O começo do combate a fraude

No comércio tradicional, sempre houve uma interação face a face entre clientes e varejistas. Nessa era, quando necessária, a autenticação de clientes legítimos era feita por meio da verificação de assinaturas, comprovantes de endereço ou o famoso ‘cara-crachá’. Com o surgimento dos serviços online e a ausência de interação cara-a-cara, um novo desafio surgiu: como verificar se o cliente do outro lado do balcão virtual é quem ele diz ser?

A primeira onda de soluções para endereçar esse desafio usou uma combinação de duas perguntas: “o que sabemos” — ID de usuário, senha, pergunta secreta — e “o que temos” — token / cartão de PIN dinâmico, telefone para contato, etc. Por algum tempo, essa técnica foi efetiva.

No entanto, com o crescimento dos pagamentos online, o crime cibernético também começou a se desenvolver e profissionalizar. Usando métodos que vão desde ataques de phishing e injeção de malware em dispositivos individuais a amplos ataques a data centers para o roubo de um volume gigante de informações, criminosos digitais começaram a conseguir burlar esse fator duplo de identificação. A partir desse ponto, uma nova realidade nos envolveu. Uma realidade em que nossas credenciais online não eram mais seguras, nossas senhas eram conhecidas e perguntas/respostas secretas eram facilmente dribladas.

A biometria como solução?

Assim, a segunda onda de soluções antifraude nasceu da pura necessidade, e a verificação de identidade online mudou de autenticação de dois fatores para uma autenticação multifator. Agora, além de verificar “o que sabemos” e “o que temos”, também tentávamos “quem somos” através de uma gama de técnicas de biometria estática como reconhecimento facial, verificação de impressão digital, voz e leitura de íris. Nesse momento, o reconhecimento de imagens faciais e varreduras de impressões digitais foram constantemente aceitas como a biometria de escolha e foram rapidamente adotadas por vários provedores de serviços financeiros e lojas de e-commerce para verificação de identidade digital.

Agora, como já era de se esperar, o mundo da fraude não ficou parado frente a essas novas barreiras de proteção. Ao mesmo passo que instituições adotaram tecnologia avançada para prevenção de fraudes, técnicas similares começaram a ser exploradas por fraudadores para enganar esses sistemas de proteção de modo a falsificar, mascarar e adulterar os requisitos de autenticação.

Assim como regras fixas de verificação foram vencidas por fraudadores e acabaram perdendo espaço para técnicas adaptativas de inteligência artificial, a biometria estática também não poderia fornecer autenticação segura por muito tempo.

O problema da biometria estática

No fim das contas, o problema central das técnicas estáticas de biometria é a dependência de informações de identificação pessoal para estabelecer a identidade de um indivíduo. Vazamentos de dados tornaram os dados de consumidores do mundo todo facilmente acessíveis. As informações exatas de que os fraudadores precisam para abrir uma conta, desde um número de CPF até seu endereço residencial ou telefone, podem ser facilmente compradas a baixo custo no mundo físico ou digital.

A realidade é que, embora suas impressões digitais ou o mapa da sua córnea possam te identificar de maneira única, você tem apenas um conjunto dessas biometrias; portanto, uma vez copiadas ou roubadas, elas não servem mais como um identificador único.

E o que torna ainda mais essa questão um problema imediato é que seus dados não estão tão seguros quanto você possa imaginar.

De acordo com o QuickView Data Breach Report de 2019, o ano de 2019 bateu todos os recordes já observados em relação a vazamentos de dados, registrando mais de 7.000 vazamentos de dados conhecidos, expondo incríveis 15,1 bilhões de registros comprometidos.

Fig 1: Número de vazamentos de dados reportados por ano; Fig 2: Número de registros comprometidos (em milhões) por ano (fonte: QuickView Data Breach Report de 2019)

Além disso, de acordo com o Data Breach Industry Forecast 2019 da Experian, com a nova tendência de uso de biometria para verificação, cada vez mais, os invasores irão se concentrar em hackear e obter informações biométricas estáticas, como digitais, informação de reconhecimento facial e senhas. E essa tendência já começou.

Em 2019, uma violação conhecida como BioStart2 expôs quase 28 milhões de registros de dados de impressão digital, dados de reconhecimento facial, fotos de rostos, nomes de usuário e senhas não criptografados de usuários em todo o mundo.

E o Brasil não é exceção. Antheus Tecnologia identificou um vazamento no Brasil, em que mais de 81,5 milhões de registros, incluindo 76.000 impressões digitais únicas foram expostas por hackers em 2019.

Semelhante a outras credenciais roubadas, as informações biométricas encontram seu caminho para a Dark Web, onde são colocadas à venda para fraudadores e cibercriminosos. E a partir desse ponto, estão disponíveis para quem quiser pagar o preço. Ao contrário das senhas e endereços de e-mail, que podem ser alterados se comprometidos, os dados biométricos roubados não podem nunca mais ser alterados. Se os seus foram comprometidos, não há mais volta.

A natureza estática das informações biométricas é sua maior fraqueza e as torna um alvo ideal para os fraudadores.

Naturalmente, vemos tentativas de lutar contra esse risco — ainda de maneira ineficaz. Por exemplo, os sistemas de reconhecimento facial incorporaram detectores de vivacidade na tentativa de evitar que as pessoas usem imagens roubadas para autenticação. Talvez você já tenha sido pedido para dar um ‘tchauzinho’ para um aplicativo no seu celular. Infelizmente, essa alternativa não resolve o problema. Tecnologias de deepfake agora têm demonstrado criar com sucesso imagens de vídeo que facilmente enganam os sistemas de reconhecimento facial. E não demorou muito para hackers e fraudadores começarem a utilizar desse novo artifício.

Esse vídeo de 2018 foi um dos primeiros exemplos de tecnologia deepfake que se espalharam pela internet

Dinamismo como solução

A realidade é que os sistemas de impressão digital e reconhecimento facial são vulneráveis a informações biométricas roubadas ou falsificadas. Desse modo, alternativas tiveram de ser desenvolvidas no mundo do combate à fraude.

A terceira onda veio através de biometria comportamental. A principal característica dessa geração é o dinamismo da análise, sendo baseada em múltiplos fatores de identificação que não podem ser facilmente copiados por fraudadores, e que são alterados ao longo do tempo.

A biometria comportamental rastreia o comportamento único dos usuários. Isso envolve características mais conhecidas como perfil de compra (loja, produtos, valor), comportamento de localização ou até práticas de uso online (velocidade de digitação, os movimentos do mouse, mão dominante, entre outros).

Por exemplo, o comportamento de localização exclusivo para cada usuário é extremamente difícil de prever, imitar ou forjar. Com o nível de precisão na identificação de localização que celulares nos oferecem hoje, é possível criar uma impressão digital de localização dinâmica e exclusiva para cada usuário, que pode ser usada para, silenciosamente, em segundo plano, identificar comportamento fraudulento.

Uma das principais diferenças é que a biometria comportamental é dinâmica e baseada no histórico do comportamento, o que significa que os padrões de comportamento estão em constante mudança e, portanto, extremamente difíceis de prever, imitar ou forjar. Isso cria um alvo móvel para os fraudadores. Ao contrário da biometria estática, como impressões digitais que podem ser roubadas e usadas para acessar as contas de um usuário, uma biometria comportamental roubada se torna desatualizada após um curto período de tempo conforme um novo comportamento é adicionado à assinatura exclusiva do usuário.

É exatamente utilizando desse dinamismo de análise que construímos os modelos preditivos na Legiti, levando em conta não só características estáticas do usuário final, mas também seu comportamento — tanto no mundo real quanto digital. Esse dinamismo é o único caminho que oferece uma resposta adaptativa ao infinito jogo de xadrez entre fraudadores e Legiti-mos.