7 de julho de 2022

Pense nos milhares de milhões de utilizadores que se registam online todos os dias para novos serviços digitais - quer se trate da subscrição de um serviço de comunicação social, da subscrição de um seguro, do acesso a registos médicos ou da abertura de uma conta bancária.

As empresas e as organizações colocam grande ênfase na integração do maior número possível de clientes satisfeitos o mais rapidamente possível. Para a maioria das empresas, mais clientes significam maiores receitas. Entretanto, no sector público, conseguir a adoção em massa de serviços digitais é fundamental para a sua eficiência de custos e eficácia global.

Mas o que acontece se integrar um utilizador que não é uma pessoa real? As organizações têm de garantir que a ênfase nas taxas de conclusão não lhes custa mais tarde.

A fraude de identidade sintética é uma ameaça real e crescente para as empresas sem práticas de integração sólidas. É a forma de fraude de identidade com crescimento mais rápido, ultrapassando a fraude de identidade de "nome verdadeiro" (em que um criminoso utiliza a identidade de uma pessoa real) e e é responsável por 80-85% de todas as fraudes de identidade de acordo com um estudo da ID Analytics.

Neste artigo, explicaremos o que é a fraude de identidade sintética, porque é uma forma de fraude tão difícil de combater e como a tecnologia biométrica segura do iProov pode garantir a presença genuína de cada utilizador durante o registo.

O que é a fraude de identidade sintética?

A fraude de identidade sintética é a criação de uma nova identidade utilizando informações fictícias, roubadas ou manipuladas para obter acesso a serviços ou defraudar empresas, organizações ou indivíduos.

Trata-se de uma forma de fraude online altamente sofisticada e difícil de detetar, que difere do roubo de identidade mais tradicional. Em vez de roubarem a identidade de uma pessoa real, os autores de fraudes sintéticas criam uma "pessoa" que não existe, utilizando Informações Pessoais Identificáveis (IPI) roubadas, fictícias ou manipuladas, o que pode incluir o nome, a morada e o número de segurança social de uma pessoa, por exemplo.

A fraude de identidade sintética pode assumir muitas formas e definiçõesincluindo:

  • Fabricação de identidade: refere-se a identidades criadas utilizando informações totalmente fictícias. Não são utilizadas informações pessoais genuínas.
  • Manipulação de identidade: refere-se a identidades criadas utilizando elementos de dados de identidade genuínos que são depois ligeiramente modificados e alterados para criar uma nova identidade.
  • Compilação de identidades: refere-se a identidades criadas a partir de diferentes informações genuínas para criar uma nova identidade. Os dados podem ser provenientes de fugas de informação ou de informações roubadas em linha. Esta situação é também conhecida como fraude Frankenstein.

Também pode ver este tipo de fraude referido como "roubo de identidade", mas não se trata realmente de roubo de identidade identidade. Num ataque de apropriação de contapor exemplo, um fraudador rouba as suas credenciais de identidade e utiliza-as para aceder e bloquear a sua conta. Mas no roubo de identidade sintético, a identidade não é roubada em si - é criada pelo fraudador utilizando várias fontes de informação.

Por isso, para este artigo, vamos manter o termo fraude de identidade sintética.

Como funciona a fraude de identidade sintética?

A fraude de identidade sintética é geralmente utilizada para explorar o processo de integração de uma organização. As organizações recebem a identidade sintética e, sem saber, integram a "pessoa" no pressuposto de que ela é genuína. Estas "pessoas" podem depois carregar os cartões de crédito ou candidatar-se a programas de apoio do governo para roubar dinheiro, ou podem utilizar a conta para branquear dinheiro ou cometer outros crimes.

Uma forma de os malfeitores tornarem a fraude mais convincente consiste em utilizar identidades sintéticas para solicitar cartões de crédito/débito ou efetuar outras transacções e obter uma pontuação de crédito para clientes inexistentes. Se os burlões forem bem sucedidos, poderão então aproveitar os serviços de uma organização para acumular ainda mais dívidas ou outras fraudes.

Outra formade fazer com que as identidades sintéticas pareçam reais é usar deepfakes. Os criminosos podem utilizar a tecnologia deepfake, de fácil acesso, para criar fotografias ou vídeos realistas de pessoas que não existem. Os deepfakes são uma ferramenta extremamente poderosa para aumentar o sucesso da fraude de identidade sintética.

A fraude de identidade sintética é uma opção atraente para os criminosos - a combinação de informações reais e falsas torna difícil a sua identificação e, mesmo que acabem por ser apanhados, a natureza sintética da identidade torna extremamente difícil localizar e recuperar as perdas do "verdadeiro" culpado. A fraude de identidade sintética pode levar anos a ser detectada.

Como detetar e prevenir a fraude de identidade sintética

A fraude de identidade sintética pode facilmente passar despercebida nas verificações de segurança tradicionais das organizações, especialmente nos processos automatizados em que se dá prioridade à conveniência e à rapidez. Ao validar um novo cliente, existem algumas ferramentas úteis que podem detetar e prevenir melhor este tipo de fraude.

Verificação biométrica facial é um método robusto para detetar quando alguém está a tentar criar uma conta online utilizando uma identidade sintética. Uma organização pode pedir a um novo cliente que digitalize o seu documento de identificação emitido pelo governo e, em seguida, digitalize o seu rosto. A verificação biométrica biométrica do rosto confirmará que a pessoa física que digitaliza o seu rosto é o proprietário da identidade declarada que carregou. Isto ajuda a evitar que uma identidade sintética seja utilizada para se inscrever em serviços online e criar contas fraudulentas, impedindo actividades criminosas.

Mas o que acontece quando o utilizador tenta combinar um ataque de identidade sintética com uma falsificação física ou digital, como usar uma máscara de outra pessoa durante o scan facial biométrico? É aqui que a deteção de vivacidade se torna essencial: a tecnologia de vivacidade verifica se o rosto físico é o de uma pessoa real, viva e humana. Sem a deteção da vivacidade, os autores de fraudes sintéticas podem utilizar fotografias ou vídeos para falsificar o processo de autenticação. A tecnologia de vivacidade do iProov é capaz de detetar que a "pessoa" apresentada é tridimensional, viva e coberta de pele - e não uma máscara ou fotografia. Outras ferramentas de verificação de identidade em linha não conseguem fazer isto.

Em geral, a deteção de vivacidade é a melhor ferramenta para detetar identidades sintéticas. Mas vale a pena notar que nem toda a tecnologia de deteção de vivacidade é criada da mesma forma.

Dynamic Liveness do iProov está a ser utilizada por agências governamentais, bancos e outras organizações preocupadas com a segurança em todo o mundo para fornecer os mais elevados níveis de garantia de que alguém é quem diz ser. Vamos discutir como a tecnologia Dynamic Liveness do iProov, que vai além da deteção de vivacidade, pode combater sozinha a fraude de identidade sintética.

Porquê utilizar o iProov para prevenir a fraude de identidade sintética?

A tecnologia Dynamic Liveness da iProov é uma ferramenta inestimável na prevenção de fraudes de identidade sintética, pois oferece às organizações o mais alto nível de garantia de que um indivíduo remoto é genuíno. Valida três aspectos fundamentais - que o utilizador é a pessoa certa, uma pessoa real, e que está a autenticar-se neste momento, em tempo real.

Esta última parte - o facto de o utilizador se autenticar em tempo real - é uma grande parte do que diferencia o Dynamic Liveness de outras soluções de liveness. Utiliza a tecnologia patenteada tecnologia Flashmark™ patenteada que ilumina o rosto do utilizador com uma sequência única de cores que não pode ser reproduzida ou manipulada sinteticamente. Isto garante que o utilizador está a autenticar-se agora mesmo - não é um ataque de apresentação que utiliza uma fotografia ou uma máscara, mas também não é um ataque digital injetado que utiliza uma repetição de uma autenticação anterior ou um vídeo sintético, como um deepfake. Além disso, a iluminação proporciona uma maior garantia, uma vez que obtém informações multidimensionais do rosto para confirmar que se trata de uma pessoa real.

Exemplo de fraude de identidade sintética que se depara com a vivacidade dinâmica: um fraudador solicita a abertura de uma nova conta bancária utilizando uma identidade sintética que criou e reforçou com uma pontuação de crédito e um vídeo deepfake de um indivíduo fictício. Embora a identidade falsa tenha funcionado para abrir contas noutros fornecedores, este banco é diferente. Protegido pelo iProov, o processo de verificação na fase de integração detecta que o requerente não é uma pessoa real. Por conseguinte, impede o banco de aprovar a conta, evitando quaisquer danos nesta fase formativa mais crucial da relação do banco com o cliente.

Um aspeto fundamental da nossa segurança é o facto de se tratar de uma tecnologia baseada na nuvemo que significa que as suas defesas estão escondidas dos atacantes, tornando muito mais difícil a engenharia inversa. O seu serviço automatizado de monitorização de ameaças activas (denominado Centro de Operações de Segurança iProov ou iSOC) monitoriza as operações diárias e identifica ataques novos e em evolução.

As empresas também não têm de comprometer a experiência do utilizador ou a velocidade. Tudo o que o iProov requer é um dispositivo com uma câmara virada para o utilizador e que os utilizadores genuínos olhem para o seu dispositivo, nada mais. Não é necessária qualquer participação ativa, como mover ou virar a cabeça, ou ler instruções. Isto significa que o iProov proporciona uma verdadeira autenticação passiva que garante que o maior número possível de utilizadores possa aceder e autenticar-se.

De um modo geral, o Dynamic Liveness é essencial para a defesa contra a fraude de identidade sintética - especialmente nos casos em que são utilizados ataques de injeção digital que utilizam uma repetição de uma autenticação anterior ou um vídeo sintético, como um deepfake. 

Fraude de identidade sintética: Um resumo

  • A fraude de identidade sintética é um tipo de fraude sofisticado e difícil de detetar, em que os criminosos criam identidades fictícias para enganar as organizações. 
  • Estas identidades sintéticas podem ser uma combinação de informações falsas, reais e roubadas e são frequentemente reforçadas com deepfakes ou uma pontuação de crédito. 
  • Os governos e os serviços financeiros são os principais alvos deste tipo de ataque, e a integração é o ponto de maior risco. 
  • Este tipo de fraude não só é difícil de detetar, como as perdas são difíceis de recuperar, uma vez que o autor da fraude é inventado e, muitas vezes, não pode ser localizado. 
  • A autenticação biométrica e a deteção de vida podem reforçar as defesas contra a fraude de identidade sintética, uma vez que validam que o utilizador remoto que se apresenta é genuíno no momento da integração. Fundamentalmente, a confiança estabelecida durante a integração é mantida ao longo de todo o ciclo de vida do cliente.
  • A tecnologia Dynamic Liveness do iProov pode oferecer um nível mais elevado de proteção para detetar e defender contra ataques digitais injectados em constante evolução que utilizam deepfakes e outras tácticas sofisticadas. 

A fraude de identidade sintética pode ser baseada na ficção, mas a ameaça é muito real. Para as organizações que estão a conceder acesso a dinheiro ou dados, é necessário incluir segurança adicional no processo de integração inicial. A tecnologia Dynamic Liveness da iProov oferece uma segurança inigualável e a garantia de que o utilizador online é real e está a ser autenticado neste momento.

Se gostaria de ver como a tecnologia iProov pode trazer segurança sem esforço aos seus processos de integração e autenticação - ao mesmo tempo que ajuda a combater a fraude de identidade sintética - reserve a sua demonstração iProov aqui.