Nas ações de spoofing, uma pessoa mascara a sua identidade para cometer fraudes. Isso pode ser feito, por exemplo, via e-mail, se passando por um banco ou usando um site falso. Além disso, existem as ações envolvendo o uso de dados biométricos de terceiros.
Para combater essas ações foram desenvolvidas as tecnologias anti-spoofing e, dentre elas, está o liveness detection.
Diariamente, os usuários utilizam diferentes tipos de autenticação, seja por senhas, links, chaves de acesso ou biometria. Esse processo permite acessar serviços que vão desde transações bancárias até o simples desbloqueio de um aparelho. Caso outra pessoa seja capaz de “copiar” esses dados, isso viabiliza o acesso a diversas informações sensíveis, criando a possibilidade de fraudes.
A cópia de dados biométricos é uma realidade mais comum do que parece, portanto, o uso de tecnologias de liveness detection se torna imprescindível. Com ela, é possível detectar se um processo de autenticação ou verificação da identidade de uma pessoa está acontecendo “ao vivo” ou a partir de uma simulação.
Entenda o que é anti-spoofing e o liveness detection e como eles podem ser usados em diferentes cenários de autenticação biométrica.
💡 Leia também: Como proteger a identidade digital para evitar fraudes?
O que significa spoofing?
Para entender o anti-spoofing, é importante entender o que é spoofing, também chamado de spoofing attack. A palavra, em inglês, significa falsificação ou enganação. Nas áreas de cibersegurança, o termo, que é bastante abrangente, pode ser usado para falar de ações em que os fraudadores fingem ser outra pessoa para acessar contas, informações, transações financeiras e muito mais.
O spoofing envolve um comportamento disfarçado, que pode partir de uma pessoa ou dispositivo confiável, com o objetivo de acessar alguma informação ou transação para a qual não está autorizado. Sempre que um fraudador mascara a sua identidade é um caso de spoofing.
Como o spoofing funciona?
O spoofing pode ser realizado de diferentes maneiras e com estratégias de diferentes níveis, desde engenharia social até manipulação psicológica e, também, roubo e uso de dados biométricos de terceiros.
As formas mais comuns de aplicação dessa técnica são: IP spoofing; e-mail spoofing; spoofing de site; spoofing de ID de chamadas; e spoofing de biometria.
IP spoofing
No IP spoofing o objetivo é mascarar o endereço IP de um pacote de dados para enganar o sistema de destino.
Em geral, cada dispositivo conectado à internet possui um endereço IP próprio que o identifica. Assim, no ataque de IP spoofing, o invasor falsifica o endereço IP de origem para parecer que a comunicação está sendo feita de um endereço confiável.
Isso permite que o fraudador acesse recursos restritos, mascare sua identidade e conduza ataques cibernéticos.
E-mail spoofing
No e-mail spoofing, o objetivo é falsificar o remetente de um e-mail para enganar o destinatário.
Os fraudadores podem enviar e-mails com cabeçalhos falsificados, fazendo-os parecer originados de um remetente legítimo, como um banco, uma empresa conhecida ou um indivíduo confiável. Dessa forma, é possível induzir o destinatário a fornecer informações pessoais, como senhas, números de conta bancária ou detalhes de cartão de crédito.
Além disso, o e-mail spoofing também pode ser usado para propagar malware ou aplicar phishing.
Spoofing de site
Nesse tipo de spoofing, os criminosos criam um site falso que se assemelha com um site legítimo, muitas vezes de e-commerce, serviços bancários ou plataformas de login. Por meio de técnicas de design e programação, o site é feito para parecer autêntico e confiável.
O objetivo é enganar os usuários para que insiram informações confidenciais, proporcionando a possibilidade de fraudes, roubos de identidade e outras atividades criminosas.
Spoofing de ID de chamadas
O spoofing de ID de chamadas envolve a manipulação do identificador de chamadas, chamado de “caller ID”, exibido no dispositivo da vítima durante uma ligação. Os golpistas usam tecnologias e serviços disponíveis para alterar ou falsificar o número de telefone ou o nome que aparece na tela do destinatário.
Fazendo com que a chamada se pareça confiável, como de uma instituição financeira ou empresa específica, é possível enganar um terceiro a fornecer dados ou realizar transferências fraudulentas.
Spoofing de biometria
Por fim, o spoofing de biometria envolve a falsificação de dados biométricos, como impressões digitais, reconhecimento facial, biometria de voz e outros recursos para contornar sistemas de autenticação e acessar as informações das vítimas.
Na biometria facial, por exemplo, uma ação de spoofing comum é a representação 2D. Nesse caso, os fraudadores usam máscaras com o rosto da vítima, ou até mesmo fotos, para autorizar o acesso.
Ademais, o deepfake é uma técnica que também está cada vez mais presente nesse cenário e tem gerado muitas preocupações para os profissionais da área de cibersegurança, já que permite criar vídeos, áudios e imagens manipulados digitalmente.
💡 Aprofunde-se: Deepfake: o que é e como prevenir o uso em fraudes
O que é anti-spoofing?
O anti-spoofing é um conjunto de estratégias desenvolvidas para barrar as tentativas de fraude por spoofing. Para cada tipo de spoofing existem respostas adequadas que vão impedir o sucesso dos criminosos.
É importante ressaltar que as técnicas de anti-spoofing estão em constante evolução, principalmente devido ao avanço de novas tecnologias como Inteligência Artificial (IA) e Internet das Coisas (IoT).
Na mesma intensidade, os fraudadores também buscam maneiras de contornar as medidas de segurança.
O que é liveness detection?
Como apresentado, entre os diversos tipos de spoofing existentes, um deles está focado na biometria dos usuários.
Para impedir que isso ocorra, uma das soluções é o liveness detection, um processo de segurança que identifica, durante uma autenticação ou verificação biométrica, se a ação está acontecendo naquele momento de fato.
Também chamado de “prova de vida”, o seu objetivo é confirmar a autenticidade do acesso do usuário e evitar o uso de representações fraudulentas, como gravações e simulações, atestando se o procedimento realmente está acontecendo “ao vivo” e prevenir o uso não autorizado de informações biométricas de terceiros.
Sem essa tecnologia, seria possível acessar uma conta ou dispositivo de outra pessoa, levando a um cenário gigantesco de possibilidades de fraudes. Portanto, seu intuito é dificultar que terceiros possam burlar a identificação biométrica, uma vez que a veracidade e a autenticidade do dado biométrico é detectada pela tecnologia.
💡 Confira: Como funciona o liveness detection na biometria de voz?
Qual a importância do liveness detection como anti-spoofing?
O liveness detection é muito importante, sobretudo, para processos que usam a identificação biométrica como fator de autenticação.
A biometria é um dos processos de autenticação e verificação mais complexos e eficazes que existem. Contudo, como em qualquer modelo de segurança, os fraudadores podem desenvolver uma forma de burlar essas soluções — ainda que seja uma ação complexa.
De acordo com o relatório “2023 Phishing Report” da Zscaler ThreatLabz, empresa de segurança cibernética, os ataques de spoofing e phishing seguem sendo uma das ameaças mais significativas enfrentadas pelas empresas atualmente, já que estas dependem cada vez mais de canais de comunicação digitais.
Informações do documento revelam que esses ataques tiveram um aumento de 47,2% em 2022, se comparado ao ano anterior, deixando claro que os cibercriminosos estão usando técnicas mais sofisticadas para aplicar ataques em larga escala.
Por isso, o liveness detection surge como um aliado importante na prevenção de fraudes, auxiliando empresas e negócios a garantirem a segurança dos usuários e a impedir os prejuízos causados pelas fraudes.
Quais os tipos de anti-spoofing de biometria?
Veja alguns exemplos de como as ações anti-spoofing podem ser aplicadas às tecnologias de identificação biométrica:
Biometria de voz
As ações de spoofing relacionadas à biometria de voz geralmente se baseiam em dois tipos:
- Gravação simples: uma simples gravação da voz da vítima que pode ser obtida com ações de engenharia social ou hacking;
- Softwares de simulação de voz: imitação da voz da vítima usando recursos de inteligência artificial capazes de replicar a voz de uma pessoa.
O liveness detection é uma ferramenta essencial para combater esse tipo de fraude. Com ele, é possível obter informações sonoras adicionais que vão detectar a autenticidade daquele processo de autenticação e também determinar se o falante é realmente um humano.
Por exemplo, uma forma fácil de desarticular o primeiro modo de ataque é usando, como chave de acesso, a leitura de frases aleatórias, determinadas de forma randômica. Assim, ficaria difícil ter uma gravação capaz de permitir essa autenticação.
Quanto à detecção de softwares, existem padrões na voz e na fala que podem garantir a identificação da vivacidade de quem está se comunicando. Pessoas, ao contrário de computadores, tem diversas singularidades na fala, que podem ser detectadas por esses sistemas.
Além disso, existe também algo chamado “ruído pop” que são barulhos típicos da comunicação de uma pessoa, como sons de respiração e reverberação do microfone. Há ainda a comparação da intensidade do som para identificar se uma voz é viva ou não, dentre outras características como frequência acústica, pronúncia e muito mais.
Biometria facial
Os principais tipos de spoofing attack na biometria facial são:
- Fotos: mostrar uma fotografia da vítima para realizar o reconhecimento;
- Vídeo: usar um vídeo para realizar o reconhecimento;
- Máscaras 2D e 3D: máscaras faciais com a foto da vítima e também versões mais elaboradas, em formato 3D;
- Deepfake: criação de imagens sintéticas por meio de inteligência artificial;
- Outros ataques: maquiagem e até cirurgia plástica.
Para impedir que fraudes dessa natureza aconteçam, existem alguns caminhos possíveis. Um deles é o uso de um sistema de PAD, ou presentation attack detection system, sistema de detecção de ataque de apresentação.
Essa estratégia combina diferentes tecnologias anti-spoofing e dentre elas está o liveness detection.
Biometria digital
No final de 2022, dados de cerca de 600 mil indianos foram vendidos em mercados ilegais. Dentre as informações constava também a impressão digital de cada pessoa.
Com esse recurso, essas informações podem gerar a criação de modelos com materiais que simulam a biometria das vítimas para cometer fraudes. O liveness detection, nesse caso, pode ajudar detectando características que seriam impossíveis de serem replicadas em materiais sintéticos, como o suor das mãos ou a elasticidade da pele.
Maior segurança com biometria e liveness detection
Ações de spoofing são um problema relativamente recente, em processo de desenvolvimento, mas que já estão sendo mitigadas com aplicações tecnológicas, como o liveness detection.
Sabemos que a biometria está entre os mecanismos de autenticação mais seguros que existem. Por isso, é importante se atentar para detalhes que podem tornar esse processo ainda mais confiável.
Cabe ressaltar que a característica passwordless da biometria a torna ainda mais segura. Para o desenvolvimento de um sistema antifraude realmente eficiente, é fundamental contar com soluções que estão na vanguarda.
Não por acaso, três das cinco maiores empresas de tecnologia do mundo já anunciaram a adoção de um protocolo pautado pelo fim das senhas. Para saber mais, confira nosso material sobre passwordless e conheça alternativas, como a biometria de voz, para o fim das senhas:
A seguir, você vai aprender sobre:
