Roubo de conta

Roubo de conta é uma forma de fraude baseada em identidade na qual um atacante obtém controle não autorizado sobre a conta online de um usuário legítimo e a utiliza para extrair valor – fundos roubados, pontos de fidelidade, dados pessoais ou acesso a outras contas. Geralmente começa com o comprometimento de credenciais (phishing, vazamento de dados, malware) e termina com transações ou alterações que o titular real da conta não autorizou. Equipes de risco tratam esse tipo de fraude como uma das categorias de maior impacto, pois a atividade se origina de uma conta "confiável".

Como o roubo de conta funciona

A maioria dos ataques de roubo de conta segue o mesmo padrão de quatro etapas: aquisição de credenciais, validação, sequestro da conta e monetização.

As credenciais são obtidas por meio de phishing, smishing, malware do tipo infostealer ou pela compra de combo lists em mercados da dark web. Em seguida, os atacantes validam as credenciais roubadas em escala usando credential stuffing – tentativas automatizadas de login em centenas de sites, aproveitando o fato de que a maioria das pessoas reutiliza senhas.

Encontrada uma credencial válida, o atacante assume o controle da conta. Isso frequentemente envolve um SIM swap para interceptar OTPs durante a redefinição de senha, seguido pela alteração do número de telefone ou e-mail cadastrado para impedir que o usuário legítimo receba alertas.

A monetização varia conforme a plataforma. Em contas bancárias e de BNPL, os atacantes iniciam transferências, esgotam o crédito disponível ou abrem novas linhas de crédito usando o perfil de KYC existente. Em marketplaces e plataformas de e-commerce, fazem pedidos entregues em endereços de entrega fraudulentos ou revendem pontos de fidelidade. Em operadoras de telefonia e exchanges de criptomoedas, usam a conta como ponto de entrada para novos ataques – especialmente SIM swaps que desbloqueiam outras contas.

Vetores comuns de ataque no roubo de conta

Os vetores que uma equipe de fraude precisa monitorar não são intercambiáveis, e a defesa adequada depende de qual deles predomina em determinada carteira.

O credential stuffing é baseado em volume e fortemente automatizado. Manifesta-se como picos de tentativas de login originadas de IPs de data centers ou proxies residenciais, geralmente com baixas taxas de sucesso por IP, mas com um número absoluto elevado de logins bem-sucedidos.

O roubo de conta via phishing tem volume menor, mas maior qualidade – o atacante já possui a credencial real e, frequentemente, um OTP recém-interceptado. O login parece legítimo na maioria das camadas de sinais; o indicativo costuma ser a inconsistência entre o dispositivo utilizado e o comportamento esperado.

O roubo de conta por SIM swap e engenharia social contorna completamente o MFA via SMS. O atacante convence um agente da operadora a fazer a portabilidade do número da vítima e, em seguida, aciona a redefinição de senha. Esse método é amplamente utilizado em contas bancárias e de criptomoedas de alto valor no Brasil, México e Índia.

O roubo de conta por malware e acesso remoto é o mais difícil de detectar. O atacante utiliza o próprio dispositivo da vítima por meio de uma ferramenta de acesso remoto (AnyDesk, TeamViewer) ou trojan bancário. O fingerprint do dispositivo, o IP e até os padrões comportamentais podem corresponder ao usuário real; o que não corresponde é o estado de integridade do dispositivo e o padrão de timing da sessão.

Como detectar e prevenir o roubo de conta

A prevenção do roubo de conta não depende de um único controle, mas da combinação de sinais que um atacante não consegue falsificar simultaneamente.

A autenticação forte é a primeira camada, mas o OTP por SMS já não é suficiente contra atacantes mais sofisticados. As equipes de risco estão migrando para autenticação baseada em risco, que aciona verificações adicionais apenas em sessões anômalas, e para fatores de MFA resistentes a SIM swap (aplicativos autenticadores, passkeys).

A segunda camada são os sinais de dispositivo e comportamento. O device fingerprinting identifica quando uma conta conhecida realiza login a partir de um dispositivo sem histórico anterior, enquanto a análise comportamental capta sinais mais sutis – ritmo de digitação, movimentos do mouse, padrões de navegação – que diferem mesmo quando o atacante possui a senha e o OTP corretos. A inteligência de dispositivo probabilística é especialmente valiosa em mercados emergentes, onde o mesmo usuário pode alternar entre vários dispositivos, tornando o matching rígido de device ID uma fonte excessiva de falsos positivos.

A terceira camada é o monitoramento durante a sessão e após o login. Verificações de velocidade em alterações de perfil (e-mail, telefone, beneficiários), padrões de transação incomuns e a presença de ferramentas de acesso remoto ou emuladores no dispositivo é indicativa de que uma conta pode já ter sido comprometida. Interceptar o roubo de conta na fase de transação – e não apenas no login – costuma ser a diferença entre uma fraude bloqueada e um chargeback.

Para credoras especificamente, o roubo de conta situa-se na interseção entre fraude e risco de crédito: uma conta comprometida que drena o limite máximo gera uma inadimplência que parece uma perda de crédito, mas é, na verdade, uma perda por fraude. Tratá-la como tal muda tanto a lógica de detecção quanto a economia de recuperação.

Roubo de conta vs. fraude de nova conta

Os dois conceitos costumam ser confundidos, mas exigem defesas distintas. A fraude de nova conta utiliza identidades sintéticas ou roubadas para abrir contas que não existiam anteriormente. O roubo de conta usa credenciais comprometidas para assumir o controle de contas que já existem e têm um histórico legítimo. Os sinais de detecção são diferentes: a fraude de nova conta é combatida no onboarding, por meio de verificação de identidade e análise do histórico do dispositivo, enquanto o roubo de conta é combatido no login e após o login, por meio de sinais comportamentais, de sessão e de transação. Um stack de risco eficaz contra um tipo pode ainda estar amplamente vulnerável ao outro.