Criação de contas falsas: estratégias de detecção que não bloqueiam usuários legítimos

Radar
Radar

Combata fraudes com a força da rede da Stripe.

Saiba mais 
  1. Introdução
  2. O que é a criação de contas falsas?
  3. O que motiva a criação de contas falsas?
    1. Abuso de testes gratuitos e promoções
    2. Spam e manipulação de plataformas
    3. Uso indevido de APIs e coleta de dados (scraping)
    4. Infraestrutura para listas de credenciais
    5. Preparação para fraude em pagamentos
  4. Quais são alguns sinais de alerta para criação de contas falsas durante o cadastro?
    1. Sinais relacionados ao e-mail
    2. Sinais de dispositivo e rede
    3. Sinais comportamentais
    4. Sinais de coerência de identidade
  5. Como detectar a criação de contas falsas por meio da correlação de sinais?
  6. Quais estratégias funcionam para evitar a criação de contas falsas sem bloquear usuários legítimos?
  7. Bloquear a criação de contas falsas no cadastro é suficiente?
  8. Como o Stripe Radar pode ajudar

A abertura de contas online deve crescer mais de 13% ao ano até 2028, aumentando as oportunidades para fraude em novas contas. A criação de contas falsas é o processo de abertura de contas usando sinais de identidade fabricados ou roubados. Pode parecer um problema do seu sistema de cadastro, mas na prática é uma questão econômica. Invasores criam contas em escala porque o custo é baixo e o retorno potencial é alto. Estratégias eficazes de prevenção precisam aumentar esse custo até que a operação deixe de ser viável.

A seguir, exploramos como detectar contas falsas, por que o cadastro é um ponto de entrada preferido e como a detecção nessa etapa se encaixa em uma estratégia mais ampla de prevenção a fraudes.

Destaques

  • Contas falsas frequentemente servem como infraestrutura inicial para abusos posteriores, como exploração de testes gratuitos, scraping de APIs e fraude em pagamentos.

  • A detecção de contas falsas depende, em grande parte, da correlação de sinais de dispositivo, rede, comportamento e identidade ao longo das tentativas de cadastro.

  • Sistemas de detecção aumentam o esforço necessário para cadastros maliciosos e podem ser combinados com monitoramento pós-cadastro para identificar fraudes que escapam inicialmente ou surgem depois.

O que é a criação de contas falsas?

A criação de contas falsas é um tipo de fraude que envolve a abertura de contas usando informações falsas ou roubadas. Isso pode incluir endereços de e-mail gerados, números de telefone VoIP (Voice over Internet Protocol) — que permitem chamadas por meio de números virtuais em vez de linhas tradicionais —, nomes inventados ou combinações de dados reais que não pertencem à mesma pessoa.

A principal diferença entre uma conta falsa e uma conta legítima está na intenção. Um usuário legítimo se cadastra para usar seu produto. Já uma conta falsa é criada para extrair valor da plataforma ou viabilizar algum tipo de abuso.

O que motiva a criação de contas falsas?

A criação de contas falsas raramente é o objetivo final. Geralmente, é a infraestrutura que viabiliza outros tipos de abuso.

Veja por que invasores criam contas falsas.

Abuso de testes gratuitos e promoções

Qualquer incentivo de cadastro é um alvo: testes gratuitos, créditos, bônus por indicação ou recompensas de inscrição. Invasores criam contas em escala para aproveitar esses benefícios repetidamente. Uma campanha coordenada pode esgotar um orçamento promocional em poucas horas.

Spam e manipulação de plataformas

Em marketplaces, redes sociais e sites de avaliação, contas falsas são matéria-prima para manipulação. Elas permitem avaliações falsas, aumento artificial de seguidores, engajamento coordenado e outras formas de atividade aparentemente legítima.

Uso indevido de APIs e coleta de dados (scraping)

APIs de web scraping são usadas para extrair dados de sites. Usuários autenticados geralmente recebem limitações de fluxo de API mais altos do que tráfego anônimo. Contas falsas permitem que invasores distribuam a atividade de scraping entre várias sessões autenticadas e contornem limitações por conta.

Infraestrutura para listas de credenciais

Invasores que executam ataques de listas de credenciais precisam de infraestrutura para isso. Fluxos de cadastro podem ser usados para validar formatos de e-mail, testar quais domínios aceitam mensagens ou criar contas que depois serão usadas para testar credenciais roubadas. Em alguns casos, contas recém-criadas também são vendidas ou reutilizadas como parte de operações maiores de fraude.

Preparação para fraude em pagamentos

Em ambientes financeiros ou marketplaces, contas falsas podem ser usadas para testar números de cartões roubados, realizar pequenas tentativas de fraude com cartões (carding) ou criar uma identidade comercial temporária que pareça legítima por tempo suficiente para processar transações fraudulentas.

Quais são alguns sinais de alerta para criação de contas falsas durante o cadastro?

Nenhum sinal isolado identifica com certeza uma conta falsa. A detecção funciona ao combinar múltiplos sinais que, juntos, são difíceis de justificar como comportamento normal de um usuário.

Estes são alguns sinais de alerta que podem indicar intenção maliciosa.

Sinais relacionados ao e-mail

  • Domínios de e-mail descartáveis: serviços de e-mail temporário são frequentemente abusados porque facilitam a criação de contas sem a necessidade de manter acesso contínuo. Alguns provedores conhecidos são fáceis de bloquear, mas serviços menores rotacionam domínios constantemente para evitar lista de bloqueios.

  • Padrões de aliases gerados: a criação em massa de contas frequentemente gera padrões previsíveis, com variações sequenciais como “user1@”, “user2@” e assim por diante, ou longas sequências de caracteres aleatórios.

  • Domínios muito recentes: usuários legítimos raramente se cadastram usando domínios registrados há poucos dias. Contas com domínios criados recentemente merecem maior atenção.

Sinais de dispositivo e rede

  • Reutilização de impressão digital do dispositivo: configurações do navegador, resolução de tela, fontes instaladas e impressões digitais gráficas frequentemente se repetem entre contas criadas pelo mesmo sistema automatizado, mesmo quando endereços IP e dados de identidade mudam.

  • Endereços IP de data center ou proxy: tráfego originado de provedores de nuvem, redes privadas virtuais (VPNs) ou nós de saída do Tor apresenta maior risco do que o tráfego de provedores de serviços de internet residenciais (ISPs).

  • Velocidade de cadastro: um aumento repentino de novas contas a partir de um único intervalo de IP, número de sistema autônomo (ASN) ou impressão digital de dispositivo pode indicar o início de uma campanha coordenada.

Sinais comportamentais

  • Velocidade irreal de preenchimento de formulário: uma pessoa real precisa de tempo para ler e preencher campos. Quando um formulário de cadastro é concluído em frações de segundo, a explicação mais provável é automação.

  • Padrões de entrada perfeitos: humanos hesitam, cometem erros de digitação e fazem correções. Entradas limpas e lineares, sem pausas ou uso de backspace, costumam indicar preenchimento automatizado.

  • Movimento mecânico do mouse: bots geralmente não apresentam movimento de cursor ou exibem padrões retilíneos e uniformes, em vez dos movimentos irregulares típicos de interações humanas.

Sinais de coerência de identidade

  • Números de telefone VoIP: números fornecidos por serviços VoIP são mais baratos e fáceis de obter em grande escala do que números de operadoras móveis, o que os torna comuns em campanhas de criação de contas falsas.

  • Inconsistências de localidade: configurações de idioma, formatos de endereço, preferências de moeda e localização geográfica declarada devem estar razoavelmente alinhadas. Quando não estão, a identidade por trás da conta se torna menos confiável.

Como detectar a criação de contas falsas por meio da correlação de sinais?

Na detecção de fraude com múltiplas contas durante o cadastro, sinais individuais ajudam, mas a detecção mais eficaz vem da correlação entre contas. Mesmo quando invasores variam nomes, e-mails e endereços IP, outros padrões persistem. Em vez de avaliar cadastros isoladamente, muitos sistemas agrupam contas em clusters com base em atributos compartilhados e analisam se esse conjunto se comporta como um padrão normal.

Sinais comumente usados para agrupamento incluem:

  • Similaridade de identificação de dispositivo: configurações de navegador compartilhadas, tamanhos de tela ou impressões digitais gráficas

  • Padrões de rede: proximidade de IP, propriedade de ASN e se o tráfego se origina de redes residenciais ou infraestrutura em nuvem

  • Sequências comportamentais: ordem e tempo das ações durante o cadastro, que podem identificar ferramentas de automação

  • Sobreposição de identidade: semelhanças em raízes de e-mail, reutilização de números de telefone ou endereços parcialmente coincidentes

  • Velocidade e aceleração: picos repentinos de atividade a partir de uma infraestrutura que antes não gerava tráfego

Quais estratégias funcionam para evitar a criação de contas falsas sem bloquear usuários legítimos?

Defesas eficazes contra a criação de contas falsas são em camadas. Elas também devem ser proporcionais ao nível de risco que você realmente está observando.

Considere o seguinte:

  • Limitação de fluxo e controle de volume: limitar cadastros por endereço IP, impressão digital do dispositivo ou domínio de e-mail é uma primeira camada simples que bloqueia automação sem afetar usuários reais.

  • Detecção comportamental de bots: análises comportamentais invisíveis, como movimento do mouse, padrões de digitação e tempo de interação, podem filtrar bots sem apresentar desafios visíveis para usuários humanos. CAPTCHAs devem ser reservados para casos ambíguos, em vez de aplicados de forma generalizada.

  • Verificação progressiva: em vez de submeter todos os usuários ao mesmo processo, aumente o nível de verificação conforme o risco. Um usuário com comportamento normal pode passar sem fricção, enquanto sinais suspeitos (como IP de data center + e-mail descartável) podem exigir verificação por telefone.

  • Tratar verificação como sinal de risco: validações de e-mail e telefone não são só barreiras — também ajudam a medir risco. Um número real de operadora, por exemplo, aumenta a confiança e dificulta fraudes em escala.

  • Restrições baseadas em risco: quando houver dúvida, permita a criação da conta, mas com limitações (menos funcionalidades, sem créditos, acesso reduzido à API). O acesso pode ser ampliado conforme o comportamento legítimo é comprovado.

  • Ferramentas de detecção: existem soluções inteligentes para reduzir fraudes durante o processo de cadastro, como softwares que identificam a criação de contas falsas. Também é possível usar ferramentas que sinalizam comportamentos suspeitos após o cadastro, como o Stripe Radar, que utiliza inteligência artificial (IA) treinada com dados de milhões de empresas no mundo para identificar fraudes com mais precisão.

Bloquear a criação de contas falsas no cadastro é suficiente?

Controles no momento do cadastro são necessários, mas não suficientes por si só. As técnicas de ataque evoluem constantemente. A detecção de VoIP perde eficácia quando invasores passam a usar redes de cartões SIM em larga escala. A identificação de dispositivo se torna menos confiável à medida que ferramentas de automação avançam. Qualquer abordagem de detecção estática acaba sendo contornada com o tempo.

O que a detecção no cadastro faz bem é aumentar o custo de entrada. Uma campanha que antes exigia pouco esforço pode passar a demandar mais infraestrutura, mais tempo e mais custo por conta. Abusos de baixa margem, como exploração de testes gratuitos, podem deixar de ser viáveis economicamente à medida que esses custos aumentam.

Invasores determinados tendem a se adaptar, por isso um sistema eficaz trata as defesas no cadastro como apenas uma camada dentro de uma estratégia mais ampla.

Veja como é um modelo prático e aprofundado:

  • Controles no cadastro: correlação de sinais, limites de volume e verificação progressiva reduzem a criação de contas falsas antes mesmo que elas existam.

  • Monitoramento após o cadastro: comportamentos incomuns, padrões de pagamento anormais, uso suspeito de APIs e ações coordenadas podem revelar abusos que passaram pelos controles iniciais.

  • Reputação da conta ao longo do tempo: contas que se comportam normalmente por meses antes de se tornarem abusivas exigem modelos de detecção focados em mudanças de comportamento, e não apenas em sinais do momento do cadastro.

Eliminar completamente contas falsas não é realista. O objetivo deve ser tornar o abuso em larga escala caro, detectável e insustentável.

Como o Stripe Radar pode ajudar

O Stripe Radar usa modelos de IA para detectar e prevenir fraudes, treinados com dados da rede global da Stripe. Esses modelos são atualizados continuamente com base nas tendências mais recentes de fraude, protegendo seu negócio à medida que as fraudes evoluem.

A Stripe também oferece o Radar for Fraud Teams, que permite que usuários adicionem regras personalizadas para lidar com cenários de fraude específicos dos seus negócios, além de acessar insights avançados sobre fraudes.

O Radar pode ajudar seu negócio a:

  • Prevenir perdas por fraude: a Stripe processa mais de US$ 1 trilhão em pagamentos por ano. Essa escala permite que o Radar detecte e previna fraudes com alta precisão, ajudando você a economizar.

  • Aumentar a receita: os modelos de IA do Radar são treinados com dados reais de contestações, informações de clientes, dados de navegação e muito mais. Isso permite identificar transações de risco e reduzir falsos positivos, impulsionando sua receita.

  • Economizar tempo: o Radar já vem integrado à Stripe e não exige nenhuma linha de código para configuração. Você também pode monitorar o desempenho de fraude, criar regras e gerenciar tudo em uma única plataforma, aumentando a eficiência.

Saiba mais sobre o Stripe Radar, ou comece hoje mesmo.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

  • Algo deu errado. Tente novamente ou entre em contato com o suporte.

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Radar

Radar

Combata fraudes com a força da rede da Stripe.

Documentação do Radar

Use o Stripe Radar para proteger sua empresa contra fraudes.