Uma Nova Era de Fraudes: O Submundo híbrido Only Fake

16/01/2025 mindsecblog Artigos, Notícias 0

Recentemente, o hashtagOnlyFake despertou a atenção global ao oferecer documentos falsos altamente realistas por apenas $15.

Capaz de enganar até os avançados testes de vivacidade, a plataforma operava em escala industrial, gerando até 20.000 IDs falsos por dia. Combinando templates prontos e dados oriundos de planilhas, ela simplificava fraudes em massa.

Curiosamente, conforme investigação da hashtag404Media, o OnlyFake utilizava um modelo híbrido automatizado, unindo layers que foram feitas com Photoshop com fundo, sombras e assinaturas feitas com IA.

Esse modelo híbrido mostra o potencial e os perigos da automação.

Esse cenário reforça que criminosos estão prontos para aproveitar todas as ferramentas ao seu alcance.

Mas qual seria uma solução para combater às fraudes digitais?

Para combater fraudes desse nível, a SOLUÇÃO precisa ser igualmente tecnológica e estratégica.

1 – Segurança por HSMs em nuvem:

O primeiro ponto, sem dúvida, é o uso de módulos de segurança em hardware (HSMs), que armazenam credenciais e gerenciam assinaturas digitais via cloud, reduzindo significativamente a dependência de dispositivos vulneráveis, como smartphones.

Além disso, a utilização de proxies, MFA, UUID, geolocalização, túneis e firewalls contribui para tornar os processos mais seguros e menos dependentes da segurança dos smartphones.

2 – O segundo, seria a criação de IDs com “Incorporation by Reference”: O futuro da validação

A “incorporação por referência” permite que uma identidade herde valores ou dados de outra já validada. Isso cria um sistema de confiança integrado.

Garantindo o reconhecimento em diversos contextos, para a criação de uma: IDENTIDADE AUTODECLARADA, VINCULADA AS REDES E FEDERADA

A identidade digital vinculada às redes, conecta a identidade digital a redes sociais, financeiras e ao blockchain.

Por exemplo, o histórico de publicações em suas redes sociais, poderiam ser utilizados para validar uma identidade.

As suas interações no WhatsApp, validam automaticamente o seu número de celular.

A integração com redes financeiras, como o Pix, são excelentes para validação. Ao pagar um Pix de 1 centavo, é possível confirmar nome completo e parte do CPF de forma simples e confiável. Poderia também utilizar o Open Finance.

Já a parte da identidade digital autodeclarada é federada permitiria que o usuário use a mesma identidade para acessar várias plataformas. (Exe. Conta do Facebook)

Sobre esses itens que estamos criando o IDD da Tap2Pix.org!

Um chamado à ação: proteger o futuro digital

A segurança digital precisa evoluir para acompanhar as ameaças. Empresas, governos e a sociedade devem colaborar para implementar ferramentas inovadoras e políticas rigorosas. A segurança da identidade é o pilar para um futuro digital confiável e resiliente.

100% fake!

Nem o documento, nem o plano de fundo nesta imagem são reais!

Trata-se de uma identidade totalmente gerada por inteligência artificial, com um nível de qualidade impressionante – a ponto de reproduzir detalhes minuciosos, como a sombra de um smartphone projetada sobre o passaporte e a mesa.

A Ascensão do “Fraud as a Service”: Um Alerta para o Mercado de Identificação Digital

Fraud as a Service (FaaS) é um modelo criminoso em que serviços e ferramentas de fraude são vendidos na Dark Web, permitindo que qualquer pessoa realize ataques cibernéticos, falsificação de identidades é burlando sistemas.

Os serviços ainda incluem vendas de dados e exploração de sistemas de segurança.

Facial ID Farms (Fazendas de Face ID): O Mercado das falsificações em massa

Combinando essas tecnologias de IA com a proliferação das chamadas Facial ID Farms (fazenda de Face ID), fraudadores têm acesso a uma verdadeira “indústria” de identidades.

Essas fazendas virtuais na Dark Web não só produzem identidades falsas, mas também oferecem serviços completos para fraudes.

Dados roubados de contas legítimas são misturados com informações fictícias para criar novos perfis de identidade, prontos para escapar de verificações padrão.

Deepfakes e Identidades sintéticas

Uma nova ameaça surge nas sombras da Dark Web: documentos de identidade gerados por inteligência artificial com precisão chocante.

Esses documentos chegam a reproduzir detalhes como sombras ou reflexos capturados em smartphones. E o pior? Não se trata de uma imagem única, mas de ferramentas capazes de criar múltiplas identidades falsas, vídeos e até deep fake em tempo de execução.

Tudo isso a partir de uma única foto retirada de uma rede social.

Os Desafios do KYC

Com essas ameaças em expansão, os sistemas de Know Your Customer (KYC) enfrentam o maior teste de sua história.

A dependência de métodos tradicionais de validação, como biometria facial, já não é suficiente.

Testes de vivacidade (liveness detection), utilizados para confirmar que o rosto apresentado é de um ser humano, estão sendo superados por deepfakes.

Para combater:

LiDAR e o escaneamento das veias: Sensores que capturam a profundidade facial e padrões vasculares fornecem uma camada de segurança praticamente impenetrável, uma vez que são dados ocultos e únicos de cada indivíduo.
HSMs em nuvem: Usado para o armazenando credenciais e gerenciando assinaturas digitais de forma segura, os módulos de segurança de hardware (HSMs) reduz a dependência de dispositivos pessoais como smartphones, minimizando os riscos de manipulação local ao incorporar verificações como MFA, UUID, geolocalização, entre outras.

Para enfrentar os fraudadores, empresas de tecnologia, instituições financeiras e governos precisam adotar uma abordagem proativa, investindo em tecnologias robustas, validações multifatoriais avançadas e auditorias mais rigorosas.

Por: Deivison Arthur