A falsificação biométrica não é tão complexa quanto parece
A falsificação biométrica não é tão complexa quanto parece. É basicamente quando alguém imita suas características biométricas para enganar um sistema. Pode ser uma foto impressa, uma impressão digital impressa em 3D ou até mesmo uma voz gravada. Os sistemas básicos de reconhecimento facial podem ser enganados com imagens das redes sociais e Vozes geradas por IA podem imitar pessoas com uma precisão surpreendente.
Um novo estudo descobriu que até mesmo o seu batimento cardíaco pode revelar sua identidade.
“Violações de dados biométricos levantam preocupações, pois identificadores físicos comprometidos não podem ser redefinidos como senhas e muitas vezes precisam ser usados em conjunto com fatores de autenticação adicionais”, disse Nuno Martins da Silveira Teodoro, VP de Segurança Cibernética de Grupo na Solaris.
Como funciona a falsificação biométrica
Os criminosos primeiro coletam informações biométricas usando métodos que vão desde vigilância secreta até interação direta com as pessoas. Isso pode incluir impressões digitais, características faciais ou amostras de voz.
Usando os dados coletados, os fraudadores criam características biométricas falsificadas. As impressões digitais podem ser replicadas com materiais como silicone ou gelatina, enquanto os dados faciais ou de voz podem ser manipulados com ferramentas de software.
Com essas características falsas, os invasores tentam enganar o sistema de autenticação. Eles apresentam os dados fabricados como reais, explorando fraquezas nos algoritmos de reconhecimento do sistema.
Se a falsificação funcionar, os criminosos terão acesso a sistemas ou informações confidenciais. Isso pode levar a fraude financeira, roubo de dados ou representação de identidade.
Os riscos organizacionais das violações de dados biométricos
O acesso não autorizado a dados biométricos pode ter consequências graves para qualquer organização. Tais violações podem expor informações confidenciais da empresa ou do cliente e levar a perdas financeiras.
Dados biométricos roubados podem ser usados para cometer fraudes ou vendidos no mercado negro, e lidar com uma violação pode ser caro. Organizações que não protegem dados biométricos podem enfrentar ações judiciais, penalidades regulatórias ou outros desafios legais.
Ataques de Deepfake têm como alvo sistemas biométricos
O ascensão da IA tornou os ataques de falsificação em sistemas de autenticação mais sofisticados. Agora é mais fácil para os invasores criarem identificadores biométricos realistas, aumentando tanto a escala quanto o risco desses ataques.
Pesquisa do iProov mostra que apenas 0,1% das pessoas conseguem detectar com precisão deepfakes gerados por IA.
Recentemente, pesquisadores de segurança descoberto uma ferramenta de hacking que tem como alvo iPhones desbloqueados, usando vídeos deepfake para fraudar aplicativos bancários por meio de roubo de identidade biométrica. E esta não é a primeira vez que usuários do iPhone são alvos: o Trojan GoldPickaxe iOS, identificado pelo Group-IB e vinculado ao grupo de língua chinesa GoldFactory, foi usado para roubar dados de reconhecimento facial.
“A tecnologia de IA continua a tornar-se mais sofisticada, pelo que as organizações ’ a compreensão dos seus sistemas ’ as vulnerabilidades, a sensibilização para estas ameaças e a tecnologia em vigor para as combater precisam de ser levadas extremamente a sério”, observou Patrick Harding, Arquiteto Chefe da Ping Identity.
Regras globais são mais rigorosas em torno da segurança biométrica
À medida que os sistemas biométricos se tornam mais comuns, novas regulamentações globais estão surgindo para fortalecer a segurança e proteger os dados pessoais.
UE: O Lei de IA da UE, adotado em maio de 2024, classifica os sistemas biométricos por risco. Sistemas de alto risco, como identificação biométrica remota, devem implementar detecção certificada de vivacidade e manter registros de detecção de ataques. A lei restringe o uso de identificação biométrica remota em tempo real em espaços públicos, exceto em casos específicos de aplicação da lei.
Reino Unido: O Projeto de Lei de Proteção de Dados e Informação Digital do Reino Unido, esperado para receber o consentimento real no final de 2025, é necessário consentimento e avaliações de impacto na proteção de dados para processar identificadores biométricos avançados. O objetivo é garantir os direitos dos indivíduos’ e proteger os dados pessoais.
EUA: Introduzido em 2024, o proposto A Lei Americana de Direitos de Privacidade exige modelos biométricos revogáveis e taxas de falsa aceitação muito baixas para sistemas de alta garantia. A legislação ainda está sob revisão, mas aponta para um movimento em direção à proteção biométrica padronizada.
Norma Internacional (ISO/IEC 30107-3:2024): A revisão de 2024 acrescenta testes para detecção de ataques de apresentação, incluindo mídia falsa gerada por IA e máscaras de alta taxa de quadros. Essas atualizações visam acompanhar métodos sofisticados de falsificação.
Estratégias para prevenção
As práticas de segurança podem ser ajustadas para reduzir o risco de violações de dados biométricos. As equipes de TI e os profissionais de segurança cibernética devem se concentrar no seguinte:
Detecção de vivacidade facial: A detecção de vivacidade facial, alimentada por tecnologias como mapeamento facial 3D, é um grande avanço na segurança biométrica. Ao contrário dos sistemas de reconhecimento facial mais antigos, que podem ser enganados por fotos ou vídeos, a detecção de vivacidade garante que a pessoa real esteja presente durante a autenticação.
AMF: Usar vários fatores de verificação é a melhor maneira de aumentar sua segurança. Com AMF, mesmo que sua impressão digital ou dados faciais sejam roubados, um invasor ainda precisará de outra forma de verificação para acessar sua conta.
Atualizações regulares de software: Manter o software do seu sistema biométrico atualizado ajuda a garantir que você tenha as proteções de segurança mais recentes em vigor.
Educação dos funcionários: Educar seus funcionários sobre os riscos do hacking biométrico e como evitá-los pode ajudar a proteger seu negócio. Explique-lhes como os criminosos operam e os métodos mais comuns que usam para roubar ou usar indevidamente dados biométricos.
IA e ML: IA e ML podem fazer coisas que humanos simplesmente não conseguem. Eles podem analisar grandes quantidades de dados e detectar tentativas de falsificação biométrica. Adicionar IA e ML à sua configuração de segurança ajuda sua empresa a ficar à frente dos cibercriminosos. Ele não é apenas mais preciso que os humanos na detecção desses ataques, mas também é muito mais rápido.
Fonte: HelpNetSecurity
Veja também:
Be the first to comment