A MITRE ATLAS™, base global de conhecimento voltada à segurança em inteligência artificial, publicou nesta terça-feira, 16 de dezembro, um estudo de caso que revela uma vulnerabilidade crítica no processo remoto de verificação de identidade do tipo Conheça Seu Cliente, conhecido como KYC. A falha foi identificada pela equipe vermelha da iProov, empresa especializada em verificação biométrica de identidade baseada em ciência, e afeta usuários em escala global.
Segundo a publicação, a ameaça representa uma lacuna relevante de segurança em setores como serviços financeiros, bancários e de criptomoedas, nos quais a verificação remota de identidade é obrigatória para o cadastro e autenticação de usuários.
Ataques com deepfakes e injeção de imagens
A contribuição da iProov detalha como ataques de injeção de imagens com troca de rostos, conhecidos como face swap, amplamente disponíveis no mercado, podem ser utilizados para burlar processos de KYC em dispositivos móveis. O estudo de caso demonstra que técnicas baseadas em IA generativa permitem a criação de deepfakes capazes de enganar mecanismos tradicionais de detecção de presença.
Com essa publicação, a iProov passa a integrar um grupo de organizações que contribuem para a MITRE ATLAS, ao lado de empresas como Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike e Trend Micro, que colaboram para o desenvolvimento de estruturas e ferramentas de defesa em segurança cibernética e IA.
Colaboração e fortalecimento da segurança em IA
Para Doug Robbins, vice-presidente do MITRE Labs, o valor da base ATLAS está diretamente ligado à colaboração entre diferentes setores. “A força do MITRE ATLAS reside na amplitude e na qualidade da comunidade que nos apoia. Contribuições de toda a indústria, da academia e do governo, desde descobertas de equipes vermelhas até insights sobre ameaças operacionais, são essenciais para aprimorar a precisão e a abrangência da base da nossa base de conhecimento”, afirma. “Quando as organizações compartilham dados e conhecimento especializado abertamente, coletivamente aumentamos a segurança e a resiliência dos sistemas habilitados por IA e da nação.”
Andrew Newell, Diretor Científico da iProov, destaca que o número de vetores de ataque relacionados à verificação de identidade cresceu de forma significativa ao longo do último ano. “Observamos uma explosão de vetores de ataque relacionados à verificação de identidade nos últimos 12 meses, impulsionada principalmente pelos avanços em IA generativa e pela ampla disponibilidade de ferramentas de baixo custo”, afirma. Segundo ele, a publicação do estudo de caso pela MITRE ATLAS contribui para a identificação e documentação dessas metodologias. “O ritmo da evolução provavelmente só aumentará, tornando essencial que todas as organizações examinem, o quanto antes, suas próprias defesas contra essas novas táticas.”
Impacto nos setores regulados
A validação feita pela MITRE evidencia uma fragilidade crítica em ambientes nos quais a verificação remota de identidade é requisito regulatório. O estudo aponta que soluções baseadas em interação ativa apresentam maior vulnerabilidade, pois dependem da análise de artefatos visuais e do movimento do usuário, elementos que podem ser replicados de forma convincente por deepfakes avançados.
Além disso, o uso de aplicativos de câmera virtual em dispositivos móveis permite que atacantes substituam a câmera física por transmissões de vídeo manipuladas, contornando controles de segurança nativos do hardware.
Detalhes do exercício de ataque
O exercício de segurança foi conduzido pelo chefe da equipe vermelha da iProov, Dr. Panos Papadopoulos, e teve como foco o processo de KYC utilizado por aplicativos móveis nos setores financeiro, bancário e de criptomoedas. A simulação envolveu desde a coleta de imagens faciais públicas até o uso de softwares de IA generativa para criar vídeos deepfake em tempo real.
Durante o processo, a equipe conseguiu se autenticar com uma identidade fictícia em um aplicativo de serviços financeiros, demonstrando que esse tipo de ataque pode permitir o acesso indevido a sistemas sensíveis ou a criação de contas fraudulentas, com potencial de gerar prejuízos financeiros relevantes.
Importância de padrões avançados de verificação
A publicação reforça a necessidade de adoção de padrões mais rigorosos para verificação remota de identidade. O estudo valida a importância de fornecedores que atendam à norma europeia CEN 18099, que estabelece protocolos de teste mais exigentes contra ataques de injeção e representa um avanço nos critérios de segurança biométrica.
De acordo com a MITRE, o compartilhamento dessas informações contribui para que analistas de segurança e desenvolvedores de IA realizem avaliações de risco mais precisas e testes de intrusão internos mais eficazes. A entidade também reforça a importância da colaboração entre governo, indústria e academia para fortalecer a segurança, a robustez e a privacidade de sistemas baseados em inteligência artificial.
