Como golpistas burlaram biometria das contas gov.br e por que isso é grave
Uma investigação da Polícia Federal apontou que criminosos adotaram técnicas avançadas para burlar sistemas de autenticação biométrica das contas Gov.br.
Vídeos manipulados, máscaras 3D e até imagens alteradas com inteligência artificial são ferramentas utilizadas para enganar sistemas como este, segundo especialistas ouvidos pelo UOL.
O que aconteceu
PF suspeita que 3.000 contas foram alvo do grupo que fraudava a biometria. Objetivo dos criminosos era roubar dinheiro e dados de usuários do Gov.br. Criminosos dominam técnicas avançadas para fraudar o mecanismo de reconhecimento facial da plataforma, que centraliza, desde 2020 o acesso a 4.000 serviços públicos digitais.
Sim, é possível burlar a biometria. Sistemas de autenticação facial podem ser enganados por técnicas que simulam a face de uma pessoa. "Isso pode incluir o uso de vídeos manipulados, máscaras 3D hiper-realistas ou até imagens alteradas com inteligência artificial, as deepfakes", explica Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética).
Criminosos utilizaram técnicas de alteração facial para enganar a ferramenta. Chamada de liveness, a tecnologia é usada para saber se a imagem capturada é de um ser humano real, presente e vivo, e não de uma fraude digital. Quando os golpes são combinados com técnicas que mimetizam movimentos humanos (como piscar ou virar a cabeça, por exemplo), é possível enganar sistemas de verificação biométrica.
Golpistas fraudaram perfis para pedir empréstimos consignados. Os criminosos conseguiram driblar a funcionalidade liveness do aplicativo da Previdência Social para tentar resgatar valores a receber do Banco Central ou mesmo aprovar empréstimos consignados no aplicativo Meu INSS.
Como funciona a tecnologia?
Tecnologia liveness usa algoritmos de IA para analisar a imagem facial. O liveness passivo analisa padrões na imagem capturada, como textura da pele, reflexo nos olhos, ruídos de compressão de vídeo e padrões de iluminação, sem exigir ação do usuário. A abordagem é conveniente, mas pode ser mais vulnerável a fraudes sofisticadas, segundo Hiago Kin.
Tecnologia de verificação precisa ser mais robusta. No liveness ativo, por outro lado, há a exigência de que o usuário execute ações durante a verificação, como piscar, sorrir, virar a cabeça ou seguir um ponto na tela. "Isso torna o processo mais robusto, pois exige respostas sincronizadas e naturais que são difíceis de simular", diz o presidente da Abraseci.
Liveness é burlável; criminosos usam ferramentas para explorar falhas. Se o sistema biométrico não tiver sensores de profundidade, detecção de calor corporal ou inteligência artificial robusta para detectar anomalias, ele pode aceitar as simulações como reais. Kin lista a tecnologia usada para enganar o sistema: "Vídeos pré-gravados com expressões variadas, usados em sistemas com liveness passivo. Deepfakes em tempo real, gerados por IA, que simulam o rosto e movimentos de outra pessoa. Máscaras realistas em silicone ou impressão 3D, que conseguem enganar sensores ópticos menos avançados —e este método é o mais atual e cada vez mais acessível por impressoras 3D"
Por que falha é grave?
Especialista diz que governo deve investir em tecnologia com melhor desempenho. "Nem todas as tecnologias de liveness são iguais. Ao adotar uma solução de mercado, é fundamental avaliar a capacidade de entrega do fornecedor, a qualidade do serviço, suas certificações, o potencial de pesquisa e frequência de atualizações", diz Márcia Golfieri, especialista em liveness detection e em autenticação de faces em 3D.
Fraudes são graves e precisam de atenção, afirma Golfieri. "Toda vez que um criminoso toma conta de um perfil individual oficial, ele tem milhares de coisas que ele pode fazer com esse perfil. Isso é muito grave", alerta. "Posso autorizar empréstimo consignado no meu FGTS, autorizar desconto no meu INSS, pedir alvará, abrir empresa no meu nome, abrir uma conta bancária,"
Falhas também aconteceram em outros países. Na Índia, o sistema aadhaar foi alvo de fraudes. Lançada em 2010, a ferramenta se consolidou como um identificador único de 12 dígitos que combina dados pessoais e biométricos de uma pessoa. Nos EUA, houve casos de fraudes em bancos digitais com uso de deepfakes para autenticação facial e abertura de contas.
Como se proteger?
Melhor defesa ainda é a prevenção e o cuidado com a exposição digital. Embora ataques com manipulação facial sejam sofisticados, eles dependem de acesso prévio a dados pessoais e imagens.
Confira cinco principais recomendações:
- Habilite o segundo fator de autenticação (2FA) na conta Gov.br --prefira aplicativos autenticadores (como Authy ou Google Authenticator), mais seguros que SMS;
- Revise permissões e atividades recentes na sua conta regularmente para detectar acessos indevidos;
- Nunca envie fotos de documentos ou selfies com documentos em redes sociais, emails ou apps de mensagem, sobretudo em grupos. As imagens podem ser usadas para montar uma identidade fraudulenta com spoofing facial [uso do rosto de uma pessoa e simulação de biometria facial para roubar a identidade];
- Desconfie de qualquer pedido de validação de identidade fora do app ou site oficial do Gov.br --inclusive se você não estiver fazendo nenhuma ação direta no portal. Por exemplo: se você não está fazendo login naquele momento para usar algum serviço do portal, e mesmo assim está recebendo alguma notificação de validação de login, provavelmente se trata de um golpe;
- Evite usar redes públicas ou redes de vizinhos ou locais que não os seus de acesso comum ou dispositivos não confiáveis para acessar sua conta Gov.br.
Deixe seu comentário
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Leia as Regras de Uso do UOL.