Conceito de Fraude...

Que é o nosso caso. Realizamos a tentativa de enganar o cadastro do app, com o intuito de
realizar transações financeiras indevidas em nome de terceiros

E como foram realizadas essas fraudes. A estrutura principal dos teste foi essa:

Aqui apresento a vocês algumas das ferramentas utilizadas para os testes. Levando a
diversidade da aplicação destes:

---

Então vamos lá falar dos testes de 1 a 4. Estes documentos apresentados foram feitos através
de softwares como o RGmaker ou editores de imagem, proporcionando um documento digital
fiel aos documentos originais. Lembrando que para estes testes foram utilizados dados
gerados (obtidos) pela ferramenta 4devs a qual gera um usuário real, porém, algumas das
informações podem não condizer com a verdadeira pessoa.

---

Porém, começamos a brincar com as informações e dados reais, porém manipulando alguns
dados, como podem observar. E por fim conseguimos obter acesso ao APP. Lógico, este
onboarding foi o mais demorado que imaginávamos, não descobrimos o motivo. Porém, em
comparação com outros onboarding de usuários reais, o tempo médio para aceite da conta é
menos de 5min.

Nesta tela apresentamos as movimentações realizadas de forma que podemos observar a

velocidade das movimentações entre as contas.
(Porém, deixo uma pergunta no ar: Imagine se pudéssemos sacar esse valor? Como seria o
rastreio?)

------

Pergunta super difícil.. APP somente para COLABORADORES?

------

Como podemos provar que não?

----

Dessa forma foi realizado o onboarding de terceiros totalmente fora da curva de

colaboradores e totalmente manipulados com dados originais de fácil acesso a estes dados.

Mas como assim fácil acesso a esses dados? O Google é uma ótima ferramenta para qualquer
usuário. Imagina a um atacante que possui vasta experiência de recursos tecnológicos ..
imaginem ai todos os vazamentos de dados disponíveis.

CURIOSOS?????

Veja como foi realizado as modificações no documento original.

O que conseguimos?

Com os dados obtidos e modificados, foram realizadas as manipulações de imagens

sobrepostas.

Vejam vocês os resultados.

------
1- A captura da foto do onboarding fraudado foi utilizado UMA ÚNICA PESSOA. Isso permitiu
que sob nossa ótica o sistema foi burlado sem qualquer verificação.

2- Não realiza a comparação automática da foto do documento com a selfie capturada pela
pessoa na prova de vida

3- A maioria dos testes foram manipulados digitalmente e aceitos pelo onboarding

4- Nos processos fraudados foi utilizado 3 fotos diferentes da pessoa que realizou o Liveness

5- Mesa manual (Documentoscopia) não houve uma análise dos dados e pode ficar
comprometida devido a um possível alto volume de documentos x número de funcionários.

6- Bloqueio da conta não é notificado, fica a ver do bloqueio de geração de boletos.

0800 na tela do app está com o numero do SAC BSA e pessoal não tem treinamento para
recebimento de demandas da Conta Bemol.

-----

As contas foram bloqueadas. Como sabemos?? Estamos com a suspeita que devido o app não
gerar boleto para depósito.

Interação com a DOCK e Bemol? Como realmente está sendo acompanhado os processos de
segurança do app com base nas informações de onboarding? Hoje já temos os processos de
verificação do usuário?

TU e PP a partir do dia 01/08 estamos a sanções financeiras devido ao não cumprimento da

LGPD. Hoje o usuário não realiza o consentimento desses termos. É de conhecimento do time
que já possui a tela, porém é de extrema necessidade já estar disponível na próxima
atualização.
Vcs me perguntam: Fernando, teve lavagem de dinheiro????

Não né? É.. pior que se avaliarmos de uma forma com peso de 1k.. temos lavagem de dinheiro
dentro do app.

Olhem as movimentações realizadas. Novamente pergunto se caso houvesse a possibilidade

de sacar esses valores, perderíamos todo o rastreio dessa movimentação. (de onde surgiu, pra
onde foi)