A fraude Deepfake é uma crise - FinCEN soa o alarme. Eis como as instituições financeiras podem ripostar

A Financial Crimes Enforcement Network (FinCEN) do Departamento do Tesouro dos EUA (FinCEN) emitiu um alerta histórico - uma ameaça crescente alimentada por IA generativa visando instituições financeiras (FIs). Isso marca um reconhecimento crítico dos riscos que remodelam o cenário da fraude.

Na iProov, colaborámos com os principais bancos dos EUA, como o UBSING e Bradesco para combater a fraude deepfake e partilhámos os nossos conhecimentos sobre esta corrida às armas em eventos do FinCEN. As nossas soluções, baseadas em biometria avançada com deteção de vivacidade, abordam as complexidades desta ameaça em rápida evolução.

A nova realidade da fraude: Deepfakes e IA generativa

Deepfakes - meios sintéticos criados com recurso a IA generativa - são atualmente uma ferramenta importante para os autores de fraudes. O alerta do FinCEN sublinha a sua utilização na falsificação de documentos de identificação hiper-realistas, na falsificação de vídeo e áudio e na ultrapassagem dos métodos de verificação tradicionais.

Estes desenvolvimentos estão em consonância com os conhecimentos da equipa de informações sobre ameaças da iProov, que revelam a evolução das tácticas criminosas, como a combinação de informações de identificação pessoal reais e falsas em identidades sintéticas e a utilização de contas geradas por deepfake para permitir lavagem de dinheiro. A iProov é uma das únicas empresas nomeadas como fornecedor de atenuação de fraude de identidade sintética (SIF) pela Reserva Federal.

Principais conclusões do Relatório de Informações sobre Ameaças 2024 da iProov:

• Crescimento de 704% em troca de rosto ataques no segundo semestre de 2023 em comparação com o primeiro semestre.
• Aumento de 255% em injeção digital ataques dirigidos a plataformas móveis.

A ascensão do crime/deepfake-as-a-service também tornou as ferramentas de fraude facilmente acessíveis. As ferramentas cada vez mais acessíveis permitem aos criminosos executar ataques em grande escala, manipular metadados e ocultar a deteção.

Principais sinais de alerta do FinCEN - e como lidar com eles

O FinCEN delineou os principais sinais de alerta indicativos de fraude deepfake, fornecendo orientações fundamentais para as instituições. Estes sinais de alerta estão muito próximos dos padrões que observámos e acreditamos que a biometria desempenha um papel crucial na sua resolução.

Abaixo, selecionámos exemplos para demonstrar como a biometria de base científica complementa e melhora a estrutura do FinCEN:

Bandeira vermelha nº 1 do FinCEN: Documentos de identidade inconsistentes apresentados pelos clientes. Os documentos gerados pelo Deepfake podem conter inconsistências visuais ou informativas subtis.

Bandeira vermelha nº 3 do FinCEN: falhas tecnológicas ou tácticas de verificação suspeitas. Um cliente utiliza um plug-in de webcam de terceiros durante uma verificação em direto ou altera os métodos de comunicação durante uma verificação em direto devido a falhas tecnológicas excessivas ou suspeitas.

Visão: Neste caso, a verificação biométrica melhora a deteção ao associar o rosto de um utilizador aos seus documentos de identificação legal com uma precisão inigualável, detectando discrepâncias mesmo os revisores manuais sentiriam falta. Isto garante uma presença genuína e bloqueia as tentativas de deepfake antes de serem bem sucedidas. A utilização de documentos biométricos, que contêm a fotografia do utilizador - assinados digitalmente por uma autoridade governamental - é um fator crítico de autenticidade durante a integração. Se um burlão tentasse embarcar num intermediário financeiro com o iProov utilizando um documento de identidade falso, teria de digitalizar o seu rosto verdadeiro (que não corresponderia ao documento) ou utilizar um deepfake. Em ambos os casos, a tecnologia rejeita a tentativa. O iProov faz parceria com especialistas em verificação de documentos, analisando o próprio documento em busca de anomalias e, por fim, oferecendo uma defesa multifacetada. O iProov combina a verificação biométrica, a deteção de anomalias em documentos e as verificações dinâmicas de vivacidade para lidar com ameaças como deepfakes e SIF a partir de vários ângulos, garantindo que os sistemas de prevenção de fraudes são suficientemente robustos para proteger os utilizadores em todas as fases do processo de verificação, ao longo de todo o ciclo de vida do utilizador.

Visão: Sinais como a utilização de plugins de webcam de terceiros podem indicar que um utilizador está a utilizar um ataque de injeção digital com meios sintéticos. Este método, em que os meios de comunicação falsos são inseridos diretamente nos sistemas de verificação de identidade, é cinco vezes mais frequente do que os ataques de apresentação persistente como fotografias ou máscaras. O FinCEN indica que os autores de fraudes tentarão evitar os controlos de verificação pessoa-a-pessoa em direto, desencadeando problemas técnicos. Mas isto implica que se pode confiar nos humanos para detetar falsificações profundas, pelo que os autores das fraudes evitam as verificações. A nossa experiência indica que os maus actores falharão propositadamente as nossas verificações de vivacidade para que sejam redireccionados para um ser humano vivo - pois sabem que os olhos humanos são mais fáceis de contornar com deepfakes ao vivo do que com verificações biométricas sofisticadas que proporcionam mais segurança e maior garantia de identidade.

FinCen Red Flag #5 & 6: Imagens de identidade assinaladas por uma base de dados online ou por um software de deteção de deepfake. Uma pesquisa inversa de imagens ou uma pesquisa de fonte aberta de uma fotografia de identidade corresponde a uma imagem numa galeria em linha de rostos produzidos pela GenAI & A fotografia ou o vídeo de um cliente é assinalado por um software de deteção de falsificações profundas comercial ou de fonte aberta

Sinal de alerta n.º 8: Os dados geográficos ou do dispositivo de um cliente são inconsistentes com os documentos de identidade do cliente. Os autores de fraudes manipulam frequentemente os metadados, como a localização ou as assinaturas dos dispositivos, para mascarar as suas actividades.

Perspetiva: O iProov é um software comercial de deteção de deepfake que oferece o mais elevado nível de garantia na identidade do utilizador. A integração biométrica e a autenticação contínua asseguram que as contas permanecem ligadas a utilizadores genuínos, reduzindo os riscos de fraude a jusante e a despesa de recursos. Detectamos deepfakes através da nossa deteção de ataques de injeção (IAD), deteção de ataques de apresentação e outros processos algorítmicos. Tudo isto é complementado pela deteção de ameaças em tempo real - iSOC. Ao associar os dados biométricos a documentos de identidade fiáveis, as instituições podem evitar que os maus agentes cometam fraudes de novas contas e fraudes de aquisição de contas. Isto significa que as instituições financeiras têm de gastar menos tempo e recursos no rastreio manual/comportamental se puderem confiar na presença genuína estabelecida pela vivacidade baseada na ciência - que é a pessoa certa a utilizar a conta em primeiro lugar. Tudo isto retira o ónus da organização e automatiza a deteção de deepfake.

Informação: O iProov efectua testes de metadados melhorados; os nossos algoritmos de backend analisam os metadados para detetar sinais de falsificação. Certas discrepâncias nos metadados podem levantar bandeiras - estas discrepâncias muitas vezes também indicam a utilização de emuladores, câmaras virtuais ou rooting, pelo que são detectadas e bloqueadas.

Análise da resposta do FinCEN: Soluções tecnológicas necessárias 

O recente alerta do FinCEN demonstra a crescente conscientização regulatória sobre a ameaça de deepfake e fornece indicadores críticos de linha de base para instituições em diferentes estágios de maturidade de prevenção de fraude. No entanto, esses sinais de alerta precisam ser combinados com soluções tecnológicas avançadas para lidar com as táticas cada vez mais sofisticadas possibilitadas pela IA generativa.

A biometria avançada pode reduzir a dependência de revisores humanos, que enfrentam uma carga crescente à medida que o conteúdo sintético se torna mais convincente. Ao introduzir ferramentas como a verificação do Biometric Solutions Suite do iProov, as instituições financeiras podem passar de uma postura reactiva para uma preventiva - garantindo que a fraude é travada antes de acontecer.

Os sistemas biométricos sofisticados evitam colocar um fardo irrealista nos revisores humanos para detetar conteúdo sintético cada vez mais sofisticado que é funcionalmente indetetável ao olho humano e introduzem uma postura de segurança inerentemente preventiva que pode ser dimensionada com a crescente ameaça de falsificações profundas. Funcionam como um "cadeado" que impede a fraude na sua origem.

O alerta do FinCEN reconhece que os meios sintéticos evoluíram ao ponto de serem "difíceis de distinguir dos resultados não modificados ou gerados por humanos". Por conseguinte, as instituições financeiras devem implementar soluções tecnológicas robustas que possam acompanhar a crescente ameaça. 

Reforçar a resiliência: O caminho a seguir

Os riscos são elevados. O custo financeiro das fraudes com deepfake é enorme, mas a erosão da confiança nos serviços digitais pode ser ainda maior. Os sinais de alerta do FinCEN fornecem uma estrutura sólida, mas ferramentas avançadas como o BiometricSolutions Suite do iProov oferecem a escalabilidade e a garantia necessárias para proteger verdadeiramente os sistemas financeiros.

A nossa Crise de identidade na era digital O relatório "Our Identity Crisis in Digital Age" (A nossa crise de identidade na era digital) descreve claramente as medidas que as instituições financeiras podem adotar para combater as ameaças de falsificação profunda:

Adotar dados biométricos de base científica

• Implementar a deteção de vivacidade em vários fotogramas
• Utilizar tecnologias de vivacidade passiva
• Garantir que apenas os utilizadores genuínos têm acesso
• Recolha de informações sobre ameaças em tempo real para detetar e responder a ameaças emergentes do cenário de ameaças em evolução rapidamente, em vez de confiar em defesas estáticas.

Investir em Mecanismos de resposta a desafios

• Criar métodos de verificação imprevisíveis e irrepetíveis
• Eliminar vulnerabilidades de ataques de repetição e injeção

Tirar partido da informação contínua sobre ameaças

• Monitorizar ameaças emergentes em tempo real
• Atualizar continuamente os mecanismos de defesa

Crise dos serviços financeiros Deepfakes: O momento de atuar é agora

A fraude deepfake já não é uma ameaça distante - está aqui, e está a aumentar. As instituições financeiras precisam de agir agora, adoptando soluções biométricas avançadas para complementar as orientações fundamentais fornecidas. Existem soluções comprovadas para garantir que os sistemas financeiros estão equipados para combater tácticas de fraude sofisticadas em grande escala.

Para uma compreensão aprofundada do cenário de fraude em evolução, descarregue o nosso Relatório de Inteligência sobre Ameaças 2024. | Para obter mais informações sobre as nossas soluções para FS: visite a nossa página de Serviços Financeiros | Para uma análise consultiva do seu caso de utilização, dos pontos problemáticos e das nossas soluções para as necessidades da sua organização: marcar uma demonstração