Detecção de vivacidade: Como você não pode ser enganado por fraudadores de identidade
Para combater o aumento da fraude de identidade, as organizações de todos os setores começaram a implementar o escaneamento biométrico (por exemplo, facial, de retina, de impressão digital) como parte de seus processos de integração e login. Além de inovar a forma como as empresas verificam e autenticam os usuários, a biometria também proporciona uma experiência de usuário mais perfeita (como utilizar o FaceID ou o TouchID no seu telefone em vez de tentar lembrar várias senhas).
Embora a tecnologia biométrica tenha se tornado mais onipresente na vida cotidiana, ela não é infalível. Todos nós já vimos aquele filme em que um ladrão profissional usa uma impressão digital sintética para burlar um grande sistema de segurança. Os fraudadores on-line, da mesma forma, têm uma variedade de opções à sua disposição (ou seja, ataques de apresentação) para acompanhar os últimos avanços em segurança, tornando a verificação de identidade on-line e a prevenção de fraudes um jogo interminável de gato e rato.
O que é detecção de vivacidade?
A resposta, em parte, para as vulnerabilidades existentes no escaneamento biométrico é a detecção de vivacidade. Além de usar apenas o reconhecimento facial, de retina ou de impressão digital como meio de verificação de identidade, a detecção de vivacidade vai um passo além, determinando se a fonte da amostra é um ser humano vivo ou um ataque de apresentação, também conhecido como “falsificação do sistema”.
A detecção de vivacidade pode até mesmo ser aplicada à tecnologia de reconhecimento de voz, pois não há limite para o número de vetores que um hacker infiltrará ao tentar fraudar a identidade.
Essencialmente, a detecção de vivacidade utiliza algoritmos baseados em IA para eliminar ataques de apresentação, seja durante um processo inicial de verificação de identidade (por exemplo, alguém que se inscreve em uma conta bancária) ou em qualquer tentativa de autenticação (por exemplo, alguém que faz login em sua conta). Com o reconhecimento facial, por exemplo, a detecção de vivacidade aproveita a tecnologia de visão computacional para detectar com mais precisão se a amostra (uma selfie ou um vídeo) é um rosto humano real que também corresponde ao documento de identidade apresentado.
Detecção de vivacidade ativa vs. passiva
Embora as soluções variem de acordo com o tipo de amostra biométrica que está sendo considerada, há dois métodos principais para a detecção de vivacidade: ativo e passivo.
A detecção ativa de vivacidade, como o próprio nome indica, exige a participação ativa do usuário. No caso do reconhecimento facial, isso pode incluir virar a cabeça de um lado para o outro ou para cima e para baixo, o que permite que a digitalização crie um mapa 3D do rosto do sujeito por meio da percepção de profundidade. Essa versão da detecção ativa de vivacidade é ideal para combater tentativas de falsificação em 2D, em que um fraudador pode tentar contornar uma solicitação de selfie com uma foto da pessoa que está tentando imitar.
Além disso, a detecção de vivacidade ativa é aproveitada quando se pede ao usuário para concluir uma tarefa que não pode ser facilmente recriada por um impostor ou falsificador (por exemplo, piscar ou seguir pontos em uma tela com os olhos).
A detecção passiva de vivacidade, por outro lado, é realizada com pouca ou nenhuma interação do usuário (ou seja, um usuário pode tirar uma selfie sem precisar mover a cabeça). Isso ocorre porque as soluções passivas desenvolveram processos algorítmicos que podem reconhecer um ataque de apresentação com base em um único quadro de dados biométricos. Como a detecção passiva funciona em segundo plano e não requer nenhuma ação por parte do sujeito, ela é considerada o mais simples e fácil de usar dos dois métodos e, normalmente, leva menos tempo para verificar o usuário.
Há também uma versão híbrida conhecida como detecção de vivacidade semipassiva, que requer uma ação simples e menos onerosa do usuário, como fazer com que ele sorria para ser verificado.
Ataques de apresentação que você deve considerar
Conforme observado acima, há vários métodos diferentes que os hackers e fraudadores usam para falsificar o sistema, que estão evoluindo quase na mesma velocidade que os métodos desenvolvidos para impedir ataques de fraude com base em identidade.
Dependendo do nível de sofisticação da varredura biométrica que está sendo infiltrada, os ataques de apresentação podem envolver falsificação 2D ou 3D (ou seja, fotografia ou vídeo), bem como mecanismos de modificação ou replicação (mudar os pelos faciais ou usar uma máscara sintética). Os ataques menos sofisticados normalmente envolvem a tentativa do fraudador de contornar uma varredura de reconhecimento facial com uma foto ou um vídeo do sujeito pretendido.
No entanto, existem vários métodos mais sofisticados que envolvem uma variedade de máscaras (feitas de papel, látex ou silicone), que tentam criar uma renderização em 3D que explora um determinado ponto fraco em uma digitalização biométrica. Os fraudadores usam as mesmas propriedades sintéticas para digitalizações de retina e impressão digital, com o nível de sofisticação geralmente correspondendo ao nível de acesso ou à quantia de dinheiro que o fraudador está buscando, pois os métodos mais avançados de falsificação tendem a ser mais caros.
Para os fraudadores que buscam contornar os escaneamentos faciais por vídeo, o surgimento da tecnologia deepfake tem desempenhado um papel importante. Por meio de deepfakes, a semelhança digital de uma pessoa (até os movimentos faciais) pode ser replicada e sobreposta, permitindo que os hackers se passem por suas vítimas. À medida que a qualidade das deepfakes continua a melhorar, até mesmo as soluções mais avançadas de detecção de vivacidade precisarão avançar ainda mais na inovação, para decifrar melhor o que é falso e o que não é.
Linha de fundo
À medida que evoluímos para uma sociedade cada vez mais digital – e potencialmente sem senhas -, o escaneamento biométrico para verificação de identidade pode se tornar a norma. E, embora não exista uma abordagem única que garanta que você não sofrerá nenhum ataque de apresentação, há vários métodos que sua organização pode implementar para ajudar a detectar quando um usuário autêntico está presente ou não.
Em particular, quando a experiência do usuário é incluída na mistura, é aconselhável criar o mínimo de atrito possível, e é por isso que muitos setores estão priorizando a detecção de vivacidade passiva, especialmente para casos de uso em que a velocidade e a facilidade são essenciais, como o check-in de um voo.
Independentemente de como uma organização planeja implementar a biometria em seu processo de integração de usuários, a detecção de vivacidade desempenhará um papel ainda maior no futuro, pois os fraudadores continuam explorando novas maneiras de falsificar o sistema.
