Pontuação de risco de identidade: por que ela é importante e quando utilizá-la

Radar
Radar

Combata fraudes com a força da rede da Stripe.

Saiba mais 
  1. Introdução
  2. O que é pontuação de risco de identidade?
  3. Quais sinais normalmente alimentam análises de identidade?
    1. Sinais de dispositivo
    2. Sinais de rede
    3. Biometria comportamental
    4. Sinais de atributos de identidade
    5. Vinculação entre contas
  4. Por que regras estáticas falham onde a pontuação de risco de identidade tem sucesso?
    1. Decisões binárias sobre distribuições contínuas
    2. Adaptação de invasores
    3. A zona cinzenta
  5. Onde a pontuação de risco de identidade é importante?
    1. Criação de contas
    2. Ativação de período de teste gratuito
    3. Resgate de promoções e indicações
    4. Login
  6. Como avaliar uma plataforma de pontuação de risco de identidade?
    1. Cobertura e atualização de sinais
    2. Desempenho em tempo real
    3. Precisão e taxas de falso positivo
    4. ​Opções ​de ​integração​
    5. Ferramentas operacionais
  7. Como operar e ajustar um sistema de pontuação de risco de identidade ao longo do tempo?
    1. Defina limites com base na tolerância ao risco
    2. Monitore desvios
    3. Crie ciclos de feedback
    4. Revise limites regularmente
  8. Como o Stripe Radar pode ajudar

Para criar uma conta, um usuário precisa fornecer alguma combinação de endereço de e-mail, número de telefone e nome. Mas, como essas informações podem ser falsificadas em segundos, elas não fornecem muitos dados úteis sobre a identidade real do usuário. Outros pontos de dados são muito mais relevantes: o dispositivo utilizado pelo usuário, a rede da qual ele está se conectando, como navegou pelo formulário de cadastro e muito mais.

A pontuação de risco de identidade é o processo de cibersegurança que atribui um nível de risco a uma identidade e transforma esses sinais adicionais em uma decisão. A seguir, explicaremos o que é pontuação de risco de identidade, por que regras estáticas não conseguem detectar padrões modernos de abuso e como avaliar e operar um sistema de pontuação depois que ele estiver implementado.

Destaques

  • A pontuação de risco de identidade avalia dezenas de sinais simultaneamente em vez de depender de um único atributo. Isso torna muito mais difícil para invasores burlarem o sistema em comparação a conjuntos de regras estáticas.

  • Ativação de períodos de teste, resgate de promoções e logins estão entre os pontos de maior valor para aplicação de pontuação.

  • Equipes devem sempre utilizar ajustes contínuos de limite e ciclos de feedback ao implementar uma plataforma de pontuação.

O que é pontuação de risco de identidade?

Pontuação de risco de identidade atribui um valor numérico ou categórico de risco a uma tentativa de identidade com base no peso agregado dos sinais presentes naquele momento. Em vez de focar apenas em saber se o e-mail do usuário é verdadeiro, ela analisa se a tentativa como um todo apresenta coerência semelhante à de um usuário legítimo.

Quais sinais normalmente alimentam análises de identidade?

Nenhum dado isolado consegue determinar se um cadastro é legítimo. Plataformas de análise de identidade e pontuação de risco agregam sinais de cinco categorias distintas:

Sinais de dispositivo

Uma impressão digital do dispositivo agrega versão do navegador, fontes instaladas, resolução de tela e especificações de hardware em um identificador pseudônimo que persiste entre sessões. Isso significa que um dispositivo associado a fraudes ou abusos anteriores será sinalizado mesmo quando as credenciais da conta forem alteradas. Plataformas também procuram sinais de automação, como navegadores sem interface, ausência de interfaces de programação de aplicações (APIs) esperadas ou combinações de atributos que não aparecem em dispositivos reais de consumidores.

Sinais de rede

A reputação do protocolo de internet (IP) importa mais do que o endereço IP em si; por exemplo, se ele está associado a um datacenter, provedor conhecido de rede privada virtual (VPN), nós de saída Tor ou rede de proxy residencial que criminosos utilizam para imitar tráfego legítimo de consumidores. Velocidade em nível de rede, como 50 cadastros vindos da mesma sub-rede em uma hora, também é um sinal de atividade fraudulenta.

Biometria comportamental

Cadência de digitação, padrões de movimentação do mouse, tempo gasto em cada campo e se um usuário copia e cola ou digita o e-mail geram padrões mensuráveis. Bots e ferramentas automatizadas produzem assinaturas estatisticamente diferentes das de humanos, e fazer esses padrões parecerem naturais continua sendo um desafio constante de engenharia para invasores.

Sinais de atributos de identidade

Antiguidade do e-mail, reputação do domínio e se o endereço segue padrões de e-mails descartáveis, além do tipo de número de telefone (por exemplo, Voice over Internet Protocol ou VoIP, ou emitido por operadora), são sinais fracos individualmente, mas se tornam relevantes quando combinados com outros fatores.

Vinculação entre contas

Se cinco contas compartilham a mesma impressão digital de dispositivo, ou 20 contas foram criadas a partir da mesma faixa de IP em uma semana, essas conexões se tornam sinais importantes. Uma plataforma com ampla cobertura em diversos negócios pode detectar padrões que nenhum operador isolado conseguiria identificar sozinho.

Por que regras estáticas falham onde a pontuação de risco de identidade tem sucesso?

Regras estáticas são alvos fixos. Invasores passam a usar proxies residenciais quando IPs de datacenters são bloqueados, trocam para domínios personalizados quando regras de e-mails descartáveis são acionadas e distribuem tráfego entre vários IPs quando limites de velocidade entram em vigor.

Veja como a pontuação resolve esses problemas:

Decisões binárias sobre distribuições contínuas

O tráfego real existe em um espectro entre legítimo e fraudulento, e a zona de sobreposição é ampla. Um usuário de VPN com histórico limpo e comportamento normal é diferente de um usuário de VPN em um proxy residencial sinalizado, com padrões de digitação semelhantes aos de bots e um endereço de e-mail criado há três minutos. Uma regra estática não consegue expressar essa diferença, mas uma pontuação consegue.

Adaptação de invasores

Quando agentes fraudulentos mudam de tática, um sistema baseado em regras não percebe até que alguém escreva uma nova regra. Um sistema de pontuação treinado em padrões comportamentais consegue detectar a nova tática como uma anomalia em relação à sua linha de base de tráfego legítimo, muitas vezes antes mesmo de ela ser explicitamente identificada.

A zona cinzenta

Muitos sistemas de produção utilizam regras rígidas para sinais claramente desqualificadores, como infraestrutura conhecida de malware ou correspondências com listas de sanções, e utilizam pontuação para todo o restante.

Onde a pontuação de risco de identidade é importante?

Padrões de abuso acompanham usuários durante todo o ciclo de vida deles na sua plataforma. A pontuação de risco é aplicada em cada um dos seguintes pontos, nos quais a identidade é declarada ou potencialmente explorada.

Criação de contas

Alguns alvos óbvios de abuso são exploração de planos gratuitos, criação de redes de credenciais falsas, contas falsas para avaliações e coleta abusiva de promoções. Uma pontuação no momento do cadastro é sua primeira e, às vezes, única oportunidade de detectar isso antes que a conta seja ativada.

Ativação de período de teste gratuito

Abuso de períodos de teste segue um padrão previsível: criar uma conta, ativar o teste, esgotá-lo e criar outra conta. Aplicar pontuação no momento da ativação do teste, além do cadastro, ajuda a identificar usuários que já passaram pela triagem inicial.

Resgate de promoções e indicações

Abusos promocionais seguem determinados padrões de infraestrutura. Aplicar pontuação no momento do resgate identifica contas que passaram pela triagem inicial, mas agora apresentam comportamentos associados a abuso.

Login

Tomada de controle de conta é um modelo de ameaça diferente de fraude em novas contas, mas os sinais se sobrepõem. Tentativas anômalas de login justificam sua própria camada de pontuação.

Algumas plataformas aplicam pontuação continuamente durante a sessão. Um usuário que passou pela pontuação de cadastro, mas depois tenta chamadas da API em alta velocidade, exportações em massa de dados ou repetidas falhas de pagamento, recebe uma nova pontuação baseada nesse comportamento. O Stripe Radar pontua transações usando sinais provenientes de toda a rede da Stripe, o que lhe dá visibilidade sobre padrões que empresas individualmente não conseguem enxergar sozinhas. Para empresas que criam proteção de cadastro integrada a pagamentos da Stripe, essa camada de pontuação na etapa de pagamento atua como uma proteção adicional contra fraudes que passaram pelas triagens anteriores.

Como avaliar uma plataforma de pontuação de risco de identidade?

As diferenças entre fornecedores nem sempre ficam claras em páginas de marketing. Escolher a plataforma errada pode bloquear usuários legítimos ou permitir atividades abusivas.

Veja o que procurar em uma plataforma de pontuação de risco:

Cobertura e atualização de sinais

Verifique quantos tipos de sinais a plataforma processa e quão atualizados estão seus dados de reputação. Uma plataforma com dados desatualizados de reputação de IP ou cobertura limitada de identificação de dispositivo produzirá pontuações incapazes de detectar padrões modernos de ataque. Pergunte especificamente aos fornecedores sobre recursos de detecção de proxies residenciais e biometria comportamental; essas são áreas em que as plataformas variam bastante.

Desempenho em tempo real

A pontuação de identidade no cadastro precisa retornar um resultado antes que o usuário espere uma resposta. Latência acima de algumas centenas de milissegundos começa a impactar conversões. Solicite números reais de latência no percentil 99.

Precisão e taxas de falso positivo

Um sistema que bloqueia 95% das fraudes, mas rejeita incorretamente 3% dos usuários legítimos, pode gerar um resultado negativo, dependendo do seu negócio. Taxas de falso positivo precisam ser avaliadas com base no perfil específico do seu tráfego. Quando o sistema sinalizar uma conta, ele deve ser capaz de informar quais sinais levaram à decisão.

​Opções ​de ​integração​

Verifique se a plataforma possui integrações pré-construídas com sua pilha tecnológica e oferece uma API em tempo real compatível com seu fluxo de cadastro. Analise como ela lida com decisões que precisam retroalimentar seus sistemas de autenticação ou sistemas de pagamento.

Ferramentas operacionais

Pontuação de risco exige dashboards que mostrem distribuições de pontuação, ferramentas para revisar contas sinalizadas, capacidade de ajustar limites e mecanismos de feedback que permitam que decisões de revisão humana aprimorem o modelo. Plataformas que não investem nessa infraestrutura tornam-se menos eficientes com o tempo.

Como operar e ajustar um sistema de pontuação de risco de identidade ao longo do tempo?

Implementar uma plataforma de análise de identidade e pontuação de risco é apenas o começo de um processo contínuo.

Veja o que você precisa saber desde o início:

Defina limites com base na tolerância ao risco

Muitas plataformas são fornecidas com limites de pontuação padrão que determinam bloqueios, verificações adicionais ou aprovações. Esses padrões são calibrados para o cliente médio e provavelmente precisarão de ajustes. Execute o sistema em modo sombra e analise a distribuição das pontuações em relação aos resultados conhecidos. Isso mostrará onde os limites realmente devem ser definidos.

Monitore desvios

O comportamento de invasores muda, assim como o comportamento legítimo de usuários, especialmente quando você entra em novos mercados, altera seu produto ou executa campanhas que atraem tráfego incomum. Distribuições de pontuação que mudam sem uma alteração correspondente nas taxas reais de fraude indicam que algo mudou e precisa ser investigado.

Crie ciclos de feedback

A pontuação é uma previsão, mas os resultados reais representam a realidade. Plataformas capazes de ingerir feedback e ajustar seus modelos tornam-se comprovadamente mais precisas ao longo do tempo do que aquelas que não conseguem.

Revise limites regularmente

Equipes frequentemente definem limites durante o onboarding inicial e não os revisitam por meses. Enquanto isso, taxas de fraude mudam, superfícies do produto mudam e o limite calibrado para o perfil de tráfego do ano anterior pode se tornar agressivo ou permissivo demais. Estabeleça uma cadência de revisão que compare o desempenho das pontuações com os resultados reais e faça ajustes conforme necessário.

Como o Stripe Radar pode ajudar

O Stripe Radar usa modelos de IA para detectar e prevenir fraudes, treinados com dados da rede global da Stripe. Ele atualiza esses modelos continuamente com base nas tendências de fraude mais recentes, protegendo sua empresa conforme a fraude evolui.

A Stripe também oferece o Radar for Fraud Teams, que permite aos usuários adicionar regras personalizadas para lidar com cenários de fraude específicos de suas empresas e acessar análises avançadas sobre fraude.
O Radar pode ajudar sua empresa a:

  • Prevenir perdas por fraude: a Stripe processa mais de US$ 1 trilhão em pagamentos por ano. Essa escala permite que o Radar detecte e previna fraudes com precisão de forma única, gerando economia.

  • Aumentar a receita: os modelos de IA do Radar são treinados com dados reais de contestação, dados de clientes, dados de navegação e muito mais. Isso permite que o Radar identifique transações arriscadas e reduza falsos positivos, aumentando sua receita.

  • Poupar tempo: o Radar é integrado à Stripe e não exige nenhuma linha de código para configuração. Também é possível monitorar o desempenho de fraude, escrever regras e muito mais em uma única plataforma, aumentando a eficiência.

Saiba mais sobre o Stripe Radar ou comece já hoje mesmo.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

  • Algo deu errado. Tente novamente ou entre em contato com o suporte.

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Radar

Radar

Combata fraudes com a força da rede da Stripe.

Documentação do Radar

Use o Stripe Radar para proteger sua empresa contra fraudes.