Escolar Documentos
Profissional Documentos
Cultura Documentos
Que é o nosso caso. Realizamos a tentativa de enganar o cadastro do app, com o intuito de
realizar transações financeiras indevidas em nome de terceiros
E como foram realizadas essas fraudes. A estrutura principal dos teste foi essa:
Aqui apresento a vocês algumas das ferramentas utilizadas para os testes. Levando a
diversidade da aplicação destes:
---
Então vamos lá falar dos testes de 1 a 4. Estes documentos apresentados foram feitos através
de softwares como o RGmaker ou editores de imagem, proporcionando um documento digital
fiel aos documentos originais. Lembrando que para estes testes foram utilizados dados
gerados (obtidos) pela ferramenta 4devs a qual gera um usuário real, porém, algumas das
informações podem não condizer com a verdadeira pessoa.
---
Porém, começamos a brincar com as informações e dados reais, porém manipulando alguns
dados, como podem observar. E por fim conseguimos obter acesso ao APP. Lógico, este
onboarding foi o mais demorado que imaginávamos, não descobrimos o motivo. Porém, em
comparação com outros onboarding de usuários reais, o tempo médio para aceite da conta é
menos de 5min.
------
------
----
Mas como assim fácil acesso a esses dados? O Google é uma ótima ferramenta para qualquer
usuário. Imagina a um atacante que possui vasta experiência de recursos tecnológicos ..
imaginem ai todos os vazamentos de dados disponíveis.
CURIOSOS?????
------
1- A captura da foto do onboarding fraudado foi utilizado UMA ÚNICA PESSOA. Isso permitiu
que sob nossa ótica o sistema foi burlado sem qualquer verificação.
2- Não realiza a comparação automática da foto do documento com a selfie capturada pela
pessoa na prova de vida
4- Nos processos fraudados foi utilizado 3 fotos diferentes da pessoa que realizou o Liveness
5- Mesa manual (Documentoscopia) não houve uma análise dos dados e pode ficar
comprometida devido a um possível alto volume de documentos x número de funcionários.
0800 na tela do app está com o numero do SAC BSA e pessoal não tem treinamento para
recebimento de demandas da Conta Bemol.
-----
As contas foram bloqueadas. Como sabemos?? Estamos com a suspeita que devido o app não
gerar boleto para depósito.
Interação com a DOCK e Bemol? Como realmente está sendo acompanhado os processos de
segurança do app com base nas informações de onboarding? Hoje já temos os processos de
verificação do usuário?
Não né? É.. pior que se avaliarmos de uma forma com peso de 1k.. temos lavagem de dinheiro
dentro do app.