23 dicembre 2024
iProov, leader mondiale nella fornitura di soluzioni scientifiche per la verifica dell'identità biometrica, ha scoperto un'importante operazione nel dark web interamente incentrata sui metodi di aggiramento KYC, come illustrato nel suo aggiornamento trimestrale delle notizie sulle minacce per il quarto trimestre 2024. Questa scoperta, che rappresenta un approccio sofisticato per compromettere i sistemi di verifica dell'identità attraverso la raccolta sistematica di documenti e immagini d'identità autentici, dimostra la natura in evoluzione delle minacce di frode d'identità.
Questa scoperta è stata fatta dal servizio Biometric Threat Intelligence di iProov. Il servizio comprende ampie operazioni di caccia alle minacce e test red team all'interno dell'iProov Security Operations Center (iSOC) per fornire alle organizzazioni un'analisi dettagliata degli strumenti e delle tecniche emergenti di frode d'identità e delle strategie difensive essenziali.
Risultati principali
L'iSOC ha scoperto un gruppo del dark web che sta accumulando una notevole collezione di documenti d'identità e immagini facciali corrispondenti, specificamente progettate per eludere i processi di verifica Know Your Customer (KYC). Piuttosto che un furto tradizionale, queste identità potrebbero essere state ottenute attraverso una partecipazione compensata, con individui che forniscono volontariamente la loro immagine e la loro documentazione in cambio di un pagamento. Questo gruppo opera nella regione LATAM, ma schemi operativi simili sono stati osservati nelle regioni dell'Europa orientale, anche se i collegamenti diretti tra i due gruppi non sono ancora stati confermati. Le forze dell'ordine della regione LATAM sono state informate delle scoperte di iProov.
"Ciò che è particolarmente allarmante di questa scoperta non è solo la natura sofisticata dell'operazione, ma il fatto che gli individui compromettano volontariamente la propria identità per un guadagno finanziario a breve termine", afferma Andrew Newell, Chief Scientific Officer di iProov. "Quando le persone vendono i propri documenti d'identità e i propri dati biometrici, non rischiano solo la propria sicurezza finanziaria, ma forniscono ai criminali pacchetti di identità completi e autentici che possono essere utilizzati per sofisticate frodi di impersonificazione. Queste identità sono particolarmente pericolose perché includono sia documenti reali che dati biometrici corrispondenti, rendendole estremamente difficili da individuare attraverso i metodi di verifica tradizionali.''.
Impatto sui sistemi di verifica dell'identità
Questa scoperta evidenzia la sfida a più livelli che i sistemi di verifica devono affrontare. Le organizzazioni hanno bisogno di sistemi in grado di rilevare non solo i documenti falsi, ma anche le credenziali autentiche utilizzate impropriamente da persone non autorizzate.
Suddivisione del processo
Verifica del documento: Mentre la verifica tradizionale dei documenti è in grado di rilevare documenti falsificati o alterati, questa operazione utilizza documenti d'identità autentici, rendendo insufficiente il rilevamento standard delle falsificazioni.
Corrispondenza facciale: la raccolta comprende immagini facciali legittime abbinate ai corrispondenti documenti d'identità, potenzialmente in grado di sconfiggere i sistemi di corrispondenza facciale di base che si limitano a confrontare una foto inviata con un documento d'identità.
Rilevamento della vivacità: Gli attacchi di verifica dell'identità mostrano chiari modelli di sofisticazione, che vanno da tentativi di base a metodologie altamente avanzate. La comprensione di questo spettro aiuta le organizzazioni a preparare meglio le loro difese.
- Metodi di attacco di base: Gli aggressori di livello base utilizzano tecniche semplici come foto stampate, immagini statiche e manipolazioni fotografiche di base dei documenti d'identità. Possono riprodurre registrazioni di sessioni di verifica legittime, che funzionano solo contro i sistemi di base senza rilevamento della vivacità.
- Sofisticazione degli attacchi di medio livello: Gli aggressori di medio livello utilizzano software di face-swap e deepfake in tempo reale, spesso con documenti d'identità autentici. Manipolano l'illuminazione e utilizzano più dispositivi, ma devono comunque affrontare le sfide dei sistemi di rilevamento della presenza di persone con rilevamento di attacchi di tipo digital injection.
- Metodi di attacco avanzati: Gli aggressori più sofisticati utilizzano modelli di intelligenza artificiale personalizzati e software specializzati per creare volti sintetici che rispondono alle sfide di vivacità. Questi metodi complessi prevedono la modellazione 3D e l'animazione in tempo reale, spesso cercando di sfruttare l'infrastruttura sottostante dei sistemi di verifica.
Raccomandazioni chiave per le organizzazioni
Le organizzazioni devono implementare un approccio di verifica a più livelli che confermi:
- La persona giusta: Corrispondenza tra l'identità presentata e i documenti ufficiali
- Una persona reale: Analisi delle immagini e dei metadati incorporati per rilevare i media dannosi
- In tempo reale: Una sfida-risposta unica per garantire la verifica in tempo reale
- Rilevamento e risposta gestiti: Combinazione di tecnologie e intelligence per rilevare, rispondere e ridurre le minacce sui sistemi di verifica. Include il monitoraggio continuo, la risposta agli incidenti e la ricerca proattiva delle minacce. Sfruttando le conoscenze e le competenze specialistiche per decodificare i potenziali scenari e costruire in modo proattivo le difese per mitigarli.
Questo approccio a più livelli rende esponenzialmente più difficile per gli aggressori riuscire a falsificare i sistemi di verifica dell'identità, indipendentemente dal loro livello di sofisticazione. Anche gli attacchi più avanzati faticano a sconfiggere contemporaneamente tutte queste misure di sicurezza, mantenendo le caratteristiche naturali di un'autentica interazione umana.
Risorse di intelligence sulle minacce
Per ulteriori approfondimenti su questa e altre minacce emergenti alle frodi d'identità, registratevi per ricevere gli aggiornamenti sulle informazioni sulle minacce di iProov su www.iproov.com/threat-insights.