Especialistas apontam os cinco níveis de fraudes na segurança digital
Criminosos utilizam desde impressoras de alta resolução até softwares para falsificar características biométricas
Se a adesão das empresas à biometria é rápida, a atuação de golpistas para usar a tecnologia para fraudes é ainda maior.
Relatório da Veriff, empresa especializada em verificação de identidade e segurança na web, mostrou que 78% dos consumidores brasileiros já foram vítimas de golpes viabilizados por Inteligência Artificial (IA) e deepfakes — conteúdos falsificados (vídeos, áudios ou imagens) gerados com IA para imitar expressões faciais, vozes e gestos humanos.
Segundo o diretor de Threat Intelligence da Apura Cyber Intelligence S.A., Anchises Moraes, criminosos utilizam desde impressoras de alta resolução até softwares para falsificar características biométricas, desafiando a proteção tecnológica de aplicativos de bancos, serviços públicos e plataformas financeiras.
Esses ataques podem ser classificados em cinco níveis de complexidade. O nível 1 utiliza fotos digitais de alta resolução, vídeos em HD e até máscaras de papel, enquanto o nível 2 se baseia em bonecos realistas e máscaras 3D de látex ou silicone. Já no nível 3, os fraudadores recorrem a artefatos ultra-realistas e cabeças de cera.
O nível 4 envolve a alteração de mapas faciais 3D para enganar os servidores de autenticação quanto à “prova de vida”.
O estágio mais avançado, nível 5, inclui a injeção digital de imagens e vídeos diretamente nos dispositivos, ou mesmo o uso de deepfakes altamente convincentes, levando sistemas a aceitar a fraude como se fosse atividade orgânica do usuário legítimo.
Fraudes com deepfake e uso de identidades digitais sintéticas têm crescido no Brasil. Relatórios, como o da Deloitte, publicado pelo portal Infochannel, apontam que o prejuízo econômico com fraudes movidas por IA pode chegar a R$ 4,5 bilhões até o final do ano. Crescimentos de mais de 800% no uso de deepfakes já foram observados.
Anchises esclarece que empresas de cibersegurança têm apostado em múltiplas camadas de proteção para mitigar essas ameaças. Uma estratégia é a adoção de sistemas multimodais: combina-se dados de vídeo, áudio, sensores de temperatura, profundidade e análise comportamental, dificultando a ação dos golpistas.
Sistemas avançados também integram detecção de deepfakes em tempo real e biometria comportamental, que monitora detalhes como velocidade de digitação, pressão sobre o touchscreen e até a forma como o dispositivo é manuseado.
Uso em descontos ilegais no INSS
As fraudes utilizando biometria já afetam serviços públicos como o realizado pelo Instituto Nacional do Seguro Social (INSS), por exemplo.
Recentemente, um empresário teve o celular apreendido por uma CPI sobre o tema, e as investigações revelaram uma movimentação de R$ 103 milhões em um ano e meio.
Segundo relatório do Conselho de Controle de Atividades Financeiras (Coaf) enviado à CPI do INSS, há indícios de transferências incompatíveis com o patrimônio do empresário, que é suspeito de atuar em fraudes de assinatura digital e biometria de beneficiários que tiveram descontos ilegais no INSS.
Segundo a CPI, o empresário está envolvido em irregularidades de R$ 700 milhões.
Para o relator da CPI do INSS, deputado Alfredo Gaspar (União-AL), o empresário de 28 anos “é o coração tecnológico de toda a safadeza e deveria estar preso”. Amparado por um habeas corpus, ele pouco falou em depoimento ao colegiado, no último dia 10, e irritou os parlamentares.
Uma das contas bancárias de Delecrode analisadas pelo Coaf registrou o fluxo de R$ 26,2 milhões em seis meses, entre fevereiro e agosto deste ano.
Alerta com vazamentos de dados
Mais de 1 milhão de condomínios no Brasil já fazem uso do reconhecimento facial para permitir a entrada de moradores, de acordo com a Associação Brasileira de Síndicos de Condomínio (Abrascond).
Mas o avanço no uso dessa tecnologia acontece sem transparência sobre quem coleta e guarda esses dados, que são considerados sensíveis pela Lei Geral de Proteção de Dados (LGPD).
Recentemente, em Jundiaí (SP), moradores de condomínios tiveram dados vazados na internet. As informações — que incluem documentos pessoais, e-mail e até mesmo foto — estariam à venda na dark web e no Telegram.
Os dados expostos são do sistema de reconhecimento facial de uma empresa terceirizada que administra condomínios residenciais e comerciais na cidade.
O caso veio à tona após uma denúncia anônima e é investigado pela Polícia Civil. Uma pessoa, que se identificou como moradora de um condomínio, teria descoberto o vazamento após ser alvo de golpistas. “Já recebi ligações de falsos sequestros”, conta.
Procurada, a empresa disse que foi alvo de tentativas de invasões, mas que o ataque foi neutralizado. Além disso, os responsáveis afirmam que nenhuma informação foi roubada dos servidores.
Escaneamento de íris vira alvo de investigações
A preocupação com os riscos do uso indiscriminado da biometria fez com que um projeto do presidente-executivo da empresa que criou o ChatGPT se tornasse alvo de uma CPI no Brasil e de investigações no mundo todo.
Criada por Sam Altman, a World chegou a disponibilizar neste ano três locais para escaneamento de íris de pessoas, que recebiam em troca R$ 250 e tokens de criptomoedas.
Segundo a organização, o objetivo é criar um “passaporte digital” que ajude a diferenciar seres humanos de robôs de inteligência artificial. Mas o projeto passou a ser proibido em alguns países e investigado em outros, como França, Alemanha e Reino Unido.
Um empresário brasileiro, contratado para gerenciar unidades da operação no País, afirmou ter recebido 268 mil tokens (o equivalentes a R$ 1 milhão), pagos conforme o número de escaneamentos realizados no Brasil.
Análise
“Nossas leis atuais são insuficientes para a questão”
“Os dados biométricos, como seu rosto, são uma chave mestra única e imutável. Se essa chave for roubada de um banco de dados, ela estará comprometida para sempre, pois você não pode simplesmente “trocar de rosto” como troca uma senha. Criminosos podem usar essas informações para se passar por você.
A melhor abordagem é combinar a biometria com outras formas de segurança. Isso é conhecido como Autenticação Multifator (MFA). É como ter várias trancas na porta.
Existem outras formas eficazes de proteger sua identidade on-line. As Passkeys são como chaves digitais superseguras que seu celular ou computador guarda. Outra opção são os tokens de segurança.
Nossas leis atuais são insuficientes para a gravidade dos crimes digitais envolvendo dados biométricos, frequentemente tratando o roubo de dados de forma genérica. É fundamental um endurecimento significativo das penas e multas, para que a lei se torne um verdadeiro impedimento a esses crimes.”
Cinco níveis de fraude
“Os dados biométricos, como seu rosto, são uma chave mestra única e imutável. Se essa chave for roubada de um banco de dados, ela estará comprometida para sempre, pois você não pode simplesmente “trocar de rosto” como troca uma senha. Criminosos podem usar essas informações para se passar por você.
A melhor abordagem é combinar a biometria com outras formas de segurança. Isso é conhecido como Autenticação Multifator (MFA). É como ter várias trancas na porta.
Existem outras formas eficazes de proteger sua identidade on-line. As Passkeys são como chaves digitais superseguras que seu celular ou computador guarda. Outra opção são os tokens de segurança.
Nossas leis atuais são insuficientes para a gravidade dos crimes digitais envolvendo dados biométricos, frequentemente tratando o roubo de dados de forma genérica. É fundamental um endurecimento significativo das penas e multas, para que a lei se torne um verdadeiro impedimento a esses crimes.”
Nível 1
Nível de menor complexidade. Utiliza artefatos simples, facilmente acessíveis, como fotos digitais de alta resolução, vídeos em HD ou até mesmo máscaras de papel para tentar enganar sistemas de reconhecimento facial básicos.
Nível 2
Envolve a criação de réplicas mais elaboradas.Uso de bonecos realistas, máscaras 3D de látex ou silicone ou impressões digitais de gelatina para burlar leitores mais simples.
Nível 3
Recorre a artefatos ultra-realistas e alguma tecnologia. Pode incluir o uso de cabeças de cera ou mapas faciais 3D detalhados.
Nível 4
Utiliza métodos que envolvem a manipulação de dados em trânsito ou no sistema, como injeção de dados biométricos falsos diretamente no sistema ou a manipulação do canal de comunicação entre o sensor e o processador.
Nível 5
Emprega tecnologias avançadas e sofisticadas, muitas vezes baseadas em inteligência artificial. Incluindo o uso de deepfakes (falsificações profundas) de áudio e vídeo, em tempo real, para simular a presença e a voz da pessoa, enganando até mesmo sistemas com detecção de vivacidade (Liveness Detection) menos avançada.
MATÉRIAS RELACIONADAS:
Tags
Comentários