De acordo com o MRC 2026 Global eCommerce Payments and Fraud Report, 64% dos merchants reportam um aumento significativo de abuso de primeira parte. O multi-accounting é um dos factores mais consistentes por trás desse número: uma única pessoa real que cria múltiplas contas para extrair valor que a plataforma pretende distribuir uma vez por utilizador real. Bónus de registo reclamados duas vezes. Recompensas de referral geradas através de auto-referral. Trials gratuitos estendidos indefinidamente através de uma sequência de novos endereços de email. Limites de licença contornados apresentando cada utilizador simultâneo como um titular de conta distinto.
As regras de velocidade bloqueiam o operador que cria dez contas do mesmo endereço IP em trinta minutos. Não bloqueiam o operador que compreende esse limiar, usa um fornecedor de email diferente e uma VPN para cada conta, e espalha a criação por três dias. O device fingerprinting captura o segundo operador, porque o seu dispositivo é mais difícil de rodar do que o seu endereço de email ou IP. A inteligência de domínio de email captura o terceiro operador, o que também roda dispositivos, mas cuja infraestrutura de email deixa sinais que verificações baseadas em regras não conseguem detectar.
Este artigo explica como a fraude multi-conta funciona na prática em fintech e SaaS, onde as regras de velocidade deixam de fornecer sinal útil, e o que o device fingerprinting combinado com inteligência de domínio de email acrescenta à cobertura de detecção.
Como parece realmente a fraude multi-conta em fintech e SaaS
Resposta rápida: A fraude multi-conta em fintech inclui empilhamento de bónus, cultivo de recompensas de referral, contornar estruturas de taxas e circunscrever limites de levantamento ou exposição. Em SaaS é principalmente cultivo de trial gratuito e circunscrição de limites de licença. O fio condutor é uma única identidade real que se esconde por trás de múltiplas contas registadas para aceder a valor destinado a ser distribuído uma vez por pessoa.
A versão fintech do multi-accounting tem várias formas. O empilhamento de bónus é a mais directa: um bónus de registo é creditado uma vez por conta, por isso um operador que cria cinco contas e financia cada uma reclama o bónus cinco vezes. As contas podem ser financiadas da mesma conta bancária ou cartão, o que pode ser um sinal detectável na camada de pagamento, mas os operadores em escala usam múltiplas fontes de financiamento ou contas mula para mascarar essa ligação.
O cultivo de recompensas de referral é o segundo mais comum. Um programa de referral paga ao referenciador uma recompensa quando um novo utilizador se junta e atinge um limiar de actividade. Um operador que controla tanto a conta de referenciador como a conta referenciada pode gerar recompensas de referral sem qualquer aquisição real de novos utilizadores. Os ciclos de auto-referral são a versão simples; as redes coordenadas onde o operador controla muitas contas em múltiplos participantes são mais difíceis de identificar.
A evasão de estrutura de taxas é mais específica de plataformas financeiras regulamentadas. Os limites de transferência, tetos de levantamento e escalões de taxas de transacção são frequentemente estruturados por conta. Um operador que divide a sua actividade por múltiplas contas para ficar abaixo dos limiares de taxas em cada uma está a extrair valor que a estrutura de taxas foi concebida para recuperar. Os limites de exposição em plataformas de crédito ou investimento são igualmente visados: contas separadas permitem múltiplas posições que violariam os limites por conta se consolidadas.
Em SaaS o padrão é mais simples mas igualmente custoso. O cultivo de trial gratuito é a forma mais comum: um novo endereço de email gera um novo trial, e o operador percorre fornecedores de email para manter acesso contínuo a funcionalidades do tier de trial sem converter. A circunscrição de limites de licença é mais sofisticada: o operador usa uma única licença paga e distribui as credenciais de login a utilizadores adicionais, rodando quem está activo em qualquer momento para evitar accionar limites de sessões simultâneas.
O motivo económico é consistente em todos estes padrões: o operador extrai valor da plataforma a um custo abaixo do que a plataforma pretendeu cobrar por ele. A escala dessa extracção é directamente proporcional à facilidade com que podem criar e gerir múltiplas contas.
Por que a verificação de email e as regras de velocidade falham na maioria dos casos
Resposta rápida: As regras de velocidade sinalizam contas criadas em rajadas do mesmo IP ou com o mesmo padrão de email. Os serviços de email descartável derrotam as verificações de unicidade de email. As VPNs e proxies residenciais derrotam a velocidade de IP. Um operador organizado que compreende esses limiares e trabalha dentro deles, IP diferente, domínio de email diferente, contas criadas ao longo de dias em vez de horas, pode registar dezenas de contas sem accionar um único alerta.
A verificação de email prova que um endereço de email existe e que alguém tem acesso à caixa de entrada. Não prova que dois endereços de email diferentes pertencem a pessoas reais diferentes. Um serviço de email descartável como Mailinator, Guerrilla Mail, Temp Mail ou 10 Minute Mail gera uma caixa de entrada funcional em segundos. Cada caixa de entrada produz um endereço de email único que passa na validação de formato e recebe códigos de verificação. Do ponto de vista do fluxo de registo, cada um é um novo utilizador distinto. Do ponto de vista do atacante, todos são o mesmo operador.
Os operadores em escala além dos serviços de email descartável usam domínios recentemente registados. Um domínio registado há 48 horas com MX records válidos passará em cada verificação de formato e blocklist de email. O operador gera qualquer número de caixas de entrada nesse domínio e usa-as para a criação de contas. O custo do domínio é baixo; os registos que possibilita são ilimitados.
As regras de velocidade de IP são derrotadas pela rotação de proxy. Os serviços de proxy residencial fornecem acesso a endereços IP atribuídos a ligações reais de internet de consumidor, fazendo com que cada pedido pareça originar-se de um agregado familiar diferente. Um operador que roda por IPs residenciais para cada tentativa de criação de conta não accionará uma regra de velocidade por IP porque cada IP aparece apenas uma ou duas vezes.
A dimensão temporal é a lacuna mais subestimada. As regras de velocidade operam em janelas de tempo: cinco contas do mesmo IP numa hora é suspeito; uma conta do mesmo IP por dia durante cinco dias pode não ser. Um operador que cria contas a um ritmo que permanece dentro dos limiares por IP e por email, enquanto roda IPs e fornecedores de email entre registos, contorna quase todos os sistemas baseados em regras sem gerar um único alerta. O padrão só é visível em agregado, ao longo de uma janela de tempo mais longa do que as regras monitorizam.
O que o device fingerprinting acrescenta à detecção multi-conta
Resposta rápida: Um fingerprint de dispositivo é mais difícil de mudar do que um endereço de email ou endereço IP. Um operador que executa uma campanha de multi-accounting a partir do mesmo hardware deixa um fingerprint de dispositivo consistente em todos os registos, mesmo quando roda fornecedores de email e endereços IP de proxy. A correspondência de fingerprint entre contas identifica operadores de multi-conta cujos registos individuais passam em todas as verificações baseadas em regras.
O dispositivo que gera uma campanha de multi-accounting, a sua configuração de browser, características de hardware, comportamento de renderização de canvas, conjunto de fontes, sinais de timing e dezenas de outros atributos, é mais estável do que o endereço IP ou fornecedor de email que usa para cada conta. Um operador que muda o email e IP para cada conta mas usa o mesmo laptop gera o mesmo fingerprint de dispositivo em cada registo.
A correspondência de fingerprint entre contas é onde isso se torna accionável. Uma única conta com um determinado fingerprint de dispositivo não é um sinal de fraude. O mesmo fingerprint de dispositivo a aparecer em quinze registos de conta criados ao longo de sete dias, todos com endereços de email diferentes, é um sinal forte de multi-accounting, mesmo que cada registo individual tenha passado em todas as regras de velocidade. O padrão entre contas só é visível quando o sinal de fingerprint persiste e é correlacionado ao longo da janela de tempo.
O problema do anti-detect browser é uma contra-medida conhecida. Operadores que compreendem o device fingerprinting usam ferramentas como Multilogin ou Linken Sphere, que criam perfis de browser isolados com fingerprints distintos e sintetizados para cada conta. Estas ferramentas rodam com sucesso os valores de fingerprint que verificações simples de fingerprinting detectam. A detecção da cside aborda isto identificando o próprio anti-detect browser: os parâmetros de fingerprint sintetizados, os artefactos de consistência de valores gerados por perfil, e as características do ambiente de browser que distinguem um perfil de anti-detect gerido do browser de um utilizador real. Detectar que um anti-detect browser está em uso é em si mesmo um sinal negativo forte.
A combinação de correlação de fingerprint de dispositivo e detecção de anti-detect browser cobre dois perfis de operador distintos. O operador que não sabe sobre fingerprinting é capturado pela correspondência de fingerprint entre contas. O operador que usa um anti-detect browser para derrotar o fingerprinting é capturado pela detecção de anti-detect browser. Um operador que usa um dispositivo genuinamente diferente para cada conta não é capturado pela camada de fingerprint, mas enfrenta uma restrição diferente: o custo e a logística de gerir dezenas de dispositivos distintos limita quanto pode escalar sem que a camada de fingerprint também capture correlações ao nível da infraestrutura.
Para as equipas de fraude, a correlação de fingerprint de dispositivo integra-se com os fluxos de trabalho existentes de gestão de contas. O output é uma associação entre contas: estas contas partilham um fingerprint de dispositivo e são provavelmente operadas pela mesma pessoa real. A equipa analisa então a associação e toma medidas de acordo com a sua própria política.
Mais sobre o device fingerprinting e correlação entre contas da cside.
Como a inteligência de domínio de email captura as contas que o device fingerprinting falha
Resposta rápida: Um operador sofisticado o suficiente para usar um dispositivo diferente para cada registo de multi-conta resolve o problema de fingerprint, mas não resolve o problema de email. A inteligência de domínio de email da cside, listas de fornecedores descartáveis, sinais do resolver-v2 e análise LLM do Brontar, captura domínios recentemente registados, infraestrutura de hosting partilhado e domínios com aparência empresarial que o device fingerprinting não consegue ver. As duas camadas são complementares: estratégias de evasão diferentes, mecanismos de detecção diferentes.
Um operador sofisticado o suficiente para usar um dispositivo diferente para cada registo de multi-conta resolveu o problema de fingerprint, mas ainda traz a sua infraestrutura de email para o registo, e a infraestrutura que usa para gerar esses endereços deixa sinais ao nível do domínio.
A Camada 2 da inteligência de domínio de email da cside captura os casos óbvios: Mailinator, Guerrilla Mail, Temp Mail, 10 Minute Mail e centenas de fornecedores de email descartável semelhantes são bloqueados imediatamente na correspondência de domínio. Para fornecedores de throwaway bem conhecidos, isso é rápido e fiável.
O padrão mais sofisticado são os domínios recentemente registados. Um operador que regista appworklist.com dois dias antes do início da sua campanha de multi-accounting passará em todas as verificações de blocklist. O resolver-v2 captura isto avaliando a idade de registo no WHOIS juntamente com a qualidade de configuração DNS/MX/SPF/DMARC e a reputação do hosting ASN do IP resolvido. Um domínio registado há 48 horas num fornecedor de hosting com má reputação tem um perfil de risco materialmente diferente de um domínio registado há dois anos com um fornecedor de email bem estabelecido, mesmo que ambos passem nas verificações de formato e blocklist.
A camada do Brontar trata o terreno intermédio ambíguo: domínios que não são suficientemente recentes para o resolver-v2 sinalizar com confiança, mas que ainda não representam negócios reais em operação. O Brontar realiza uma web search no domínio para avaliar se existe qualquer presença empresarial coerente, resolve o domínio para o seu IP, realiza reverse DNS nesse IP para identificar co-hosted domains, e faz correlação cruzada desses domínios contra o corpus de infraestrutura associada a fraude da cside. Um operador que registou o seu domínio há três meses mas não tem presença web e partilha um ambiente de hosting com quinze outros domínios registados na mesma semana tem um perfil muito diferente de um negócio real.
O resultado operacional é que a inteligência de domínio de email da cside captura operadores de multi-conta no registo com base na sua infraestrutura de email, mesmo quando os seus sinais de dispositivo parecem limpos. Combinado com o device fingerprinting, as duas camadas cobrem as estratégias de evasão mais comuns: mesmo dispositivo com email diferente (o fingerprint captura), dispositivo diferente com padrão de infraestrutura de email semelhante (a inteligência de email captura).
Para equipas que gerem populações de contas existentes, a combinação também permite análise retroactiva: executar as verificações de inteligência de domínio de email contra os endereços de email históricos na base de dados de contas identifica clusters de contas que foram criadas com os mesmos sinais de infraestrutura de email, mesmo que esses sinais não tenham sido avaliados no momento do registo.
O que isso significa para as equipas de fraude e crescimento
Resposta rápida: A detecção de multi-conta da cside opera no registo e em toda a população de contas existente. No registo, a inteligência de domínio de email e o fingerprinting de sessão de browser impedem a criação de contas duplicadas. Nas contas existentes, a correlação de fingerprint de dispositivo identifica contas que já foram criadas a partir do mesmo hardware. Ambos os outputs alimentam o mesmo sinal de risco com que a equipa de fraude já actua.
A detecção no momento do registo é a intervenção de maior alavancagem. O momento certo para parar um operador de multi-conta é antes de existir a sua segunda conta. Cada conta criada antes da detecção estende o período durante o qual o operador pode extrair valor, e cada conta requer trabalho de remediação após os factos. Os sinais de tempo de registo da cside, inteligência de domínio de email e fingerprinting de sessão de browser, são executados antes de a criação da conta ser concluída, dando à equipa de fraude a opção de bloquear ou sinalizar o registo antes de o valor ser acedido.
A correlação entre contas aborda as contas que já existem. Em qualquer população de contas com dados de registo históricos, a correlação de fingerprint de dispositivo entre contas criadas ao longo da mesma janela de tempo identifica clusters de prováveis operadores de multi-conta. Isso é particularmente útil para plataformas que implementaram detecção depois de uma campanha de multi-accounting já ter começado: a análise retroactiva identifica quais as contas existentes a rever.
A questão de calibração de risco difere significativamente entre fintech e SaaS. Uma plataforma fintech para consumidores onde o multi-accounting gera pagamentos directos de bónus tem urgência elevada e baixa tolerância a falsos positivos. Uma SaaS de ferramentas para developers onde o cultivo de trial gratuito atrasa a conversão mas não gera perdas directas tem urgência diferente e tolerância diferente. O limiar de confiança do Brontar e o tratamento de veredictos de baixa confiança podem ser ajustados ao perfil de risco específico de cada plataforma.
Para as equipas de crescimento, a integração com a gestão de programas de referral é particularmente relevante. A detecção de fraude de referral requer os mesmos sinais que a detecção de multi-accounting: a correlação de fingerprint entre contas identifica ciclos de auto-referral; a inteligência de domínio de email identifica destinatários de convites de referral que operam a partir da mesma infraestrutura de email que o referenciador. A detecção no passo de referral em vez de após o pagamento da recompensa é materialmente mais barata operacionalmente.
Na monitorização de fingerprint entre contas da cside, o padrão de multi-conta mais consistente é o mesmo fingerprint de dispositivo a aparecer em registos que usam fornecedores de email diferentes em domínios criados dentro da mesma janela de 72 horas. A rotação de infraestrutura de email é quase universal entre operadores organizados; a rotação de hardware é rara. Esta assimetria é o que torna a correlação de fingerprint entre contas a camada de detecção de maior sinal para campanhas organizadas de multi-accounting, particularmente nos contextos de fintech e SaaS onde as regras de velocidade já foram derrotadas.
A questão de gestão de falsos positivos é importante para plataformas onde se espera uso em múltiplos dispositivos. A correlação de fingerprint de dispositivo da cside distingue entre um único utilizador em múltiplos dispositivos (contexto de utilizador consistente entre fingerprints, mesma localização geográfica, mesmos padrões de sessão) e múltiplos operadores no que se apresenta como uma única conta (perfis de dispositivo distintos, potencialmente localizações geográficas diferentes, comportamentos de sessão diferentes). O output de pontuação de confiança encaminha casos limítrofes para uma fila de revisão em vez de um bloqueio automático.
A cside é certificada SOC 2. O posicionamento de segurança completo está documentado em trust.cside.com.
