Testes de identidade por apps bancários são enganados por deep fakes

A produção de selfies em tempo real, com certas posições ou gestos, se tornou um método usual de verificação em apps bancários ou do setor financeiro, mas não parece resistir às tecnologias de deep fake. Foi isso que mostrou um estudo que aplicou o recurso a documentos, vídeos e também fotos, obtendo sucesso em testes desse tipo como se fossem o usuário original.

• O que é deepfake e como ela funciona?
• Deepfake — sua organização está preparada para responder a esse risco?

O levantamento foi feito pela empresa de segurança Sensity sobre os sistemas dos 10 maiores fornecedores globais desse tipo de tecnologia. Nove delas se mostraram vulneráveis a ataques usando deep fakes, mesmo quando se tratava de vídeos gravados em tempo real pela câmera do celular ou smartphone, na qual o cliente é convidado a realizar certas ações como sorrir ou virar o rosto para que a verificação fosse feita.

Os testes usaram a mesma captura facial de um cliente legítimo de uma instituição. O rosto, então, foi colocado sobre um documento falso, que passou nos testes, e depois em um vídeo, sobreposto ao de outra pessoa, que realizava as ações solicitadas na verificação. Não houve detecção de problemas na maioria dos casos, que incluem sistemas usados por bancos, corretoras de criptomoedas e aplicativos de relacionamento com milhões de utilizadores.

As soluções que não passaram nos testes não tiveram seus nomes divulgados, enquanto o diretor de operações da Sensity, Francesco Cavalli, disse estar decepcionado com a postura de algumas empresas, que afirmaram que os experimentos foram uma quebra em seus termos de uso. Os resultados foram apresentados a todas e, em alguns casos, acordos de confidencialidade tiveram de ser assinados quanto à divulgação dos resultados.

De maneira geral, a companhia de segurança afirma que as empresas não consideraram a exploração como um risco significativo, enquanto o estudo aponta esse como um perigo real. Na mira, estão sistemas financeiros e de criptomoedas, bem como plataformas governamentais; uma das tecnologias testadas, por exemplo, foi usada como validadora de identidade durante as eleições presidenciais de um país africano. Apesar de não ter passado nos testes, também não existem relatos de fraude no pleito por conta de deep fakes.

Ainda que casos de fraudes envolvendo a tecnologia sejam raros, eles já tiveram seus resultados catastróficos. Em 2019, por exemplo, um golpista roubou US$ 243 mil de uma companhia de energia do Reino Unido, ao se passar pelo CEO, enquanto no ano passado, golpistas tentaram se passar por um líder de oposição na Rússia em uma campanha de divulgação de informações falsas, com o objetivo de enfraquecer o partido.

Fonte: The Verge