Blog

7 passos para impedir fraudes de tomada de conta (para empresas de Viagens)

O MFA é contornado por kits de phishing avançados. Veja as melhores práticas, sinais de fingerprint e ferramentas que equipes de fraude em Viagens realmente usam para deter ATO.

Apr 19, 2026 • 11 min read

Juan Combariza Growth Marketer

7 passos para equipes de sites de Viagens pararem fraudes de ATO - cside - capa do blog

Resumo

Contas em sites de viagens são alvos prioritários de ATO, pois contêm informações de pagamento armazenadas e **programas de pontos de fidelidade menos seguros do que os fluxos da conta principal. A LSA reportou que US$ 3,1 bilhões em pontos de fidelidade resgatados são fraudulentos anualmente.
A fraude de ATO é custosa. Chargebacks podem ultrapassar US$ 2.000 para empresas de viagens. Empresas como Booking[.]com enfrentaram repetidamente ataques de ATO entre 2020 e 2025.
As melhores práticas de prevenção incluem MFA baseado em risco (com regras que consideram viagens internacionais como comportamento normal), fortalecimento dos fluxos de recuperação de contas de fidelidade em vez de apenas o login, e uso de sinais de fingerprinting para detectar tentativas de ATO cedo.
A maioria das empresas de viagens combina três tipos de ferramentas: MFA e verificação de identidade (Duo, Ping Identity), fingerprinting de dispositivos e detecção de bots (cside, HUMAN Security), e suítes antifraude (Sift, Forter).

O que é fraude de tomada de conta em sites de viagens?

Gráfico de definição de fraude de tomada de conta em Viagens - cside

A fraude de tomada de conta acontece quando um invasor obtém acesso à conta de um cliente real e a utiliza para fraude ou abuso. Em viagens, isso geralmente começa por um dos seguintes pontos de entrada:

Credential stuffing com senhas reutilizadas, phishing disfarçado de comunicações oficiais de empresas de viagens, ou fluxos fracos de recuperação de senha.

Na maioria dos setores, o ATO leva à fraude de pagamento. Em viagens, também inclui fraude de fidelidade. Os invasores esvaziam milhas de programas de passageiro frequente ou transferem pontos de hotel para contas descartáveis.

Isso também não é um problema de nicho. O relatório da EY afirma que o valor global dos pontos de fidelidade ultrapassa US$ 200 bilhões. Fraudes relacionadas a ATO podem levar aproximadamente 150 a 180 dias para serem investigadas.

Por que contas em sites de viagens são alvos de ATO

Para um invasor, uma conta de viagens comprometida é um dos alvos de maior retorno disponíveis online. Veja o que eles acessam em uma única violação:

Moedas de fidelidade, métodos de pagamento armazenados habilitados para compras de alto valor, e dados pessoais ricos como números de passaporte.

O comportamento dos usuários também não ajuda. A maioria reutiliza senhas em várias plataformas, e poucos tratam o login de hotel ou companhia aérea com o mesmo cuidado que dariam a uma conta bancária. Muitos usuários só criam uma conta às pressas no final de uma sessão de reserva quando solicitados pela plataforma. Checkout rápido, métodos de pagamento salvos e sessões persistentes ampliam a superfície de ataque.

É por isso que os invasores têm como alvo sites de viagens (companhias aéreas, redes hoteleiras como Hilton e Marriott, e plataformas de reservas como Expedia e Booking[.]com).

Melhores práticas para sites de viagens e hospitalidade para impedir fraudes de tomada de conta

1. Exija MFA nos momentos certos

Acione verificação step-up para logins incomuns: Novo dispositivo, IP desconhecido, país diferente. Lembre-se de que, em sites de viagens, clientes fazem login de países diferentes de forma legítima. Sinalize a combinação de sinais, não apenas um único.
MFA baseado em risco funciona melhor do que regras genéricas.

2. Proteja os fluxos de redefinição de conta

Limite a taxa de solicitações de redefinição de conta: Uma rajada de redefinições direcionadas a múltiplas contas sinaliza credential stuffing.
Não dependa apenas de recuperação por e-mail: Se a caixa de entrada estiver comprometida, a conta está perdida. Adicione verificação de dispositivo ou um método de contato secundário.

Contas de programas de fidelidade frequentemente têm fluxos de recuperação mais fracos do que a conta principal de reservas. Equipe diferente, sistema diferente, valor igual (ou maior). Elas precisam da mesma proteção.

3. Use sinais baseados em risco para detectar ATO

Sinais de dispositivo e navegador: Fingerprinting, configuração do navegador e elementos como resolução de tela estabelecem uma linha de base por usuário.
Sinais de rede: Uso de VPN, detecção de proxy, reputação de IP, incompatibilidades de geolocalização.
Padrões comportamentais: Uma sessão que faz login e navega imediatamente para transferências de fidelidade se comporta de forma muito diferente de alguém navegando por destinos.
Sinais de alerta comuns: Padrões de viagem impossíveis, múltiplas contas a partir de um único dispositivo, login em novo dispositivo seguido de alterações imediatas na conta.

4. Detecte tentativas automatizadas de ATO cedo

Navegadores stealth e bots de IA imitam o comportamento real do usuário bem o suficiente para contornar CAPTCHAs e detecção básica de bots (o uso de navegadores stealth cresceu 11x em 2025). Medidas mais avançadas são necessárias para detectar credential stuffing e testes automatizados de login cedo:

Limitação de taxa baseada em IP sozinha não é suficiente: Proxies residenciais fazem o tráfego automatizado parecer legítimo.
Detecção especializada: O fingerprinting de navegador detecta incompatibilidades de navegador, inconsistências de dispositivo e insights comportamentais que indicam atividade de ATO conduzida por IA.

5. Crie planos de resposta para ataques de ATO

Desafiar: Apresente autenticação step-up para dar ao titular legítimo da conta um caminho de retorno.
Notificar: Alerte o cliente sobre possível adulteração da conta.
Bloquear: Congele transferências de fidelidade, alterações de reservas e atualizações de métodos de pagamento em contas sinalizadas.
Investigar: Revise o que foi alterado. Novo e-mail, pontos transferidos, novas reservas ou perfis de viajantes modificados.

Múltiplas transferências de pontos de fidelidade especificamente devem ter uma verificação secundária. Semelhante à forma como os bancos lidam com transferências bancárias.

6. Ajuste os limites de fraude com base em padrões históricos

Viagens de inverno, picos de verão e férias de carnaval afetam o que parece um comportamento de login "normal". Mais logins transfronteiriços, mais dispositivos novos, volumes maiores de reservas.

Revise os padrões de login sazonais anteriores antes de cada período de pico
Ajuste as regras de detecção e os limites antes dos períodos de alto volume
Reajuste após cada pico com base no que realmente aconteceu — não no que você previu

Considere também grandes eventos que criam picos regionais (Olimpíadas, Copa do Mundo, grandes festivais).

7. Certifique-se de que seu site não está vazando credenciais de usuários

Injeções de código são um dos vetores de ATO mais negligenciados. Invasores podem injetar scripts maliciosos diretamente no seu site que sequestram formulários de login ou páginas de reservas para roubar credenciais enquanto tudo parece normal para suas ferramentas de segurança de servidor/API.

A FTC observa que 416.582 casos de roubo de identidade nos EUA foram facilitados por skimming digital em um único ano.

Monitore continuamente todos os scripts de terceiros e próprios. Tags de terceiros, snippets de analytics, pixels de anúncios e widgets web introduzem código que você não controla totalmente. Qualquer um deles pode ser comprometido e transformado em um ponto de exfiltração de credenciais.
Use uma plataforma de segurança web como o cside para automatizar o monitoramento de scripts do lado do cliente. O cside Client-side Security monitora tentativas de exfiltração de dados e injeções de código direcionadas a páginas de login, fluxos de reservas e páginas de pontos de fidelidade.

Melhores ferramentas de prevenção de tomada de conta para sites de viagens

Cobrir o ATO de ponta a ponta geralmente requer mais de uma ferramenta. A maioria das empresas de viagens constrói sua stack em três categorias.

MFA / verificação de identidade: Adiciona uma segunda camada além das senhas. Códigos de uso único por e-mail, SMS ou aplicativos autenticadores são uma primeira linha de defesa. Auth0 e Duo são amplamente utilizados.
Fingerprinting / detecção de bots: Rastreia sinais de dispositivo, navegador e comportamento para identificar credential stuffing e abuso automatizado de login. Também fornece sinais brutos para suas regras de fraude identificarem sessões suspeitas que indicam ATO. cside e HUMAN Security são opções sólidas para viagens. Sites de viagens já lidam com tráfego intenso de bots de raspagem de tarifas e verificadores de disponibilidade, então a detecção de bots resolve múltiplos problemas ao mesmo tempo.
Suítes antifraude: Pontuam o risco em login, reservas e atividades pós-transação em uma única plataforma. Geralmente são plataformas voltadas para empresas que buscam resolver vetores de fraude de ponta a ponta, mas oferecem menos flexibilidade. Sift e Forter são bem estabelecidos para empresas de viagens.

Exemplos reais de ataques de ATO em sites de viagens

Em abril de 2026, o Booking[.]com confirmou que invasores estavam acessando dados de reservas de clientes por meio de contas de parceiros hoteleiros comprometidas. Os invasores enviaram e-mails para funcionários de parceiros hoteleiros se passando pelo Booking[.]com para induzir os funcionários a executar malware. Em seguida, contataram os clientes diretamente, se passando pelo hotel, exigindo pagamento adicional ou verificação de cartão usando dados reais de reservas para parecerem legítimos.

Um ATO mais típico em viagens se parece com isso: Um cliente reutiliza uma senha em uma conta de fidelidade de companhia aérea. Esse par de credenciais aparece em um vazamento de dados. Um invasor executa tentativas automatizadas de login durante um pico de viagens de feriado. Um login funciona. Pela manhã, o e-mail da conta foi alterado, 85.000 milhas transferidas para uma conta descartável, e uma passagem de classe executiva reservada no cartão armazenado. O cliente descobre quando o saldo de pontos aparece zerado.

Por que a tomada de conta é importante para sites de viagens

O ATO não é apenas um problema de segurança. Ele afeta receita, operações, confiança da marca e conformidade simultaneamente:

Perdas por fraude: Os invasores esvaziam saldos de fidelidade (milhas, pontos, certificados de acompanhante, créditos de upgrade), reservam viagens em cartões armazenados e revendem reservas. A Loyalty Security Association reportou que US$ 3,1 bilhões em pontos de fidelidade resgatados são fraudulentos anualmente, levando a ~US$ 1 bilhão em perdas diretas.
Chargebacks e disputas. Transações de viagens são de alto valor. Uma única reserva fraudulenta pode gerar um chargeback de mais de US$ 2.000, e companhias aéreas e OTAs arcam com esses custos porque é uma fraude genuína em uma conta real.
Confiança e retenção de clientes: Nos EUA, 83% dos consumidores afirmam que reduzirão os gastos com uma empresa após uma violação.
Carga de suporte e operações: Onda de redefinições de senha, solicitações de recuperação de conta, revisões manuais de reservas e remarcações para clientes afetados.
Exposição a conformidade e regulamentações: PCI DSS para dados de pagamento armazenados e GDPR para informações pessoais de viajantes da UE.
Implicações para o seguro cibernético: As seguradoras avaliam cada vez mais a adoção de MFA, controles de acesso e postura de prevenção de fraudes durante a subscrição.

O papel do fingerprinting na detecção de tomada de conta

Quando um invasor já tem credenciais válidas, as senhas são inúteis como defesa. Se ele consegue interceptar um código de uso único, o MFA também falha. O fingerprinting de navegador adiciona uma camada de detecção abaixo de ambos que é mais difícil de contornar.

Coleta de sinais de ATO: Fingerprint do navegador, identificadores de hardware, propriedades de tela e metadados de rede formam uma linha de base para cada visitante. Quando partes dessa linha de base não correspondem (fuso horário incompatível, sinais de navegador headless), isso alerta sobre uma sessão suspeita.
Detecte tentativas automatizadas de ATO cedo: Um dispositivo percorrendo dezenas de combinações de usuário e senha. Um navegador se apresentando como Chrome no macOS, mas rodando em um ambiente Linux headless. Solicitações de login em velocidade inumana a partir de proxies rotativos. O fingerprinting detecta bots de credential stuffing que escapam de CAPTCHAs e limitadores de taxa.

Por que o cside é a melhor opção de fingerprinting para empresas de sites de viagens

Imagem do painel de atividade de sessão de fingerprint do cside

O cside combina fingerprinting de navegador com monitoramento de integridade de JavaScript, oferecendo às empresas de viagens tanto detecção de ATO quanto detecção de web skimming em uma única plataforma.

Detecção de bots de IA maliciosos: Detecta navegadores headless que imitam o comportamento real do usuário para contornar defesas tradicionais contra bots e executar credential stuffing em escala.
Protege as páginas que os invasores mais visam: Protege páginas de reservas, portais de contas de fidelidade e fluxos de pagamento contra skimming, exfiltração de dados e sequestro de sessão. O cside é uma solução líder para monitoramento de scripts PCI DSS 4.0.1.
Monitoramento de scripts de terceiros: Monitora cada script em execução no seu site (código de terceiros, ferramentas de acessibilidade, widgets de reservas, ferramentas de analytics, pixels de anúncios, tags de afiliados) e sinaliza quando qualquer um deles começa a exfiltrar credenciais ou dados de pagamento.
Integração voltada para desenvolvedores: Sinais brutos de fingerprint via API para regras de fraude personalizadas, além de agrupamentos de sinais curados prontos para uso imediato.

Para começar com o cside, cadastre-se ou agende uma demonstração.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

A maioria das empresas de viagens usa uma combinação de três categorias: provedores de MFA como Duo ou Ping Identity para autenticação step-up, ferramentas de fingerprinting de dispositivos e detecção de bots como cside ou HUMAN Security para identificar atividades de ATO cedo, e suítes antifraude como Sift ou Forter para pontuação de risco em login, reservas e atividades pós-transação.

Comece com MFA baseado em risco. Ajuste as regras para considerar o acesso internacional legítimo. Clientes fazem login de países diferentes por razões legítimas, então regras baseadas apenas em geolocalização geram falsos positivos. Use fingerprinting de dispositivos e sinais comportamentais para identificar logins suspeitos (ou tentativas de login) e credential stuffing. Fortaleça também os fluxos de recuperação de conta, especialmente em contas de fidelidade. A maioria das equipes foca na segurança do login e esquece que a redefinição de senha costuma ser o caminho mais fácil para invasores.

Sinais no nível do dispositivo tendem a ser os mais fortes: um login com fingerprint desconhecido, um navegador que não corresponde ao que afirma ser, ou um único dispositivo acessando várias contas não relacionadas em um curto período. Depois há os sinais comportamentais. Se alguém faz login e vai direto para transferências de pontos de fidelidade sem navegar por destinos, isso é uma sessão suspeita.

Sim. O cside oferece uma API de fingerprinting que fornece sinais brutos de dispositivo, navegador e rede para integrar à sua própria pontuação de fraude. Também há agrupamentos de sinais pré-configurados para sinalizar sessões de alto risco imediatamente. O cside também cobre ameaças do lado do cliente, como injeção de scripts e sequestro de sessão, que APIs de fingerprinting independentes não abordam.

Contas de viagens são valiosas porque contêm moedas de fidelidade que podem ser transferidas ou revendidas quase instantaneamente, métodos de pagamento armazenados vinculados a reservas de alto valor, e dados pessoais incluindo detalhes de passaporte e perfis de viajantes. Ao mesmo tempo, muitas plataformas de viagens priorizam a facilidade de reserva em detrimento da segurança, e as contas de programas de fidelidade em particular costumam ter autenticação mais fraca do que o fluxo principal de reservas.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

escudo de segurança cside a monitorizar o percurso do cursor do browser — deteção de agentes de IA na camada do browser

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.

DBSC versus fingerprint de dispositivo: o que a segurança de sessão do Chrome não cobre

O DBSC do Chrome impede o reuso de cookies roubados, mas é só Chrome, pós-login e sem identidade de dispositivo. Veja a fraude que ele deixa.

Detetar e bloquear o Perplexity Shopper no seu site — blog cside

Como bloquear o Perplexity Shopper no seu site

O Perplexity Shopper navega e compra em sites de retalho em nome de utilizadores Pro. Aprenda a detetar os seus sinais e a governar esse tráfego.

Ilustração de um pedido à API da Claude e de uma resposta devolvida que pertence a outro utilizador, marcada como «a resposta não corresponde ao pedido», entre os logótipos da Anthropic e da cside

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.

Uma janela de navegador a dissolver-se num fluxo de partículas de luz azul sobre um fundo escuro

A IA está a comprimir o ciclo de exploração: o zero-day desenvolvido por IA da Google e o que isso significa para os navegadores

A Google sinalizou um zero-day que acredita ter sido criado por IA. A verdadeira mudança não é o phishing, é a rapidez com que chega ao navegador.

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.