Illustration of person running away from large group of bots, demonstrating how banks can protect themselves from bot attacks

Se a vida é como uma caixa de chocolates sortidos na qual nunca se sabe o que virá, detectar bots é como fazer um bolo em camadas. Assim como um confeiteiro mestre não pode criar uma obra-prima de vários andares com uma única forma, os combatentes de fraudes não podem usar um único método de detecção de bots para capturar os sofisticados ataques de bots que vemos hoje.

O cenário dos bots amadureceu. Embora os chamados “script kiddies” sempre existam, os autores de bots se tornaram hábeis em evadir a detecção. Mais do que isso, eles são ambiciosos. Estão constantemente inovando para superar os sistemas de defesa. O ritmo das técnicas de fuga e perseguição entre os autores de bots e os combatentes de fraudes nunca foi tão rápido e intenso. Um método que funciona para um dos lados hoje pode se tornar inútil amanhã.

Um fator chave que alimenta essa corrida armamentista é a crescente acessibilidade à criação de bots. O aumento das plataformas de Bots-como-um-Serviço (BaaS) reduziu a barreira de entrada. Com habilidades técnicas mínimas, qualquer pessoa pode assinar um serviço que fornece uma máquina virtual, um console amigável e ferramentas de automação prontas para uso. Seja para fins legítimos ou fraudulentos, a porta está escancarada para que indivíduos possam implementar bots.

A Democratização dos Bots

Para pequenas empresas, o acesso a bots pode ser um divisor de águas. Um corretor de imóveis ou uma pequena firma de serviços profissionais pode usar bots para entrar em contato com centenas de potenciais clientes diariamente. O uso de bots pode, literalmente, manter suas luzes acesas. Isso destaca uma distinção importante: nem todos os bots são maliciosos.

Bots legítimos costumam se anunciar. Por exemplo, você pode encontrar um chatbot em um site que informa ser um bot e que está ali para ajudar. Outro exemplo são a Microsoft ou o Google, que operam vários bots ou automações diferentes. Houve um aumento significativo desses tipos de mecanismos com o advento da IA Generativa (GenAI), e um grande interesse em varrer a web para gerar conteúdo de treinamento para (Modelos de Machine Learning para geração de Linguagem Humana).

As instituições financeiras devem diferenciar entre bots legítimos e criminosos.

A Subcultura de Bots Desempenha um Papel no Desenvolvimento de Bots Avançados

De certa forma, a indústria alimenta involuntariamente a batalha entre autores de bots e combatentes de fraudes. Equipes de pesquisa e empresas de detecção frequentemente anunciam seus novos desafios, muitas vezes provocando os criadores de bots, que estão mais do que dispostos a aceitar o desafio.

Essa dinâmica se desenrola abertamente em comunidades online, onde autores de bots e entusiastas de scripts se reúnem para discutir técnicas. Eles estão nas margens da fraude e podem se concentrar em atividades aparentemente inofensivas, como a extração de conteúdo ou a automação de compras. Mas isso muitas vezes leva à revenda de ingressos ou à exclusão de entusiastas legítimos, forçando-os a pagar preços mais altos em mercados secundários.

No lado mais sombrio, criadores de bots mais maliciosos visam instituições e organizações, muitas vezes com o apoio do crime organizado. Esses bots são projetados para fins específicos e nefastos, com riscos muito maiores.

Bots a Nível de Rede como Serviço

Os bots mais recentes imitam identidades muito melhor do que antes, até mesmo replicando diferentes navegadores ou dispositivos. No entanto, seu avanço mais significativo reside na capacidade de operar no nível da rede.

Os autores de bots agora utilizam proxies residenciais – endereços IP compartilhados entre vários usuários ou residências. Essa tática permite que eles misturem o tráfego de bots com o tráfego de usuários legítimos, tornando os métodos tradicionais de detecção, como o bloqueio de bots com base no IP, muito menos eficazes. O risco de falsos positivos aumenta e o tráfego legítimo pode ser bloqueado, criando mais problemas do que soluções.

Proxies residenciais tornaram-se uma característica marcante do modelo de Bots-como-um-Serviço, oferecendo uma solução plug-and-play. O tráfego de bots é roteado através desses proxies, permitindo que o bot pareça originar-se de um endereço IP residencial compartilhado por outros usuários. Ao se esconder no meio do tráfego legítimo, os bots conseguem evadir a detecção de forma mais eficaz do que nunca.

Tipos de Bots

Os bots podem ser classificados em três categorias: bots ingênuos, bots complexos e os mais nefastos, bots direcionados.

Os ataques de bots direcionados são construídos sob medida para focar em instituições financeiras específicas. Para se defender contra eles, é necessário uma estratégia que abranja todos os tipos de bots, desde os “script kiddies”, que mal entendem os bots que usam, até bots altamente técnicos e destrutivos criados por especialistas. Uma defesa verdadeiramente eficaz deve cobrir todo o espectro.

Uma Estratégia de Fraude em Camadas: A Única Defesa Real Contra Ataques de Bots

A maioria dos sistemas de defesa contra bots não detecta inconsistências sutis que equipes de pesquisa e desenvolvimento, como a nossa na Feedzai, descobrem por meio de engenharia reversa e análise profunda. Por isso, uma abordagem em camadas para a detecção de bots é fundamental.

Métodos de detecção simplistas, como o bloqueio de bots com base em endereços IP, podem capturar os bots mais simples, mas não pararão os mais sofisticados. É como fazer um bolo de uma única camada para um casamento—não vai funcionar. Você precisa de uma estratégia em várias camadas que inclua técnicas mais complexas, como a análise comportamental.

Por exemplo, em vez de simplesmente bloquear IPs suspeitos, devemos observar o tempo de digitação:

  • Tempo de voo (quanto tempo leva para se mover entre as teclas)
  • Tempo de retenção (quanto tempo cada tecla é pressionada)

Igualmente importantes são fatores como tempo na página e duração da sessão. Esses fatores podem parecer básicos, mas quando analisados profundamente, você começa a perceber como os bots se comportam de maneiras diferentes dos usuários reais. Bots tendem a se mover de forma rápida e fluida de um botão para outro, sem as pausas naturais e variações que os humanos têm.

Veja este exemplo: Quando eu troco de digitar no teclado para usar o mouse, o movimento da minha mão naturalmente causa pequenas mudanças no cursor. Bots não têm mãos, então seus movimentos carecem desse toque humano. Essas variações comportamentais sutis são vitais para identificar bots, e nós descobrimos essas inconsistências por meio de engenharia reversa e análise aprofundada de sinais comportamentais.

Rótulos e o Futuro dos Bots

Mencionamos a análise de digitação no teclado, mas o que acontece quando não usamos mais teclados? Quando tudo é ativado por voz? Questões como essa, especialmente quando a tecnologia se desenvolve a uma velocidade exponencial, tornam a abordagem em camadas ainda mais crítica. E isso nos leva ao próximo desafio: como eu classifico uma atividade como sendo de um bot?

Eu não posso afirmar com certeza se algo é ou não um bot, mas posso dizer que é uma anomalia em comparação ao padrão de comportamento que observei para este indivíduo em particular no passado.

Detectando Bots em Entidades Conhecidas

Obviamente, todos gostariam de impedir os bots logo na porta de entrada, e sempre devemos ter sistemas para isso. No entanto, existem outras oportunidades de pará-los mais adiante na jornada de autenticação, e uma parte disso seria observar padrões de comportamento criados por bots.

Padrões no comportamento dos bots podem estar mais relacionados ao comportamento de pagamentos. Pode ser que eu não consiga capturar o sinal de um bot específico, porque não consigo classificá-lo. No entanto, posso detectar uma identificação ou um sinal de que você pertence a um grupo de pessoas com comportamento anômalo. Além disso, você está fazendo um pagamento agora. Isso não está nos seus padrões habituais de gastos. Então, é essa combinação de monitoramento de risco transacional junto com a classificação de ameaças que garante uma metodologia de detecção mais robusta.

Ataques de Bots e Fraude em Novas Contas

Como você pode diferenciar um bot de um novo cliente quando ainda não estabeleceu um relacionamento com o cliente? É aí que entra a análise de coorte. Você pode não conhecer esse cliente individual, mas conhece muitos outros semelhantes a ele.

Mesmo se aplica aos seus dispositivos, conexões e comportamentos. A atividade dele é semelhante ou diferente da de seus pares? Uma estratégia em camadas que combina o perfil individual e o perfil do grupo de pares é essencial.

Perfil individual é fundamental, mas quando você o combina com o perfil do grupo de pares, atinge um novo nível de sofisticação na detecção de fraudes. A combinação cria uma poderosa abordagem em camadas para identificar ameaças emergentes.

Veja como funciona na detecção de fraudes em novas contas:

Mesmo que você ainda não conheça bem o cliente, pode determinar se o comportamento dele é incomum em comparação com padrões que já observou entre usuários semelhantes. Por exemplo, é assim que as pessoas normalmente interagem com uma determinada página durante a criação de contas? Você pode não ser capaz de identificar um bot de forma definitiva, mas pode detectar um comportamento que se destaca—algo que está no extremo do intervalo percentil da população. Essa anomalia torna-se um indicador de risco. Combinado com outros fatores de risco, isso pode acionar um alerta com base na sua estratégia de detecção de fraudes.

Combinando o Perfil Individual e de Grupos de Pares para Combater Ameaças Emergentes de Fraude

Aqui está o porquê:

  • Perfil individual foca nas características e comportamentos específicos de um usuário, como padrões de transação, informações de dispositivo e horários de login. Com o tempo, ajuda a construir um perfil detalhado, permitindo que o sistema detecte anomalias que desviam do comportamento típico do cliente.
  • Perfil de grupos de pares compara o comportamento desse indivíduo com o de outras pessoas em contextos semelhantes. Isso pode incluir pessoas da mesma demografia, localização, tipo de dispositivo ou comportamento transacional semelhante. Comparar a atividade de um indivíduo com um grupo mais amplo ajuda a identificar outliers ou bots precocemente.

Quando você combina ambas as estratégias, cria uma abordagem em camadas:

  • Perfil Individual garante que qualquer comportamento incomum de um usuário específico seja sinalizado.
  • Perfil de Grupos de Pares ajuda a identificar comportamentos suspeitos desde o início, mesmo que o perfil individual ainda esteja sendo estabelecido (como no caso de um novo cliente). Ele observa semelhanças e diferenças em relação aos comportamentos já estabelecidos de outros no grupo de pares.

Essa estratégia em camadas é a base de uma defesa mais robusta contra fraudes em novas contas e bots.

Incorporando Fricção Amigável

Nem toda fricção é negativa para a experiência do cliente. Embora interações fluidas sejam ideais, adicionar fricção controlada (como desafios de segurança) nos momentos certos pode ajudar a descobrir incidentes isolados que podem, na verdade, ser parte de um ataque coordenado maior. Essa fricção aumenta o nível de confiança, garantindo que o cliente legítimo esteja tentando realizar uma ação genuína.

Para fazer isso de maneira eficaz, a fricção geralmente assume a forma de etapas de autenticação. Estas podem ser:

  • Autenticação Adicional: Quando atividade suspeita é detectada, solicitar mais informações (por exemplo, autenticação multifator).
  • Desafios Baseados em Conhecimento: Perguntar algo ao cliente que apenas ele saberia (como perguntas de segurança ou histórico comportamental).
  • Desafios Humanos: Implementar CAPTCHAs ou tarefas semelhantes que bots teriam dificuldade em completar.

Ao adicionar estrategicamente esses pontos de fricção, os bancos podem determinar melhor se a ação é genuína ou potencialmente parte de uma tentativa fraudulenta maior. Trata-se de equilibrar segurança e experiência do usuário para reduzir fraudes sem adicionar muita fricção para os clientes legítimos.

Silos Organizacionais: Fraude vs. Segurança

Bots costumam cair em uma área cinzenta entre dois departamentos: segurança e fraude, e esses silos podem criar desafios. O departamento de segurança normalmente foca em ataques de negação de serviço, onde bots visam e interrompem serviços. Já o departamento de fraude está mais preocupado com bots que comprometem credenciais ou executam transações fraudulentas.

A colaboração entre os departamentos de fraude e segurança beneficia ambos os departamentos e a organização. Embora grande parte da expertise sobre bots possa estar com a equipe de segurança, o departamento de fraude é o principal interessado em termos de perdas financeiras. Muitas vezes, cada departamento busca soluções separadas sem perceber que compartilham objetivos comuns. Ao alinhar seus esforços, eles podem encontrar fornecedores ou soluções que abordem fraude e segurança de maneira mais eficaz.

Resumo

Para realmente se defender contra o cenário de bots em constante evolução, adote uma abordagem em camadas que integre o perfil individual, a análise de grupos de pares e a detecção comportamental. Assim como ao fazer um bolo em camadas, cada camada de defesa adiciona força e resiliência, garantindo que até os bots mais sofisticados possam ser detectados e bloqueados. No entanto, a colaboração entre as equipes de fraude e segurança é tão importante quanto as próprias camadas. Esses departamentos precisam quebrar silos e trabalhar juntos para construir uma estratégia de defesa coesa que aborde tanto as violações de segurança quanto as perdas financeiras.

Agora é a hora de avaliar suas capacidades de detecção de bots e garantir que você tenha a combinação certa de defesas. Ao combinar tecnologia avançada com colaboração entre equipes, você pode se manter à frente de novas ameaças e proteger seus clientes e ativos. Não se trata apenas de manter os bots fora—mas de estar preparado para o que vem a seguir.