Home > Tendências

Deepfakes e identidade sintética: mais razões para se preocupar

Como especialistas em segurança devem manter a identidade digital em um mundo que está sendo tomado por fraudadores munidos de IA?

Susan Morrow, CSO

03/10/2019 às 8h23

Foto: Shutterstock

Legenda: Hacker

Uma companhia de seguros relatou recentemente uma fraude bem-sucedida contra um de seus clientes: uma versão nova e aprimorada da fraude do CEO. Um empresário britânico foi levado a transferir US$ 240 mil para um criminoso. Para o golpe, o fraudador usou a técnica conhecida como deepfake para fazer o CEO acreditar que estava falando com uma pessoa legítima.

Alguns duvidam da seguradora, mas a tecnologia deepfake é perfeita para golpes, porque alavanca a confiança que temos em nossos relacionamentos. A confiança é um aspecto crucial para qualquer transação offline e online, o que sem dúvida torna os deepfakes a adição mais perigosa ao kit de ferramentas dos cibercriminosos quando se trata de roubo de identidade.

A identidade digital é um impulsionador do mercado e, de acordo com a McKinsey, aumenta o valor econômico geral de um país em até 13%. No entanto, a Javelin Strategy informou que em 2017 16,7 milhões de identidades nos EUA foram roubadas. Em 2018, os golpes de impostores foram as queixas mais frequentes feitas à Federal Trade Commission (FTC).

A identidade digital funciona nos dois sentidos. Uma maneira é o uso legítimo de consumidores e funcionários para executar tarefas online e offline. O uso inverso é quando a identidade digital é usada de maneira fraudulenta para nos enganar como indivíduos e como empresas.

Essa dicotomia se deve ao poder investido na identidade digital conforme ela se torna onipresente. Agora, estamos realizando mais verificações antifraude para reduzir os crimes. No entanto, ao mesmo tempo, os cibercriminosos estão desenvolvendo outras maneiras de aplicar os seus golpes. À medida que novas tecnologias, como o reconhecimento facial, surgem para melhorar a experiência das pessoas, também surgem novos desafios em segurança.

Roubo de identidade sintética vs. real

Os dois casos em que nossos serviços de identidade digital facilitam a fraude são a identidade verificada e a identidade sintética.

O que é identidade verificada?

Uma identidade verificada está cada vez mais ligada às tecnologias de verificação e autenticação para criar níveis de garantia para realizar transações valiosas. Esse é um exercício oneroso para o serviço que executa essas verificações. Uma pesquisa da Thomson Reuters estimou que o processo de verificação custa em torno de US$ 500 milhões por ano. Além disso, o processo é demorado para o consumidor e a obtenção da verificação online correta é desafiadora. Apesar disso, uma identidade verificada pode ser um ativo valioso tanto para o consumidor quanto para o serviço - assim como um bem valioso para um cibercriminoso.

O que é identidade sintética?

Identidade sintética é a técnica de criação de identidades "combinadas". Os IDs sintéticos são agrupados a partir de fragmentos de dados de identificação coletados de violações de dados. No primeiro semestre de 2019, houve um aumento de 54% nas violações de dados; portanto, há muitas informações para serem escolhidas. Os criminosos cibernéticos também usam um processo de “separação de canais”, no qual eles pegam vários dados de identificação - por exemplo, nomes, datas de nascimento, números do Seguro Social - e os misturam para evitar a detecção.

Do ponto de vista da fraude, o que é melhor: identidade verificada ou sintética? A resposta, é claro, é que depende do golpe. Se um cibercriminoso puder usar uma identidade verificada, é mais provável que tenha sucesso no crime. No entanto, é difícil assumir identidades verificadas, se criadas da maneira correta. Os fraudadores têm maneiras de criar suas próprias identidades verificadas, mas fraudulentas. Esse é um desafio para os serviços que oferecem IDs de alto nível de garantia.

Identidades sintéticas são bem-sucedidas, mas uma identidade real e verificada é um kit muito útil e poderoso. Melhor ainda, se um fraudador puder usar o próprio sistema que supostamente garante a criação de identidades verificadas, mas falsas, melhor.

Deepfakes e identidade verificada

Dados biométricos e de identidade, como reconhecimento facial e de voz, estão sendo cada vez mais usados ​​na criação e uso de identidades digitais. Esses métodos também estão sendo utilizados por questões de segurança, como em verificações de identidade para registro de uma conta. O fornecedor de aplicativos móveis, Yoti, por exemplo, usa o reconhecimento facial durante o registro para executar a verificação de identidade. O reconhecimento facial também está sendo usado para autenticação de transações, como no caso do AppleID.

A voz e o rosto dos indivíduos são um ajuste natural da tecnologia para os casos de uso de identidade digital. A biometria pode tornar a experiência do usuário mais fácil e divertida, mas os cibercriminosos também estão se tornando especialistas nela. A tecnologia deepfake utiliza a biometria e a inverte, usando a confiança inerente em um rosto ou voz para criar campanhas de phishing melhores e mais eficazes. Dessa forma, a menos que implementemos estruturas, os deepfakes causarão grandes estragos no setor de identidade digital.

Não está muito longe o momento em que os deepfakes serão usados ​​para criar uma credencial verificada que será usada para gerar uma identidade de alta garantia. A tecnologia elevará as identidades sintéticas a novas alturas e dará muito trabalho na área de identidade verificada. Quando isso acontecer, as transações online poderão ficar ainda mais expostas a abusos. E com efeito, os crimes serão fraudulentamente legítimos.

Deixando para trás a fraude de identidade

A identidade digital, por sua própria definição, é um ponto central de falha em qualquer transação online. Fornecer altos níveis de garantia dentro dos complexos requisitos estruturais dos sistemas de consumo é um sério desafio.

Se continuarmos a incorporar a biometria facial e de voz em nossas plataformas e serviços de identidade digital, devemos fazê-lo com a fraude de deepfake em mente. Também precisamos continuar a proteger nosso design de aplicativos de identidade digital contra todos os tipos de ataques. Os deepfakes criarão obstáculos para os sistemas que executam verificações de identidade.

O rosto e a voz das pessoas oferecem aos desenvolvedores de sistemas de identidade digital uma maneira simples de verificar e realizar transações. Esses dados biométricos também são uma opção muito necessária para alguns usuários com deficiência, eliminando a necessidade de um teclado. No entanto, precisamos garantir que "o projeto biometricamente seguro" faça parte da nossa missão.

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail