4 de junho de 2025
Processos KYC expostos numa vaga de ataques sofisticados ao sector financeiro
O iProov, líder mundial no fornecimento de soluções de verificação de identidade biométrica com base científica, revelou hoje detalhes de uma operação cibercriminosa ativa que se infiltrou com sucesso em instituições financeiras em todo o mundo, explorando vulnerabilidades em sistemas remotos de verificação de identidade. O Centro de Operações de Segurança do iProov (iSOC) observou operações ao vivo do ator da ameaça, codinome "Grey Nickel", visando organizações em todo o mundo com ataques concentrados contra bancos, trocas de criptografia, carteiras eletrônicas e plataformas de pagamento digital na Ásia-Pacífico, EMEA e América do Norte. Durante a sua investigação do "Grey Nickel", a equipa do iSOC também documentou uma escalada sem precedentes em ataques especificamente concebidos para contornar os processos Know Your Customer (KYC) em todo o sector dos serviços financeiros.
Serviços financeiros: Novos ataques, o mesmo campo de batalha
Há muito que as organizações de serviços financeiros são os principais alvos de ataques de fraude implacáveis, tanto por parte de autores solitários como de redes criminosas altamente organizadas. Infelizmente, muitas das organizações visadas pelo "Níquel Cinzento" e pelos atacantes do KYC utilizaram tecnologias de deteção de vida que parecem ter sido concebidas para impedir apenas ataques de apresentação, em oposição a ataques injetados digitalmente alimentados por IA. A lacuna entre a garantia de identidade que estas tecnologias são capazes de fornecer e a garantia de identidade necessária tornou-se um ponto de interesse lucrativo para os cibercriminosos.
O iProov aconselha as organizações a utilizarem o seu espetro de garantia de identidade para determinar as tecnologias de verificação mais adequadas, adaptadas a cada caso de utilização, avaliando o conhecimento contextual do indivíduo e o risco da atividade com a apetência de risco da organização.
"Esses grupos criminosos entendem que bancos, trocas de criptografia, carteiras eletrônicas e plataformas de pagamento digital representam alguns dos alvos de maior valor para fraude de identidade", disse o Dr. Andrew Newell, Diretor Científico da iProov. É importante entender que esses não são ataques oportunistas; eles representam operações altamente coordenadas e especializadas que representam uma ameaça existencial à transformação digital do setor bancário.
Múltiplos actores de ameaças, alvo comum
A investigação do iProov identificou várias operações criminosas distintas:
- Níquel cinzento: Operações sistemáticas
Um sofisticado grupo de actores de ameaças, com o nome de código "Grey Nickel", tem vindo a realizar ataques sistemáticos contra sistemas de verificação de identidade desde julho de 2023, visando principalmente organizações na região Ásia-Pacífico, com recentes expansões para a América do Norte e EMEA. Este grupo emprega tecnologia avançada de troca de rosto, manipulação de metadados e técnicas de injeção especificamente concebidas para derrotar sistemas de verificação baseados na vivacidade de um único quadro utilizados por bancos e plataformas de pagamento. - Redes avançadas de câmaras virtuais
Grupos criminosos distintos desenvolveram e distribuíram aplicações móveis especializadas que permitem contornar o KYC em dispositivos Android e iOS. Estas aplicações injectam feeds de vídeo pré-gravados ou manipulados durante a verificação da identidade, com algumas variantes a incorporarem agora capacidades de sincronização labial para ultrapassar os desafios baseados na voz. - Operações Deepfake-as-a-Service
Agentes criminosos independentes estabeleceram modelos baseados em serviços, oferecendo criação personalizada de deepfake e pacotes abrangentes de desvio KYC especificamente projetados para visar trocas de criptomoedas e plataformas de pagamento. Essas operações combinam bancos de dados de identidade roubados com mídia gerada por IA para criar "identidades sintéticas" e permitir fraudes de identidade em grande escala. - Ferramentas de fraude alimentadas por IA
Os fóruns de criminosos partilham agora ativamente técnicas que utilizam plataformas de IA disponíveis no mercado para gerar vídeos deepfake convincentes, especificamente concebidos para contornar as tecnologias primitivas de vivacidade utilizadas por algumas instituições financeiras.
Impacto financeiro da cibercriminalidade baseada na IA
As consequências financeiras destes ataques estão a atingir níveis sem precedentes:
- Em 2024, um funcionário de Hong Kong de uma multinacional britânica foi vítima de burlas deepfake no valor de 25,6 milhões de dólares, quando os criminosos se fizeram passar por executivos da empresa
- Mais de metade das organizações inquiridas num relatório recente da Biocatch admitiu perder entre US $ 5 e US $ 25 milhões para ataques alimentados por IA em 2023.
- Um relatório das Nações Unidas registou um aumento dos crimes impulsionados pela IA envolvendo deepfakes, demonstrado por um aumento de mais de 600 % nas menções de conteúdos relacionados com deepfake dirigidos a grupos criminosos no Sudeste Asiático em plataformas em linha monitorizadas no primeiro semestre de 2024.
A inovação penal ultrapassa a resposta regulamentar
Um desafio global crítico no combate à cibercriminalidade contra o sector dos serviços financeiros é a falta generalizada de dados abrangentes destas instituições. Esta ausência de comunicação coerente e obrigatória de incidentes em muitas jurisdições impede que os reguladores avaliem com precisão a escala das actividades ilícitas, o que dificulta uma ação regulamentar eficaz. Embora regiões como a União Europeia estejam a avançar com medidas pró-activas, com organismos como a Autoridade Bancária Europeia a propor a adoção da carteira de identidade digital da UE de alta segurança ou uma equivalente para cumprir as regras AML, muitas nações ficam para trás. Esta situação cria disparidades globais que os cibercriminosos podem explorar e realça a necessidade urgente de uma maior cooperação internacional e de partilha de dados para promover melhorias de segurança robustas e uma intervenção regulamentar coordenada.
