SMS para fazer você acreditar que se trata de uma informação que vai te beneficiar, uma oferta que não existe. É prato cheio para o fraudador trabalhar e quebrar aquele elo fraco", afirma, detalhando a prática do phishing, em que o golpista lança "iscas" que darão a ele acesso a informações confidenciais caso a vítima seja fisgada.
Estudo realizado pela AllowMe aponta que a maior fonte de fraudes vem do roubo de contas, totalizando 63% das tentativas registradas pela plataforma em 2021. Para tomar uma identidade de acesso (em um site ou aplicativo), o criminoso pode se valer de diversas artimanhas, desde o citado phishing até estratégias mais simples, mas eficientes, como a adivinhação de senhas.
"Todo mundo reusa senha ou usa senha frágil, facilmente dedutível. A data de nascimento, CPF, a combinação de alguma informação pública. Isso faz com que o fraudador consiga adivinhar a credencial e roubar a conta sem muita dificuldade", afirma.
Para esse tipo de ação, vazamentos de dados também são um atalho, possibilitando que o golpista carregue as informações em um testador de logins, software que automaticamente testa credenciais combinadas em inúmeros sites. "Ele vai conseguir detectar quem são as pessoas que reutilizam senha e vai entrar, fazer o roubo da conta e fazer a fraude. É no varejo", completa.
O alerta principal do especialista é de que, no mais das vezes, a execução de uma fraude não tem alto grau de complexidade. "O fraudador era o estelionatário, era o golpista do mundo off-line que foi para o online. Ele não tem necessariamente a expertise técnica, ele busca escala. Para ele não vale a pena descobrir um meio de fraudar a empresa X se não vai ter retorno financeiro alto e rápido. Ele prefere ir por um caminho em que vai roubar a conta de 200 pessoas, por exemplo, no setor de fidelidade. Vai transformar os 10 milhões de pontos que conseguiu nessas tantas contas em dinheiro ou em produto que pode vender de forma rápida", exemplifica.
Tentativas de fraudes tendem a acompanhar avanços no setor financeiro
Para o futuro, o economista-chefe da Serasa Experian espera ação ainda crescente de fraudadores, em linha com as expectativas de mais avanços no setor financeiro, puxados por inovações como o open banking.
"Hoje, temos um mercado de crédito de 55% do PIB e imaginamos que daqui a dez anos vamos estar com 70, 75%. É um mercado que vai crescer praticamente 20 pontos acima do PIB nos próximos dez anos. E as tentativas de fraude nesse mercado vão continuar crescendo, batendo recorde em cima de recorde", prevê Rabi.
Com o panorama desfavorável, ele frisa que caberá às instituições empregar e aprimorar continuamente as suas ferramentas de segurança para evitar que as tentativas se transformem efetivamente em fraude.
Entre as inovações já postas em prática no segmento de segurança se destaca o uso de informações dinâmicas (não facilmente replicáveis) na validação de dados ou autenticação de contas. Aqui, o parâmetro utilizado pode ser a biometria e até o comportamento do dispositivo utilizado para o login, com checagens relacionadas ao contexto do usuário de modo a verificar se aquelas credenciais combinam com o comportamento usual historicamente registrado, incluindo sistema operacional e localização geográfica.
A aposta é em tornar o trânsito do fraudador mais custoso, dificultando a execução do golpe e fazendo com que ele descarte o site ou a plataforma em questão como alvo potencial. Pelo lado do usuário, a escolha de senhas fortes e a adoção de mecanismos de autenticação auxiliares, como a verificação em duas etapas, não devem ser dispensados.
Caminho facilitado para os golpistas
Sobre a ação de golpistas no cenário brasileiro, o diretor da AllowMe, Gustavo Monteiro, acredita que o principal problema está na facilidade de acesso a dados cadastrais, que faz com que os fraudadores consigam criar documentos e contas sem obstáculos relevantes. Não por acaso, a criação de cadastro falso é a segunda fraude mais numerosa apontada pelo estudo da companhia.
De acordo com levantamento da empresa, 500 mil contas falsas foram abertas com e-mails vazados no Brasil em 2021. "Por isso, fazer uma validação de dados baseada em informações estáticas é extremamente complicado: quem garante que não sou eu criando uma conta no seu nome? Imagina usar isso para um cadastro que vai oferecer um benefício financeiro? É um prato cheio para se criar uma identidade sintética no mundo real", destaca Monteiro, em alusão a fraudes registradas na utilização do aplicativo Caixa Tem para o pagamento do auxílio emergencial.
Fragilidades na ferramenta foram exploradas por fraudadores para burlar a autenticação do app e acessar de modo irregular o benefício, criado durante a pandemia. Levantamentos do Tribunal de Contas da União apontam pagamentos indevidos na casa dos bilhões, com atuação pulverizada de golpistas por todo o país.
As tentativas de fraude ao longo da última década
O Indicador de Tentativas de Fraude da Serasa Experian foi iniciado em 2011. Naquele ano, o acumulado de casos registrados foi de 2,5 milhões. Desde então, o volume quase dobrou, atingindo 4.187.060 tentativas de fraudes no ano passado.
Os períodos mais fortemente marcados pela ação crescente de golpistas foram 2017, 2019 e 2021, quando os saltos observados foram de 12,1%, 16,7 e 16,8% na comparação com os anos anteriores. Em 2020, afetado pela redução no volume de negócios em decorrência das restrições impostas pela pandemia do coronavírus, o cenário foi de encolhimento nesse tipo de registro, em 7,6%. Na sequência, a retomada trouxe 600 mil casos a mais em 2021.
As tentativas de fraudes contabilizadas no indicador da Serasa Experian são apuradas com base em milhões de consultas de CPF realizadas mensalmente por bancos, financeiras, comércios, entre outros. A partir do documento consultado junto à Serasa – seja para emitir um cartão, abrir crediário, tomar empréstimo – são analisados possíveis indícios de fraude. Entre os elementos observados estão inconsistências, como a existência de mais de um endereço relacionado, multiplicidade de linhas telefônicas, variações de filiação, todas apontadas como sinal de que um criminoso pode estar manipulando dados de terceiros para disfarçar sua atuação.