KYC, ou “Conheça seu cliente”, é um processo destinado a ajudar instituições financeiras, startups de fintech e bancos a verificar a identidade de seus clientes. Não é incomum que a autenticação KYC envolva “imagens de identificação” ou selfies verificadas que são usadas para confirmar que uma pessoa é quem diz ser. As plataformas Wise, Revolut e criptomoeda Gemini e LiteBit estão entre aquelas que dependem de imagens de identificação para maior segurança.
Mas a IA generativa pode lançar dúvidas sobre estes controlos.
Postagens virais para passar em um teste KYC. Não há evidências de que ferramentas de Inteligencia artificial geração para enganar um sistema KYC real, ainda. Mas a facilidade com que são obtidas imagens de identificação profundamente falsificadas e relativamente convincentes é motivo de alarme.
Trapacear KYC
Em uma típica autenticação de imagem KYC ID, um cliente carrega uma fotografia sua segurando um documento de identificação (passaporte ou carteira de motorista, por exemplo) que somente ele pode possuir. Uma pessoa, ou um algoritmo, faz referência cruzada da imagem com documentos arquivados e selfies para (espero) impedir tentativas de falsificação.
A autenticação de ID de imagem nunca foi infalível. Os golpistas fizeram venda de identidades falsas e selfies durante anos. Mas a IA gera uma série de novas possibilidades.
tutoriais online mostram como o Stable Diffusion, um gerador de imagens gratuito e de código aberto, pode ser usado para criar representações sintéticas de uma pessoa contra qualquer fundo desejado (por exemplo, uma sala de estar). Com um pouco de tentativa e erro, um invasor pode modificar as representações para mostrar que o alvo parece ter um documento de identificação. Nesse ponto, o invasor pode usar qualquer editor de imagens para inserir um documento real ou falso nas mãos da pessoa falsificada.
A IA acelerará rapidamente o uso generalizado de criptografia de chave privada e identificação descentralizada. Confira esta “postagem de verificação” do Reddit e a identificação feita com Stable Diffusion. Quando não pudermos mais confiar em nossos olhos para determinar se o conteúdo é genuíno, recorreremos à criptografia aplicada. pic.twitter.com/6IjybWRhRa -Justin Leroux (@0xMidnight) Janeiro 5 2024
Agora, para obter os melhores resultados com o Stable Diffusion, você precisa instalar ferramentas e extensões adicionais e obter cerca de uma dúzia de imagens do alvo. Um usuário do Reddit com o nome de usuário _harsh_, que postou um fluxo de trabalho para criar selfies de identidade falsa, disse que leva de 1 a 2 dias para criar uma imagem convincente.
Mas a barreira à entrada é certamente menor do que costumava ser. Criação de imagens de identificação com iluminação, sombras e ambientes realistas Requer conhecimento avançado de software de edição de fotos. Agora, esse não é necessariamente o caso.
Inserir imagens KYC falsificadas em um aplicativo é ainda mais fácil do que criá-las. Aplicativos Android executados em um emulador de desktop como Bluestacks podem ser induzidos a aceitar imagens falsificadas em vez de um feed de câmera ao vivo, enquanto aplicativos na web podem ser frustrados por software que permite aos usuários Transforme qualquer imagem ou fonte de vídeo em uma webcam virtual.
Ameaça crescente
Alguns aplicativos e plataformas implementam verificações de “atividade” como segurança adicional para verificar a identidade. Eles normalmente envolvem um usuário gravando um pequeno vídeo virando a cabeça, piscando ou demonstrando de outra forma que é realmente uma pessoa real.
Mas as verificações de vida também podem ser contornadas usando IA genérica.
NOTÍCIAS: Nossa pesquisa mais recente já está disponível! Descobrimos que 10 dos provedores biométricos KYC mais populares são altamente vulneráveis a ataques deepfake em tempo real. E o mesmo pode acontecer com o seu banco, seguros ou prestadores de saúde. Relatório completo em https://t.co/vryGJ7na0ihttps://t.co/VVaSZrCZRn - Sensibilidade (@sensityai) 18 de maio de 2022
No início do ano passado, Jimmy Su, diretor de segurança da exchange de criptomoedas Binance, disse ao Cointelegraph que as ferramentas deepfake atuais são suficientes para passar nas verificações de atividade, mesmo aquelas que exigem que os usuários executem ações como virar a cabeça em tempo real.
O resultado final é que o KYC, que já era imprevisível, poderá em breve tornar-se inútil como medida de segurança. Su, por sua vez, não acredita que imagens e vídeos deepfake tenham chegado ao ponto em que possam enganar os críticos humanos. Mas só pode ser uma questão de tempo até que isso mude.
