20 de agosto de 2024
Numa era de contratação remota generalizada, um incidente recente de grande visibilidade pôs em evidência a ameaça crescente de fraude de identidade sofisticada na força de trabalho. Uma grande empresa de cibersegurança, KnowBe4foi vítima de um esquema elaborado em que um indivíduo utilizou informações de identidade roubadas e imagens melhoradas por IA para garantir um cargo remoto de TI.
Este caso sublinha a necessidade urgente de medidas avançadas de verificação de identidade para a integração de trabalhadores remotos - um desafio para o qual a tecnologia biométrica de ponta da iProov está posicionada de forma única.
O incidente: Quando os protocolos tradicionais de contratação falham
A KnowBe4, especializada em formação de sensibilização para a segurança, descobriu que um engenheiro de software remoto que tinham contratado recentemente era, na realidade, um ator de ameaças da Coreia do Norte que utilizava uma identidade roubada dos EUA e uma fotografia melhorada por IA. um ator de ameaças da Coreia do Norte que usava uma identidade americana roubada e uma fotografia melhorada por IA. Apesar da implementação de protocolos de contratação completos, incluindo entrevistas em vídeo, verificação de antecedentes e verificação de referências, o engano só foi descoberto depois de o novo contratado ter começado a carregar malware nos dispositivos da empresa.
Este ataque foi altamente sofisticado. O pirata informático utilizou uma identidade americana válida, mas roubada, e uma fotografia melhorada por IA derivada de imagens de arquivo para passar os protocolos de contratação da empresa. Até mandaram enviar a estação de trabalho para um endereço utilizado como "IT mule laptop farm" e acederam-lhe através de VPN para simular o horário de trabalho nos EUA.
Este incidente demonstra o potencial para violações de segurança catastróficas e realça as limitações dos processos tradicionais de contratação e verificação na era digital - perigos para os quais o iProov tem vindo a alertar desde a nossa campanha "Campanha "Trabalhe a partir de um clone há mais de dois anos (leia mais sobre esquemas de trabalho deepfake aqui).
A ameaça do Deepfake é mais do que uma tendência
Deepfakes são vídeos ou imagens gerados por IA que mostram pessoas a dizer ou a fazer coisas que na realidade nunca fizeram, o que representa um desafio significativo para os métodos tradicionais de verificação de identidade.
Embora nos tenhamos concentrado nos deepfakes ou nas imagens manipuladas em contextos profissionais, as falsificações de identidade e os deepfakes também são predominantes noutras áreas. Veja estes exemplos do mundo real:
- Política: Os deepfakes estão a tornar-se uma ferramenta poderosa nas campanhas de desinformação política, com potenciais implicações para a democracia global e a integridade das eleições; a era do deepfake na política já chegou. Casos recentes de grande visibilidade incluem um Biden sintético a exortar os residentes de New Hampshire a não votarem nas próximas primárias. Aimagem gerada por IA de uma explosão no Pentágono Pentágono causou mesmo uma breve queda no mercado de acções.
- Redes sociais: O Instagram e o TikTok registaram um aumento de "avatares digitais" - influenciadores gerados por IA que não representam pessoas reais, mas que interagem com os seguidores como se fossem humanos.
- Aplicações de encontros: Tem havido cada vez mais relatos de "catfishing" e burlas românticas que utilizam fotografias de perfil geradas por IA e até deepfakes em tempo realem tempo real, tornando mais difícil para os utilizadores distinguir entre perfis reais e falsos. É por esta razão que muitas aplicações, como o Tinder introduziram medidas de verificação da identidade.
- Fraudes financeiras/criptomoeda: Vídeos "deepfake" de figuras conhecidas, como Elon Musk, têm sido utilizados para promover esquemas fraudulentos de criptomoedas, como se pode ver no vídeo abaixo:
Estes exemplos destacam a forma como as tecnologias de deepfakes e de falsificação de identidade estão a ser utilizadas em várias esferas da vida. Se estivermos conscientes destas tendências mais amplas, podemos preparar-nos melhor para identificar e proteger-nos contra potenciais ameaças de deepfake na força de trabalho.
Este elemento específico da fraude deepfake no local de trabalho faz parte de uma tendência maior que o FBI divulgou em junho de 2022em que os cibercriminosos usam identidades sintéticas - geralmente a combinação de deepfakes e informações de identificação pessoal (PII) roubadas - para se candidatarem a cargos de trabalho remoto.
Ajay Amlani - SVP, Diretor das Américas da iProov - sublinhou a sofisticação destes ataques numa entrevista recente à IT Brew: "Podemos alterar a nossa aparência enquanto estamos numa chamada para nos podermos apresentar como qualquer pessoa que queiramos apresentar - um homem, uma mulher, uma criança de 12 anos, uma pessoa de 46 anos, um país diferente, uma etnia diferente".
Esta ameaça é agora mais premente do que nunca e exige uma segurança de missão crítica que garanta que uma determinada pessoa é a pessoa certa, uma pessoa real, interagindo em tempo real.
As motivações por detrás destes ataques
Embora o salário mensal seja por vezes a motivação óbvia, pode haver um objetivo muito mais sinistro. Amlani esclarece: "Ao assegurar uma função técnica dentro da empresa, o atacante tem acesso a informações pessoais dos clientes, dados financeiros, bases de dados de TI da empresa e/ou informações proprietárias."
Os cibercriminosos podem utilizar este acesso para:
- Manter a empresa como refém
- Realizar novos ciberataques
- Roubar propriedade intelectual
- Vender dados sensíveis na dark web
O que torna estes incidentes particularmente preocupantes é a escalabilidade; os deepfakes são rapidamente reproduzíveis (particularmente com os avanços na IA generativa), o que significa que é fácil para o criminoso repetir o mesmo ataque vezes sem conta. Conseguir emprego numa série de organizações diferentes pode levar a ganhos financeiros significativos para o criminoso ou para a sua organização criminosa, bem como a danos substanciais para as organizações empregadoras.
As limitações dos métodos de verificação actuais (porque não podemos confiar apenas nos nossos olhos)
Muitas organizações recorrem a entrevistas em vídeo como parte do seu processo de contratação à distância. No entanto, este método é cada vez menos fiável na deteção de falsificações profundas. Como mostra a pesquisa do iProov, Com um simples plug-in, os atacantes podem criar o que se chama de "deepfake em tempo real"; o vídeo pode então ser transmitido em canais de comunicação de chamadas de videoconferência. Esta foi também a metodologia de ataque utilizada no ataque de $25 M Arup incidente de deepfake baseado no zoom
Além disso, a capacidade humana de detetar deepfakes é quase inexistente no caso dos deepfakes mais sofisticados. Um inquérito da iProov descobriu que 57% dos inquiridos acreditavam que conseguiam distinguir entre um vídeo real e um deepfake. No entanto, esta confiança é infundada. Estudos demonstraram que os humanos são extremamente ineptos a distinguir rostos reais de deepfakes, tendo um estudo concluído que apenas 24% dos sujeitos conseguiram detetar deepfakes bem feitos.
O Alan Turing Institute corroboraque é agora "cada vez mais difícil, potencialmente mesmo impossível, discernir de forma fiável entre meios autênticos e sintéticos".
A inspeção humana e as entrevistas por videochamada não são não são uma solução viável - a deteção biométrica da vivacidade com base científica é essencial.
A solução do iProov: Biometria com base científica
A própria natureza da integração e do trabalho à distância cria uma distância física entre o empregador e o empregado. É possível que nunca se encontrem pessoalmente, o que torna cada vez mais difícil verificar se alguém é quem diz ser quando se candidata a uma função.
O desafio da verificação remota da identidade também engloba uma força de trabalho alargada e diversificada. Empreiteiros, funcionários da cadeia de fornecimento, trabalhadores sazonais, pessoal temporário e outras forças de trabalho não empregadas apresentam desafios de verificação únicos na era digital. Estas categorias de força de trabalho variadas têm frequentemente uma interação física limitada com as organizações que apoiam, o que torna tudo ainda mais difícil. À medida que as organizações dependem cada vez mais de uma força de trabalho flexível e distribuída, a necessidade de uma autenticação remota robusta torna-se fundamental para todos os tipos de trabalhadores.
Para combater esta ameaça em constante evolução, a iProov oferece um conjunto de soluções biométricas com soluções para integração e autenticação remotas. Estas soluções vão para além dos métodos tradicionais de verificação de identidade e oferecem uma solução versátil que pode ser aplicada de forma consistente no emprego moderno.
O conjunto de soluções biométricas fornece:
- Proteção contra ataques de apresentação: distingue entre uma pessoa real e um ataque de apresentação, impedindo a utilização de fotografias, vídeos ou máscaras para falsificar o sistema.
- Proteção contra a injeção digital: Detecta ataques de injeção digital, incluindo os que utilizam deepfakes que contornam os sensores do dispositivo.
- Gestão ativa de ameaças: detecta e responde a ameaças emergentes em tempo real, com actualizações contínuas fornecidas sem qualquer interrupção para o cliente ou utilizador final.
- Os resultados do iProov são líderes na indústria, com taxas de sucesso >98%
... E muito mais. Ao implementar o Conjunto de Soluções Biométricas do iProov, as organizações podem reduzir significativamente os riscos associados à fraude na contratação remota. Esta tecnologia não só protege contra ameaças imediatas, mas também constrói uma base para práticas de trabalho remoto seguras no futuro.
Saiba mais sobre o Conjunto de soluções biométricas iProov nesta infografia
Pode utilizar a nossa ferramenta Biometric Adoption Navigator aqui para ver se o conjunto de soluções iProov é adequado para si.
Como funciona: Implementação do iProov no seu processo de contratação
Num cenário de contratação remota, um candidato pode verificar-se a si próprio quando apresenta a sua candidatura. O candidato digitalizaria um documento de identificação com fotografia, como uma carta de condução ou um passaporte, e depois digitalizaria o seu rosto para provar que é quem diz ser.
A tecnologia do iProov vai para além da simples correspondência facial. Garante que a pessoa não só é quem diz ser, como também é uma pessoa real e está a autenticar-se neste momento. Esta abordagem em três vertentes - pessoa certa, pessoa real, autenticação imediata - é crucial no combate a fraudes sofisticadas de identidade, como o incidente Knowbe4.
A urgência da ameaça: Proteja sua organização hoje mesmo
A ameaça de fraude de identidade sofisticada na contratação remota não é uma preocupação futura - está a acontecer agora. Amlani avisa: "É um campo de fraude de crescimento bastante rápido fazer-se passar por outra pessoa, especialmente durante o processo de contratação. Tenho ouvido vários líderes de contratação dizer que estão a começar a ver este tipo de ataques provenientes não só de indivíduos que esperam receber vários cheques de pagamento, mas também de adversários que tentam obter acesso aos seus sistemas."
Stu Sjouwerman, fundador e diretor executivo da KnowBe4, sublinhou a importância de aprender com o incidente: "Se nos pode acontecer a nós, pode acontecer a quase toda a gente. Não deixes que te aconteça a ti".
Uma chamada de atenção para as organizações em todo o mundo
À medida que o trabalho remoto e a utilização de forças de trabalho alargadas continuam a crescer, as organizações têm de levar a sério a ameaça de fraude de identidade sofisticada. A implementação de processos sólidos de verificação de identidade pode reduzir significativamente o risco de fraude na contratação e proteger contra violações de segurança potencialmente catastróficas.
Ao utilizar a tecnologia avançada de verificação biométrica do iProov, as empresas podem navegar neste cenário complexo, garantindo a integridade da sua força de trabalho e a segurança dos seus sistemas num mundo cada vez mais digital. O compromisso da iProov com a pesquisa e o desenvolvimento contínuos garante que sua tecnologia permaneça à frente das ameaças emergentes, fornecendo às organizações um escudo robusto contra o cenário em constante mudança da fraude de identidade.