Acompanhar os autores de fraudes: Como combater a IA generativa e os ataques biométricos baseados em documentos

A transformação digital expandiu significativamente a forma como as pessoas interagem com os bancos e as empresas de serviços financeiros. A tecnologia tornou a integração a partir do sofá de casa de um consumidor tão viável como a sua agência local presencial.

Por um lado, o desenvolvimento de tecnologias de verificação e autenticação remotas abriu a porta a operações bancárias em linha e a outras experiências digitais mais simples e mais convenientes para as pessoas. Por outro lado, também aumentou a responsabilidade pela fraude. 

Além disso, a tecnologia sofisticada com o poder de criar identidades sintéticas em linha deu origem a novos desafios. Deepfakes, documentos de identidade sintéticos (IDs) e ataques de injeção digital deram aos maus actores as ferramentas para causar estragos à escala. 

Para acompanhar os autores de fraudes, os fornecedores de serviços financeiros devem reforçar os seus fluxos de trabalho de integração e autenticação com tecnologia de verificação eficaz e exacta. 

As novas tecnologias não regulamentadas introduzem compromissos de identidade sintética

Embora o roubo de identidade tradicional esteja a aumentar, representando 52 mil milhões de dólares em perdas e afectando 42 milhões de adultos só nos EUA em 2021, os bancos também enfrentam uma ameaça nova e mais complicada: a fraude de identidade sintética (SIF).

Enquanto a fraude de identidade tradicional se baseia normalmente na utilização de informações roubadas, a fraude de identidade sintética envolve a criação de uma "pessoa" - uma identidade totalmente nova - que não existe, misturando informações de identificação pessoal (PII) roubadas, fictícias ou manipuladas. 

Como são criadas as identidades sintéticas: 

• Os burlões criam um documento de identidade falso pormenorizado. Estas informações podem ser uma mistura de informações reais, roubadas e falsas - por exemplo, um número de segurança social roubado combinado com um nome totalmente falsificado ou uma morada ligeiramente modificada.
• De seguida, criam imagens sintéticas que correspondem à fotografia do documento de identidade ilegítimo. Utilizam esta combinação para tentar contornar o processo de verificação de identidade de uma organização. 

Normalmente, os burlões constroem algum tipo de crédito ou historial bancário como parte do processo. Isto pode implicar, por exemplo, o esgotamento das suas linhas de crédito, o que torna quase impossível para os bancos ou instituições financeiras saberem se estas pessoas estão simplesmente a enfrentar dificuldades financeiras (por exemplo, perda de emprego) ou se são um mau ator a cometer actividades ilegais - até ser demasiado tarde.

Esta variação emergente de fraude funciona especificamente para contornar os documentos de identidade e a tecnologia de verificação biométrica - a norma atual para a verificação da identidade digital - e é quase impossível de detetar apenas através de verificações de dados (por exemplo, verificar a identidade com uma agência de crédito). O combate a este tipo de fraude requer um "golpe duplo" - uma abordagem de verificação de documentos de identidade e tecnologias biométricas que trabalhem em conjunto para evitar estes tipos de ameaças sofisticadas. 

O que são imagens sintéticas? Porque é que as ameaças sintéticas, como a IA generativa e os deepfakes, são uma preocupação crescente?

Como mencionado, um método comum para fazer com que as identidades sintéticas pareçam reais é utilizar imagens sintéticas. Os criminosos podem utilizar a tecnologia para criar fotografias ou vídeos realistas que foram manipulados digitalmente para substituir a imagem de uma pessoa por outra, ou mesmo para "criar" pessoas que não existem. A IA generativa e as falsificações profundas são ferramentas extremamente poderosas para aumentar o sucesso da fraude de identidade sintética. 

Um deepfake é uma gravação de vídeo que foi distorcida, manipulada ou criada sinteticamente utilizando técnicas de aprendizagem profunda para apresentar uma representação de alguém gerada por IA - como uma máscara digital. Algumas das variações mais sofisticadas de deepfakes são quase indistinguíveis de um rosto real, incluindo o movimento natural dos olhos e da boca. A utilização da tecnologia deepfake na fraude de identidade sintética abrange desde ataques de apresentação a ataques de injeção digital - ambos tentam contornar a verificação facial. 

Os bancos de todo o mundo adoptaram rapidamente a verificação facial, uma vez que esta surgiu como o método mais seguro de garantir uma identidade online - em detrimento de métodos comoditizados, mais fracos e inconvenientes, como as palavras-passe e as OTP. A verificação facial tornou-se parte integrante da experiência bancária digital e, de acordo com um inquérito da iProov64% dos consumidores globais que utilizam serviços bancários móveis já utilizam a verificação facial para aceder às suas contas ou fá-lo-iam se pudessem.

É por isso que é essencial que qualquer solução de integração digital possa associar de forma sólida as identidades digitais a indivíduos do mundo real. A solução Microblink-iProov confirma que uma pessoa genuína está a verificar o seu documento de identidade de confiança em tempo real e que o documento não foi adulterado. Isto impede as identidades sintéticas durante a integração, antes de entrarem no sistema.

Ataques de apresentação vs. ataques de injeção digital

Há uma variedade de ataques de apresentação que os criminosos podem utilizar para tentar obter acesso ilegal à conta ou aos privilégios de um utilizador. Para além da tentativa física de se fazer passar por um utilizador genuíno, os ataques de apresentação também podem envolver a colocação de um artefacto na frente de uma câmara virada para o utilizador. Um malfeitor pode também criar um deepfake e depois mostrar esse vídeo, através de outro ecrã, ao dispositivo que está a efetuar a verificação facial. 

Os ataques de injeção digital utilizam o mesmo nível de tecnologia deepfake, mas implicam que o autor da fraude reencaminhe a alimentação do vídeo de verificação para uma câmara baseada em software, injecte um deepfake no fluxo de dados da aplicação ou utilize um emulador para imitar um dispositivo do utilizador. 

O recente relatório de informações sobre ameaças da iProov revelou que os ataques de injeção foram cinco vezes mais frequentes do que os ataques de apresentação persistente na Web ao longo de 2022. Além disso, a deteção de vivacidade (ou seja, técnicas para determinar se a fonte de uma amostra biométrica é um ser humano vivo ou uma representação falsa) é relativamente confiável na deteção de ataques de apresentação tradicionais, tornando os ataques de injeção digital o foco dos fraudadores mais experientes.

Os deepfakes tornam-se ainda mais perigosos quando são utilizados em ataques de injeção digital, uma vez que podem ser escalados e automatizados muito rapidamente para causar danos significativos.

Como combater as imagens sintéticas e os ataques de injeção digital

Embora a maior parte da tecnologia biométrica envolva algum nível de deteção de vivacidade para verificar a identidade de um indivíduo, a deteção de vivacidade, por si só, não consegue detetar um ataque de injeção digital. Para combater a combinação de ataques de deepfakes e de injeção digital, as instituições de serviços financeiros necessitam de uma abordagem robusta e multifacetada - uma abordagem que aproveite a criação de uma biometria única. 

A solução de integração digital da Microblink e da iProov utiliza tecnologia biométrica única para garantir que qualquer pessoa que tente verificar a sua identidade o faz em tempo real e não através de imagens sintéticas. 

Como? Iluminando o rosto do indivíduo com uma sequência única de cores que não pode ser reproduzida ou manipulada sinteticamente. Isto garante que o utilizador está a autenticar-se no momento - não se trata de um ataque de apresentação utilizando uma fotografia ou uma máscara, nem de um ataque injetado digitalmente utilizando uma repetição de uma autenticação anterior ou um vídeo sintético, como um deepfake. Também analisa informações multidimensionais derivadas da forma como o rosto se comporta e como a luz é reflectida no rosto, o que pode revelar imagens sintéticas.

As identificações sintéticas aumentam a complexidade e o risco

Antes da explosão dos serviços bancários em linha, a fraude de identidade tradicional era limitada em termos de escala, com uma pessoa a apresentar uma identidade roubada de cada vez. O processo era lento e a vigilância dos funcionários internos era fundamental para combater a fraude e mitigar os riscos.

Com as identificações sintéticas e o aumento das falsificações profundas, os autores de fraudes podem alargar o âmbito das suas tentativas e fazê-lo a um ritmo mais rápido do que nunca. 

As identificações sintéticas são especialmente perigosas, pois permitem a produção de inúmeras "pessoas" que um burlão pode fazer-se passar por elas. Num exemplo do relatório da relatório da iProovcerca de 200 a 300 ataques foram lançados globalmente a partir do mesmo local num período de 24 horas, numa tentativa indiscriminada de contornar os sistemas de segurança de uma organização.

Os ataques de agentes de ameaças estão a tornar-se mais escaláveis e automatizados, e as imagens sintéticas utilizadas para reforçar verificações fraudulentas estão a tornar-se mais indiscerníveis da realidade para o olho humano. É por isso que as organizações necessitam das tecnologias mais avançadas de verificação biométrica e de documentos de identidade para combater as ameaças. 

Combater as identificações sintéticas com uma melhor análise de identificação

Com os maus actores a utilizarem uma combinação de informações reais e fraudulentas para criar documentos de identidade sintéticos, uma simples verificação já não será suficiente. 

É aqui que uma captura, extração e verificação de ID orientada por IA pode ser excelente. Uma abordagem baseada em IA pode compreender o contexto completo do documento de identidade que está a digitalizar, fornecendo verificações de consistência e validação de dados em toda a informação extraída e procurando sistematicamente defeitos visuais ou anomalias para fornecer um maior nível de garantia.

Ao adotar uma abordagem orientada para os dados que combina a inspeção forense e não forense de diversos documentos de identidade, bem como a deteção de vida útil que cria uma biometria única, a sua empresa pode ter a certeza de que os documentos de identidade dos utilizadores são genuínos.

Por último, a flexibilidade e a aprendizagem contínua de uma solução baseada em IA garantem que pode extrair e verificar uma grande maioria de tipos de ID e variedades geográficas - garantindo que não está a sacrificar a flexibilidade e a experiência do utilizador final ou a facilidade de utilização em favor da segurança e da confiança. 

A redução de riscos requer os parceiros tecnológicos certos

A combinação de identidades sintéticas e os IDs que as acompanham, juntamente com as falsificações profundas, estão a introduzir mais riscos nos processos de integração digital para organizações de todas as dimensões em todos os sectores.

Sem um conjunto de tecnologias que ajude a proteger contra a sofisticação destes métodos de fraude novos e melhorados, os riscos para os prestadores de serviços financeiros incluem a perda de receitas, a boa vontade dos clientes e sanções regulamentares. 

Tirar partido das tecnologias de captura, extração e verificação de ID baseadas em IA - como as oferecidas pela Microblink - juntamente com soluções de digitalização biométrica única como o iProov - permite uma experiência de integração digital mais segura. A combinação da garantia e da flexibilidade destas tecnologias comprovadas pode ajudar a combater o perigo crescente de fraude financeira.