Fraude de identidade: a crescente ameaça da IA

Por que as deepfakes são uma ameaça em termos de fraude online?

Como consumidores, esperamos cada vez mais acesso remoto 24 horas por dia a uma ampla gama de empresas. Mas a rápida migração de grande parte de nossas vidas para o ambiente online, impulsionada em parte pela pandemia de COVID, teve o efeito colateral indesejado de criar novas oportunidades para fraudadores

“Se olharmos o que aconteceu nos últimos três a cinco anos, vimos essa massiva digitalização de serviços que eram anteriormente muito tradicionais, muito físicos,” diz David. “O que isso significa é que, de repente, você tem um conjunto de jogadores muito tradicionais, com processos muito tradicionais e bem estabelecidos, que devem se mover rapidamente para o espaço digital.”

Como David aponta, os criminosos adoram novos processos, uma vez que sua novidade significa que ainda não foram totalmente testados ‘em campo’ e são, portanto, mais vulneráveis a fraquezas. Em teoria, muitas dessas fraquezas podem ser ‘eliminadas’, mas a velocidade da digitalização significa que isso muitas vezes não acontece.

Uma das principais questões para muitas atividades online, desde bancos, pagamentos, saúde e serviços governamentais até aluguel de carros e jogos, é a necessidade de verificar a identidade do usuário que tenta realizar uma transação.

“À medida que todos esses serviços foram digitalizados, os fraudadores descobriram que uma das fraquezas que podem explorar é conseguir manipular ou melhorar digitalmente essa verificação de identidade,” diz David.

Nossa pesquisa para o Relatório de Fraude da Veriff 2024 descobriu que quase um terço das mídias alteradas que encontramos no último ano envolveu manipulação digital. Esse é um número que só esperamos que aumente à medida que a tecnologia de deepfake se torne mais barata e acessível.

Maarten concorda que o uso de deepfakes na fraude de identidade só pode crescer.

“O limiar para criá-las se tornará cada vez mais baixo à medida que essas tecnologias se tornem mais fáceis de acessar,” comenta. “Portanto, não se trata apenas de ataques estatais ou criminosos muito profissionais, mas será todo mundo, sabe, todo garoto script pode usar essas ferramentas muito rapidamente.”

Usando biometria em um ecossistema holístico de prevenção de fraudes

A crescente regularidade e escala de vazamentos de dados destacou os problemas com métodos tradicionais de verificação de identidade baseados em senha ou conhecimento. A busca por melhores meios de autenticação levou a biometria a ser divulgada como uma espécie de remédio. No entanto, a qualidade crescente da tecnologia deepfake significa que, ao adotar biometria, é importante estar ciente dos riscos e deve ser usada com pontos de dados adicionais.

“É uma maneira óbvia de proteger uma conta,” comenta David. “Mas à medida que as deepfakes se tornam mais e mais sofisticadas, definitivamente precisamos pensar sobre o risco que isso traz para proteger uma conta com um rosto, ou mesmo uma voz.”

"[...] o desafio para nós, como indústria, é usar as mesmas tecnologias, mas de maneira um pouco mais inteligente e um pouco mais rápida [...] tentando acompanhar os maus." adicionou Maarten.

Como players da indústria, particularmente aqueles com uma visão global em nosso campo, podemos identificar não apenas organizações criminosas individuais ou tipos de ataques, mas podemos analisá-los coletivamente. Como resultado, podemos desenvolver ferramentas que aproveitam conjuntos de dados amplos que abrangem diversas ameaças.

Documentos de identidade também podem ser vulneráveis à manipulação baseada em IA

A empresa de Maarten, Inverid, é especializada no uso de tecnologia de comunicação de campo próximo (NFC) para verificar a identidade através de documentos baseados em chip, como passaportes e carteiras de identidade. Ele diz que, felizmente, a IA generativa ainda não foi empregada em grande escala para falsificar documentos oficiais, mas isso poderia mudar facilmente

“Fizemos alguns testes recentemente e as ferramentas ainda não estão lá. Portanto, muito claramente, seja você humano ou um algoritmo, verá que isso é uma falsificação, porque acho que houve menos atenção sobre isso. Mas o potencial dessa tecnologia certamente está lá.”

David concorda que para documentos falsificados gerados por IA, não se trata de se eles aparecerão, mas de quando.

“Acho que certamente haverá redes que são treinadas em imagens de documentos reais e capazes de reproduzi-los com os dados que você precisa muito facilmente,” ele diz.

Ataques automatizados e modelos combativos

Se tudo isso parece um pouco assustador, a má notícia é que a fraude de identidade alimentada por IA ainda está apenas em sua infância. À medida que o uso da IA pelos criminosos evolui, os ataques crescerão tanto em escala quanto em sofisticação

“Uma das previsões que tenho para o futuro próximo é a junção de dados (roubados) que podem ser comprados e vendidos na internet com tecnologia de IA para permitir que fraudadores automatizem esses ataques,” diz David. “Portanto, você tem mil credenciais de identidade. Você tem um gerador de selfies e documentos deepfake. Você os mistura e os alimenta através de uma API em um alvo – mesmo que você consiga apenas alguns por cento de acertos, é uma maneira muito barata de atacar clientes.”

Maarten concorda que a capacidade da automação de facilitar ataques é uma grande preocupação.

“Acho que especialmente a escalabilidade se torna relevante,” diz ele. “Suponha que não somos ágeis o suficiente, não conseguimos treinar nossas redes rapidamente o suficiente para combatê-los. Então, é claro, estaremos em grandes apuros.”

Abordar a fraude baseada em IA envolverá uma abordagem em camadas

“A coisa que você aprende repetidamente é que não há uma bala mágica, uma única peça de qualquer coisa que possa parar todos os tipos de fraude,” diz David.

Em vez disso, ele diz que a melhor abordagem é combinar camadas de defesa que juntas criam fricção suficiente para desencorajar ataques.

“Trata-se de reduzir o ROI para o fraudador, colocando muitas barreiras em seu caminho.”

Acesse o Relatório de Fraude da Veriff 2024, aqui.