A transformação digital expandiu significativamente a forma como as pessoas interagem com bancos e empresas de serviços financeiros. A tecnologia tornou a integração a partir do sofá da casa do consumidor tão viável quanto a de uma agência local presencial.
Por um lado, o desenvolvimento de tecnologias de verificação e autenticação remotas abriu as portas para serviços bancários on-line e outras experiências digitais que são mais simples e convenientes para as pessoas. Por outro lado, também aumentou a responsabilidade por fraudes.
Além disso, a tecnologia sofisticada com o poder de criar identidades sintéticas on-line gerou novos desafios. Deepfakes, documentos de identidade (IDs) sintéticos e ataques de injeção digital deram aos malfeitores as ferramentas para causar estragos em escala.
Para acompanhar os fraudadores, os provedores de serviços financeiros devem fortalecer seus fluxos de trabalho de integração e autenticação com uma tecnologia de verificação eficaz e precisa.
Novas tecnologias não regulamentadas introduzem comprometimentos de identidade sintética
Embora o roubo de identidade tradicional esteja em ascensão, sendo responsável por US$ 52 bilhões em perdas e afetando 42 milhões de adultos somente nos EUA em 2021, os bancos também enfrentam uma ameaça nova e mais complicada: a fraude de identidade sintética (SIF).
Enquanto a fraude de identidade tradicional geralmente se baseia no uso de informações roubadas, a fraude de identidade sintética envolve a criação de uma "pessoa" - uma identidade totalmente nova - que não existe, misturando informações de identificação pessoal (PII) roubadas, fictícias ou manipuladas.
Como as identidades sintéticas são criadas:
- Os fraudadores criam um documento de identidade falso detalhado. Essas informações podem ser uma mistura e combinação de informações reais, roubadas e falsas - por exemplo, um número de seguro social roubado combinado com um nome totalmente falsificado ou um endereço ligeiramente modificado.
- Em seguida, eles criam imagens sintéticas que correspondem à foto do documento de identidade ilegítimo. Eles usarão essa combinação para tentar contornar o processo de verificação de identidade de uma organização.
Os fraudadores geralmente constroem alguma forma de crédito ou histórico bancário como parte do processo. Isso pode envolver, por exemplo, o esgotamento de suas linhas de crédito, o que torna quase impossível para os bancos ou instituições financeiras saberem se esses indivíduos estão simplesmente enfrentando desafios financeiros (por exemplo, perda de emprego) ou se são um mau ator cometendo atividades ilegais - até que seja tarde demais.
Essa variação emergente de fraude trabalha especificamente para contornar os documentos de identidade e a tecnologia de verificação biométrica - o padrão atual de verificação de identidade digital - e é quase impossível de ser detectada somente por meio de verificações de dados (por exemplo, verificação de identidade com uma agência de crédito). O combate a esse tipo de fraude exige um "golpe duplo": uma abordagem de verificação de documentos de identidade e tecnologias biométricas trabalhando juntas para evitar esses tipos de ameaças sofisticadas.
O que são imagens sintéticas? Por que as ameaças sintéticas, como IA generativa e deepfakes, são uma preocupação crescente?
Conforme mencionado, um método comum de fazer com que as identidades sintéticas pareçam reais é usar imagens sintéticas. Os criminosos podem usar a tecnologia para criar fotos ou vídeos realistas que foram manipulados digitalmente para substituir a semelhança de uma pessoa por outra, ou até mesmo para "criar" pessoas que não existem. A IA generativa e as falsificações profundas são ferramentas extremamente poderosas para impulsionar o sucesso da fraude de identidade sintética.
Um deepfake é uma gravação de vídeo que foi distorcida, manipulada ou criada sinteticamente usando técnicas de aprendizagem profunda para apresentar uma representação de alguém gerada por IA, como uma máscara digital. Algumas das variações mais sofisticadas de deepfakes são quase indistinguíveis de um rosto real, incluindo o movimento natural dos olhos e da boca. O uso da tecnologia deepfake em fraudes de identidade sintética abrange desde ataques de apresentação até ataques de injeção digital - ambos tentam contornar a verificação facial.
Os bancos de todo o mundo adotaram rapidamente a verificação facial, pois ela surgiu como o método mais seguro de proteger uma identidade on-line, em detrimento de métodos comoditizados, mais fracos e inconvenientes, como senhas e OTPs. A verificação facial tornou-se parte integrante da experiência bancária digital e, de acordo com uma pesquisa da iProov64% dos consumidores globais que usam serviços bancários móveis já utilizam a verificação facial para acessar suas contas ou fariam isso se pudessem.
Por isso, é essencial que qualquer solução de integração digital possa vincular de forma robusta as identidades digitais a indivíduos do mundo real. A solução Microblink-iProov confirma que um ser humano genuíno está verificando seu documento de identidade confiável em tempo real e que o documento não foi adulterado. Isso evita identidades sintéticas durante a integração, antes que elas entrem no sistema.
Ataques de apresentação vs. ataques de injeção digital
Há uma variedade de ataques de apresentação que os criminosos podem implementar para tentar obter acesso ilegal à conta ou aos privilégios de um usuário. Além da tentativa física de se passar por um usuário genuíno, os ataques de apresentação também podem envolver um artefato sendo colocado em frente a uma câmera voltada para o usuário. Um malfeitor também pode criar um deepfake e, em seguida, mostrar esse vídeo, por meio de outra tela, para o dispositivo que está concluindo a verificação facial.
Os ataques de injeção digital aproveitam o mesmo nível de tecnologia deepfake, mas envolvem o fraudador redirecionando o feed do vídeo de verificação para uma câmera baseada em software, injetando um deepfake no fluxo de dados do aplicativo ou até mesmo aproveitando um emulador para imitar um dispositivo do usuário.
O recente relatório de inteligência contra ameaças da iProov revelou que os ataques de injeção foram cinco vezes mais frequentes do que os ataques de apresentação persistente na Web em 2022. Além disso, a detecção de vivacidade (ou seja, técnicas para determinar se a fonte de uma amostra biométrica é um ser humano vivo ou uma representação falsa) é relativamente confiável na detecção de ataques de apresentação tradicionais, o que torna os ataques de injeção digital o foco dos fraudadores mais habilidosos.
Os deepfakes se tornam ainda mais perigosos quando são empregados em ataques de injeção digital, pois podem ser dimensionados e automatizados muito rapidamente para causar danos significativos.
Como combater os ataques de imagens sintéticas e injeção digital
Embora a maioria das tecnologias biométricas envolva algum nível de detecção de vivacidade para verificar a identidade de um indivíduo, a detecção de vivacidade por si só não consegue detectar um ataque de injeção digital. Para combater a combinação de deepfakes e ataques de injeção digital, as instituições de serviços financeiros precisam de uma abordagem robusta e multifacetada, que aproveite a criação de uma biometria única.
A solução de integração digital da Microblink e da iProov utiliza tecnologia biométrica única para garantir que qualquer pessoa que tente verificar sua identidade esteja fazendo isso em tempo real e não usando imagens sintéticas.
Como? Iluminando o rosto do indivíduo com uma sequência exclusiva de cores que não pode ser reproduzida ou manipulada sinteticamente. Isso garante que o usuário está se autenticando no momento - não é um ataque de apresentação usando uma foto ou máscara, e também não é um ataque injetado digitalmente usando uma repetição de uma autenticação anterior ou um vídeo sintético, como um deepfake. Ele também analisa informações multidimensionais derivadas da maneira como o rosto se comporta e como a luz é refletida em um rosto, o que pode revelar imagens sintéticas.
As identificações sintéticas aumentam a complexidade e o risco
Antes da explosão dos serviços bancários on-line, a fraude de identidade tradicional era limitada em escala, com uma pessoa apresentando uma identidade roubada de cada vez. O processo era lento e a vigilância dos funcionários internos era fundamental para combater a fraude e mitigar os riscos.
Com as IDs sintéticas e o surgimento de deepfakes, os fraudadores podem ampliar o escopo de suas tentativas e fazer isso em um ritmo mais rápido do que nunca.
As IDs sintéticas são especialmente perigosas, pois permitem a produção de inúmeras "pessoas" que um fraudador pode se passar por elas. Em um exemplo do relatório da relatório do iProovcerca de 200 a 300 ataques foram lançados globalmente do mesmo local em um período de 24 horas, em uma tentativa indiscriminada de contornar os sistemas de segurança de uma organização.
Os ataques de agentes de ameaças estão se tornando mais escalonáveis e automatizados, e as imagens sintéticas usadas para reforçar verificações fraudulentas estão se tornando mais indiscerníveis da realidade para o olho humano. É por isso que as organizações precisam das tecnologias mais avançadas de verificação biométrica e de documentos de identidade para combater as ameaças.
Combata as identificações sintéticas com um melhor escaneamento de identidade
Com os agentes mal-intencionados aproveitando uma combinação de informações reais e fraudulentas para criar documentos de identidade sintéticos, uma simples varredura não será mais suficiente.
É aí que a captura, a extração e a verificação de identidades orientadas por IA podem se sobressair. Uma abordagem baseada em IA pode entender o contexto completo do documento de identidade que está sendo digitalizado, fornecendo consistência de dados e verificações de validação em todas as informações extraídas e procurando sistematicamente defeitos visuais ou anomalias para oferecer um nível maior de garantia.
Ao adotar uma abordagem orientada por dados que combina inspeção forense e não forense de diversos documentos de identidade, bem como detecção de vivacidade que cria uma biometria única, sua empresa pode ter certeza de que os documentos de identidade do usuário são genuínos.
Por fim, a flexibilidade e o aprendizado contínuo de uma solução baseada em IA garantem que ela possa extrair e verificar a grande maioria dos tipos de identificação e variedades geográficas, garantindo que você não sacrifique a flexibilidade e a experiência do usuário final ou a facilidade de uso em favor da segurança e da confiança.
A redução de riscos requer os parceiros tecnológicos certos
A combinação de identidades sintéticas e seus respectivos IDs, juntamente com as falsificações profundas, está introduzindo mais riscos nos processos de integração digital para organizações de todos os tamanhos e setores.
Sem uma pilha de tecnologia que ajude a proteger contra a sofisticação desses métodos de fraude novos e aprimorados, os riscos para os provedores de serviços financeiros incluem perda de receita, boa vontade do cliente e penalidades regulatórias.
Aproveitando as tecnologias de captura, extração e verificação de ID baseadas em IA, como as oferecidas pela Microblink - juntamente com soluções de escaneamento biométrico único como a iProov - permite uma experiência de integração digital mais segura. A combinação da garantia e da flexibilidade dessas tecnologias comprovadas pode ajudar a combater o perigo crescente de fraudes financeiras.
