Não dou a mínima para minha reputação.
Joan Jett & the Blackhearts tiveram o luxo de cantar essas letras antes da era moderna da internet, quando a contracultura era subversiva, descolada e ousada.
Hoje em dia, a contracultura é dominante. E nossa reputação online é tudo. Nossas personas digitais são deliberadamente selecionadas, altamente visíveis e rigorosamente gerenciadas à medida que nos aproximamos cada vez mais dos dispositivos em nossos bolsos.
Então, quando contas são invadidas por causa de preenchimento de credenciais e pessoas mal-intencionadas tiram vantagem, os resultados podem ser devastadores em um nível muito pessoal.
Pânico, constrangimento e vergonha.
Esses são sentimentos reais resultantes de coisas que ocorrem em nosso mundo digital.
Isso é especialmente verdadeiro no caso de invasão de contas em redes sociais, que o Identity Theft Resource Center (ITRC) apelidou de “Epidemia de invasão de contas”.
De acordo com o ITRC , que em 2021 teve pouco menos de 15.000 vítimas de crimes de identidade entrando em contato para serviços de suporte (um recorde por si só), houve um aumento de 1.044% nas invasões de contas de mídia social de 2020 a 2021. Uma estatística impressionante.
Como acompanhamento, o ITRC conduziu uma pesquisa com vítimas de invasão de contas em redes sociais e descobriu que 66% relataram ter experimentado fortes reações emocionais ao perder o controle de suas contas em redes sociais: 92% se sentiram violados, 83% preocupados e ansiosos, 78% irritados, 77% vulneráveis e 7% suicidas.
No espírito do Dia Mundial da Saúde Mental , estas são estatísticas importantes a serem consideradas no espaço da segurança cibernética. E embora possa ser fácil para alguns ver o roubo de identidade nas redes sociais como uma mera inconveniência, esses números demonstram o quão intimamente ligada a reputação online de uma pessoa está ao seu bem-estar emocional.
Veja o exemplo de alguns amigos meus, Trevor e Stacey, que tiveram suas contas de mídia social hackeadas, provavelmente pelo mesmo ataque de preenchimento de credenciais em julho de 2022. Nenhum deles havia configurado a autenticação de dois fatores.
Ambos os amigos são profissionais bem-sucedidos e ativos nas redes sociais, e um deles era um entusiasta moderado de criptomoedas.
Os criminosos postaram em seus stories do Instagram uma mensagem nada sutil sobre se envolverem em um esquema de mineração de bitcoin. Era uma captura de tela da tela de bloqueio do iPhone que incluía uma foto do perfil deles (no caso de Trevor, uma foto dele e da esposa do perfil dele) e exibia uma mensagem de texto falsa do BofA, seguida por uma captura de tela de sua suposta conta bancária:
Embora não seja preciso ser um especialista em segurança cibernética para reconhecer que isso foi um golpe, ainda assim pode ser uma tática de phishing eficaz, já que vem da conta real de uma fonte confiável dentro de um ecossistema social não conhecido por abusos.
Curioso sobre a sofisticação desses invasores — e porque nunca deixo passar uma oportunidade de falar diretamente com nossos colegas de chapéu preto — respondi à história para ver o quão eficaz era a mensagem deles:
Eu sei, eu sei. Eu sou uma ótima amiga, certo?
Foi uma provação terrível para ambos os indivíduos. Trevor conseguiu usar o processo de verificação de reconhecimento facial do Instagram, que escaneia seu rosto e o compara com sua biblioteca infinita de fotos marcadas. Ele conseguiu recuperar o acesso em 27 horas e configurou sua autenticação de dois fatores.
Stacey, por outro lado, abandonou completamente as redes sociais. A provação foi tão embaraçosa e criou tanta ansiedade nela que ela simplesmente se levantou e foi embora. Decidiu que toda essa coisa de persona no mundo digital não era para ela.
Isso não é incomum. Um estudo de 2020 sugere que 28% dos consumidores deixarão de usar um site se sua conta for hackeada.
Pânico, constrangimento e vergonha.
Não é o tipo de sentimento que queremos que os usuários finais dos clientes tenham quando confiam em nossos produtos. E embora esse exemplo possa ser específico das mídias sociais, o sentimento é algo que todos podemos compartilhar.
Seja mídia social, fintech, comércio eletrônico ou qualquer outra organização com uma base de usuários explorável, o credential stuffing é um jogo de gato e rato que veio para ficar — e com um impacto surpreendente.
De acordo com o Javelin Strategy and Research em seu Estudo de Fraude de Identidade de 2021 , a fraude de apropriação indébita de conta (ATO) resultou em mais de US$ 6 bilhões em perdas totais em 2020. As empresas criam novas defesas, os hackers desenvolvem ferramentas para contornar essas proteções e o ciclo continua.
Então, como as empresas podem reagir ?
Em um relatório recente do Aite Group , executivos de risco de instituições financeiras, credores fintech e empresas de comércio eletrônico foram entrevistados para saber como eles estão se protegendo do volume crescente de ataques ATO.
Entre as principais conclusões:
Olhando além dos impactos óbvios dos ataques da ATO, é importante lembrar que esses crimes têm um impacto humano real.
Acabar com a fraude não é só economizar dinheiro. É igualmente essencial para prevenir o tipo de trauma humano que está corroendo sorrateiramente as fibras fundamentais de um futuro digital mais ideal. Assim como no mundo físico, o que queremos requer segurança, proteção e confiança.