A Fraude de Identidade Sintética (SIF, pela sigla em inglês) — apropriadamente apelidada de “Fraude Frankenstein” — é uma das ameaças mais aterrorizantes enfrentadas pelos serviços financeiros e governos hoje. Como a criação fictícia de Mary Shelley, essas identidades são costuradas a partir de partes roubadas. Em vez de partes do corpo, os criminosos usam fragmentos de informações pessoais roubadas para criar identidades que andam entre nós sem serem detectadas.
Verificar se identidades sintéticas são reais já é, por princípio, suficientemente difícil. Os fraudadores geralmente são espertos o suficiente para usar dados como o CPF ou o número do beneficiário da Previdência Social que apresentam mais chances de passarem despercebidos. Ou seja, dados de crianças, imigrantes recentes, idosos, pessoas encarceradas e, ainda mais assustador, de pessoas que já morreram.
Nos últimos anos, os fraudadores passaram a contar com ingredientes ainda mais assustadores – a IA generativa e as deepfakes –, tecnologias que estão ajudando a dar vida a identidades falsas. Em uma espécie de completa reanimação, criando personas digitais realistas, com vozes e rostos convincentes para acompanhá-las.
Esses são frequentemente crimes extremamente complexos, e os modelos tradicionais de detecção de fraudes são mal equipados para lidar com eles, tornando necessárias tecnologias de nível bala de prata para mitigá-los o mais rápido possível.
O que são fraudes de identidade sintética
A fraude de identidade sintética envolve a criação de identidades a partir de informações roubadas, fictícias ou manipuladas para enganar organizações. Diferentemente do roubo de identidade tradicional, em que criminosos roubam ou usam indevidamente a identidade de uma pessoa real, a SIF cria personas misturadas inteiramente novas que são mais difíceis de rastrear e detectar.
Esta história de terror moderna é o tipo de fraude que mais cresce no mundo, e ultrapassou o roubo de identidade tradicional:
- A SIF é responsável por 80% a 85% de todas as fraudes de identidade nos EUA.
- Os danos causados pelas Fraudes de Identidade Sintética são impressionantes — as organizações enfrentam perdas estimadas entre US$ 20 bilhões e US$ 40 bilhões anualmente.
- A exposição de credores a identidades sintéticas suspeitas em empréstimos para automóveis, cartões de crédito – bancários e de varejo – e empréstimos pessoais nos EUA atingiu US$ 3,1 bilhões no final de 2023, o nível mais alto já registrado, com recorde também no percentual de identidades sintéticas entre contas recém-abertas.
As redes do crime organizado exploram fraudes de identidade sintética, tirando vantagem de vulnerabilidades em sistemas, um risco significativo para instituições financeiras e programas governamentais, embora o setor de crédito sinalize o maior volume de identidades sintéticas.
Como o horror se espalha: por que a detecção tradicional falha
Cerca de 85% das identidades sintéticas não são detectadas pelos modelos tradicionais de fraude. Ao contrário da fraude tradicional, onde identidades roubadas acionam alertas, a SIF frequentemente é ignorada pelos sistemas de detecção padrão porque os dados usados parecem legítimos. Como nenhuma conta ou identidade de pessoa real é comprometida, as organizações não podem se apoiar nas vítimas para denunciar a fraude. A chave para combater a SIF está na detecção de vivacidade biométrica, que verifica se alguém é um indivíduo real e vivo, garantindo autenticação em tempo real e reduzindo o risco de fraude.
A fraude de identidade sintética é atraente para criminosos porque a combinação de informações reais e falsas dificulta a detecção e, mesmo quando descoberta, rastrear o verdadeiro criminoso e recuperar perdas é altamente desafiador — muitas vezes levando anos para isso acontecer.
Uma técnica conhecida como ‘piggybacking’ permite que fraudadores vinculem identidades sintéticas a contas de crédito de clientes legítimos. Isso permite que a identidade sintética crie credibilidade antes de lançar seu ataque. A identidade sintética pode então começar a abrir suas próprias linhas de crédito, que os fraudadores exploram antes de desaparecer. Essa técnica ressalta o desafio de detectar identidades sintéticas que imitam o comportamento de crédito legítimo, muitas vezes não levantando nenhuma bandeira vermelha até que seja tarde demais.
A evolução: como as identidades sintéticas ganham vida com IA generativa e tecnologia deepfake
A ascensão da IA generativa turbinou a fraude de identidade sintética. A facilidade de criar imagens e vozes sintéticas altamente realistas torna essas personas mais convincentes durante o processo de integração (onboarding) e as verificações de segurança. Não se trata apenas de documentos falsificados, mas de identidades inteiras criadas digitalmente de maneira fraudulenta.
Os fatores que alimentam a SIF não estão diminuindo. Em 2022, 1.774 comprometimentos de dados organizacionais expuseram dados pessoais protegidos de mais de 392 milhões de indivíduos globalmente. Tais dados, obtidos por meio de atividade cibercriminosa, mesclados com ferramentas de IA generativas, criam identidades sintéticas sofisticadas, que estão se tornando cada vez mais convincentes. Tais violações dão aos criminosos uma vantagem inicial, permitindo que eles usem dados existentes em combinação com IA para executar ataques escaláveis, como o credential stuffing, no qual sistemas automatizados inserem nomes de usuários e senhas em páginas de websites para obter acesso não autorizado. Ao mesmo tempo, a tecnologia deepfake está se tornando cada vez mais sofisticada e realista, o que agrava a ameaça de SIF.
As organizações não podem mais confiar apenas na integridade dos dados; elas devem implementar uma verificação mais forte com medidas de detecção de vivacidade para confirmar se o indivíduo por trás dos dados é real.
Como as tecnologias de vivacidade biométrica podem identificar se identidades sintéticas estão realmente “vivas”?
A fraude de identidade sintética pode enganar as verificações de segurança tradicionais, especialmente quando a velocidade é priorizada. A detecção eficaz envolve a verificação facial biométrica, na qual os usuários escaneiam sua identidade governamental e rosto, garantindo que a pessoa corresponda à identidade reivindicada. A detecção de vivacidade, um recurso essencial em soluções biométricas avançadas, é essencial para combater tentativas avançadas de spoofing, incluindo deepfakes e ataques de injeção digital.
A detecção avançada de vivacidade é capaz de estabelecer a “presença genuína” de um indivíduo em tempo real, o que previne falsificações com fotos, máscaras ou deepfakes. Além disso, alguns sistemas baseados em nuvem oferecem detecção e resposta contínuas a ameaças para ficar à frente das ameaças em evolução, tudo sem impactar a experiência do usuário.
Um recurso importante para organizações que buscam avaliar fornecedores que podem fornecer soluções de mitigação de SIF é o Federal Reserve, o Banco Central dos EUA.
A fraude de identidade sintética prospera em organizações que aceitam uma “verdade” construída sobre mentiras. Como Mark Twain escreveu, “A ficção é obrigada a se ater às possibilidades; a verdade não”. A verificação de identidade apoiada pela tecnologia de presença viva genuína existe para encontrar a verdade dentro de uma identidade apresentada – que um rosto é real e vivo.
A escalabilidade e a precisão das soluções biométricas podem ser a diferença entre interromper uma tentativa de fraude ou sofrer perdas financeiras significativas. Em um cenário de fraude crescente, de dependência de identidade remota e do acesso fácil à IA e a imagens sintéticas, a tecnologia biométrica baseada em ciência se tornará cada vez mais indispensável na luta contra a SIF.
Assombração no mundo real: um conto de advertência
Tomemos o caso Adam Arena, que, com seus co-conspiradores, criou uma rede de identidades sintéticas para roubar mais de US$ 1 milhão de bancos. Eles alimentaram essas identidades falsas por anos, construindo históricos de crédito legítimos antes de estourar os limites de crédito e desaparecer sem deixar rastros. O esquema foi tão bem-sucedido que Arena o repetiu, mirando o Programa de Proteção ao Salário do governo dos EUA durante a pandemia.
Doces ou travessuras? Prevenção em vez de cura na luta contra a fraude de identidade sintética
Espera-se que a fraude de identidade sintética se torne um monstro ainda maior. Medidas de segurança tradicionais — senhas, senhas de utilização única (OTP) e até mesmo a verificação biométrica baseada em dispositivo — são ineficazes. Os fraudadores estão evoluindo, usando IA para criar identidades que parecem vivas, mas que carregam a alma do engano.
Para permanecer à frente, as instituições financeiras devem adotar soluções biométricas avançadas com detecção de presença genuína. Ao identificar e interromper identidades sintéticas no ponto de criação da conta, essas tecnologias oferecem a melhor defesa contra uma ameaça crescente.
Segundo o Gartner, “tecnologias de detecção de vivacidade estão se tornando críticas para a defesa contra deepfakes e verificação da presença genuína de um indivíduo”, combatendo, por sua vez, a fraude de identidade sintética. Adotar soluções de verificação de identidade resilientes não é apenas uma recomendação – é uma necessidade. Uma vez integradas, identidades sintéticas são extremamente difíceis de remover.
A iProov fornece tecnologia de verificação facial biométrica para as organizações mais preocupadas com a segurança do mundo. Estamos particularmente bem equipados para combater fraudes de identidade sintética reforçadas pela tecnologia de IA generativa. Lembre-se: os monstros mais perigosos não são sobrenaturais — eles são as identidades sintéticas à espreita em seus sistemas de verificação.