Nas ações de spoofing, uma pessoa mascara sua identidade para cometer fraudes. Isso pode ser feito, por exemplo, via e-mail, se passando por um banco, ou usando um site falso. Existem também as ações envolvendo o uso de dados biométricos de terceiros. Para combater essas ações foram desenvolvidas tecnologias anti-spoofing e, dentre elas, está o liveness detection.
Diariamente, os usuários utilizam diferentes tipos de autenticação, seja por senhas, links, chaves de acesso ou biometria. Esse processo permite acessar serviços que vão desde transações bancárias até o simples desbloqueio de um aparelho. Caso outra pessoa seja capaz de “copiar” esses dados, isso daria acesso a diversas informações sensíveis, criando uma possibilidade de que sejam cometidas fraudes.
Ainda que para muita gente a cópia de dados biométricos pareça coisa de filme de ficção científica, essa realidade é mais comum do que imaginamos. Nesse cenário, o uso de tecnologias de liveness detection se torna imprescindível. Com ela, é possível detectar se um processo de autenticação ou verificação da identidade de uma pessoa está acontecendo “ao vivo” ou se pode ser uma fraude.
Entenda o que é anti-spoofing e o liveness detection e como eles podem ser usados em diferentes cenários de autenticação biométrica.
O que é anti-spoofing?
Para entender o anti-spoofing, precisamos começar com a explicação sobre o que é spoofing, também chamado de spoofing atack. A palavra, em inglês, significa falsificação ou enganação. Nas áreas de segurança, o termo, que é bastante abrangente, pode ser usado para falar de ações em que os fraudadores fingem ser outra pessoa para acessar contas, informações, transações financeiras e muito mais.
O spoofing envolve um comportamento disfarçado, que pode ser de pessoa ou dispositivo confiável, com o objetivo de acessar alguma informação ou transação para a qual não está autorizado. Sempre que um fraudador mascara sua identidade estamos falando de spoofing.
Alguns tipos de ações de spoofing são:
- Spoofing de e-mail: envio de e-mails a partir de um endereço forjado;
- Spoofing de site: criação de um site falso que parece legítimo, geralmente de e-commerce ou serviços bancários;
- Spoofing de IP: alteração do IP da vítima para permitir uma invasão através da rede;
- Spoofing de ID de chamadas: ligações fraudulentas em que é possível disfarçar o ID de chamada para que ela pareça confiável;
- Spoofing de biometria: o fraudador é capaz de simular algum dado biométrico da vítima para conseguir acessar suas informações, contas, dados, etc.
Isso pode ser feito por estratégias de diferentes níveis, desde engenharia social até manipulação psicológica e, também, roubo e uso de dados biométricos de terceiros. Como, por exemplo, na biometria facial, a ação mais comum são as representações 2D. Nesse caso, os fraudadores usam máscaras com o rosto da vítima, ou até mesmo fotos, para autorizar o acesso.
Por esse motivo é que existem as ações de anti-spoofing: estratégias desenvolvidas para barrar essas tentativas de fraude. Para cada tipo de spoofing existem respostas adequadas que vão impedir o sucesso dos criminosos.
O que é liveness detection?
Como explicamos, existem diversos tipos de spoofing. Um deles está focado na biometria dos usuários. Para impedir que isso ocorra, uma das soluções é o liveness detection, um processo de segurança que identifica, durante uma autenticação ou verificação biométrica, se a ação está acontecendo naquele momento de fato.
Também chamado de “prova de vida”, tem como objetivo confirmar a autenticidade do acesso do usuário e evitar o uso de representações fraudulentas como gravações e fotos. O uso de tecnologias com liveness detection é importante para atestar se aquele procedimento realmente está acontecendo “ao vivo” e prevenir o uso não autorizado de informações biométricas de terceiros.
Sem essa tecnologia, seria possível acessar uma conta ou dispositivo de outra pessoa, levando a um cenário gigantesco de possibilidades de fraudes. Com esse processo de detecção do usuário, fica mais difícil que terceiros possam burlar a identificação biométrica uma vez que a veracidade e autenticidade do dado biométrico é detectada pela tecnologia.
💡 Leia mais: Como funciona o liveness detection na biometria de voz?
Importância do liveness detection como anti-spoofing
Para cada tipo de ação de spoofing existem diferentes ferramentas e processos de segurança indicados. O liveness detection é muito importante, sobretudo, para processos que usam a identificação biométrica.
A biometria é um dos processos de autenticação e verificação mais complexos e eficazes que existem. Contudo, como em qualquer modelo de segurança, os fraudadores podem desenvolver uma forma de burlar essas soluções — ainda que seja uma ação complexa.
Nos resultados apresentados pela empresa Agari no relatório Email Fraud & Identity Deception Trends Report (2021), as ações de spoofing e phishing aumentaram cerca de 220% em 2021. Informações do documento Internet Crime Report 2021 (IC3-2021) do FBI sobre crimes cometidos pela internet, mostram que as ações de spoofing levaram a um prejuízo de US $ 82 milhões nesse mesmo ano.
Por isso, o liveness detection surge como um aliado importante na prevenção de fraudes, auxiliando empresas e negócios a garantirem a segurança dos usuários e a impedir os prejuízos causados pelas fraudes.
Tipos de anti-spoofing
Veja alguns exemplos de como as ações anti-spoofing podem ser aplicadas às tecnologias de identificação biométrica:
Biometria de voz
As ações de spoofing relacionadas à biometria de voz geralmente se baseiam em dois tipos:
- Gravação simples: uma simples gravação da voz da vítima que pode ser obtida com ações de engenharia social ou hacking;
- Softwares de simulação de voz: imitação da voz da vítima usando recursos de inteligência artificial capazes de replicar a voz de uma pessoa.
O liveness detection é uma ferramenta essencial para combater esse tipo de fraude. Com ele, é possível obter informações sonoras adicionais que vão detectar a autenticidade daquele processo de autenticação e também determinar se o falante é realmente um humano.
Por exemplo, uma forma fácil de desarticular o primeiro modo de ataque é usando, como chave de acesso, a leitura de frases aleatórias, determinadas de forma randômica. Assim, ficaria difícil ter uma gravação capaz de permitir essa autenticação.
Quanto à detecção de softwares, existem padrões na voz e na fala que podem garantir a identificação da vivacidade de quem está se comunicando. Pessoas, ao contrário de computadores, tem diversas singularidades na fala, que podem ser detectadas por esses sistemas.
Além disso, existe também algo chamado “ruído pop” que são barulhos típicos da comunicação de uma pessoa, como sons de respiração e reverberação do microfone. Há ainda a comparação da intensidade do som para identificar se uma voz é viva ou não, dentre outras características como frequência acústica, pronúncia e muito mais.
💡 Veja ainda: Biometria de voz: como funciona?
Biometria facial
Os principais tipos de spoofing attack na biometria facial são:
- Fotos: mostrar uma fotografia da vítima para realizar o reconhecimento;
- Vídeo: usar um vídeo para realizar o reconhecimento;
- Máscaras 2D e 3D: máscaras faciais com a foto da vítima e também versões mais elaboradas, em formato 3D;
- Outros ataques: maquiagem e até cirurgia plástica.
Para impedir que fraudes dessa natureza aconteçam, existem alguns caminhos possíveis. Um deles é o uso de um sistema de PAD, ou presentation attack detection system, sistema de detecção de ataque de apresentação. Essa estratégia combina diferentes tecnologias anti-spoofing e dentre elas está o liveness detection.
💡 Confira também: Reconhecimento facial e de voz: quais as diferenças?
Biometria digital
No final de 2022, dados de cerca de 600 mil indianos foram vendidos em mercados ilegais. Dentre as informações constava também a impressão digital de cada pessoa. Com esse recurso, essas informações podem criar modelos usando diferentes materiais e usar a biometria das vítimas para cometer fraudes.
O liveness detection nesse caso, pode ajudar detectando características que seriam impossíveis de serem replicadas em materiais sintéticos, como o suor das mãos ou a elasticidade da pele.
Maior segurança com biometria e liveness detection
Ações de spoofing são um problema recente, em processo de desenvolvimento, mas que já estão sendo mitigadas com aplicações como o liveness detection. Sabemos que a biometria está entre os mecanismos de autenticação mais seguros que existem. Por isso, é importante se atentar para detalhes que podem tornar esse processo ainda mais confiável.
Cabe ressaltar que a característica passwordless da biometria a torna ainda mais segura. Para o desenvolvimento de um sistema antifraude realmente eficiente, é fundamental contar com soluções que estão na vanguarda. Não por acaso, três das cinco maiores empresas de tecnologia do mundo anunciaram a adoção de um protocolo pautado pelo fim das senhas.
Para saber mais, confira nosso material sobre passwordless e conheça alternativas, como a biometria de voz, para o fim das senhas:
A seguir, você vai aprender sobre: