A nova ferramenta de deepfake movida por IA chamada ProKYC, que permite que atores mal-intencionados contornem medidas avançadas de Know Your Customer (KYC) em exchanges de criptomoedas, demonstra um “novo nível de sofisticação” em fraudes relacionadas a criptos, afirmou a empresa de cibersegurança Cato Networks.
Em um relatório publicado em 9 de outubro, o estrategista-chefe de segurança da Cato Networks, Etay Maor, disse que a nova ferramenta de IA representa um avanço significativo em relação aos métodos antigos que os cibercriminosos usavam para vencer a autenticação de dois fatores e os protocolos KYC.
Em vez de comprar documentos de identidade falsificados na dark web, ferramentas movidas por IA permitem que fraudadores criem novas identidades do zero.
A Cato afirmou que a nova ferramenta de IA foi personalizada especificamente para atacar exchanges de criptomoedas e empresas financeiras cujos protocolos KYC incluem a correspondência de fotos de webcam de um novo usuário com seu documento de identidade emitido pelo governo, como um passaporte ou carteira de motorista.
Um vídeo fornecido pelo ProKYC demonstrou como a ferramenta pode gerar documentos de identidade falsos e vídeos deepfake para passar pelos desafios de reconhecimento facial usados por uma das maiores exchanges de criptomoedas do mundo.
No vídeo, o usuário cria um rosto gerado por IA e integra a imagem deepfake em um modelo de passaporte australiano.
Em seguida, a ferramenta ProKYC cria um vídeo deepfake e uma imagem da pessoa gerada por IA, usados com sucesso para burlar os protocolos KYC na exchange de criptomoedas com sede em Dubai, Bybit.
Vídeo demonstrando o ProKYC em ação. Fonte: Cato Networks
A Cato afirmou que, com ferramentas movidas por IA como o ProKYC, os atores mal-intencionados estão agora muito mais capacitados para criar novas contas em exchanges de criptomoedas, uma prática conhecida como Fraude de Nova Conta (NAF).
O site do ProKYC oferece um pacote com uma câmera, emulador virtual, animação facial, impressões digitais e geração de foto de verificação por US$ 629 como parte de uma assinatura anual. Fora das exchanges de criptomoedas, ele também afirma ser capaz de contornar medidas de KYC para plataformas de pagamento como Stripe e Revolut, entre outras.
Maor disse que detectar e proteger-se contra essa nova forma de fraude movida por IA é desafiador, já que sistemas excessivamente rigorosos podem gerar falsos positivos, enquanto qualquer falha pode permitir a passagem de atores fraudulentos.
“Criar sistemas de autenticação biométrica super restritivos pode resultar em muitos alertas de falsos positivos. Por outro lado, controles relaxados podem resultar em fraudes.”
No entanto, existem métodos potenciais de detecção para essas ferramentas de IA, alguns dos quais dependem de humanos para identificar manualmente imagens e vídeos de alta qualidade incomuns, bem como inconsistências nos movimentos faciais e na qualidade das imagens.
As penalidades para fraude de identidade nos Estados Unidos podem ser severas e variam dependendo da natureza e extensão do crime. A pena máxima é de até 15 anos de prisão e multas pesadas.
Em setembro, a empresa de software Gen Digital, controladora das empresas de antivírus Norton, Avast e Avira, relatou que golpistas de criptomoedas usando vídeos deepfake de IA para atrair vítimas para esquemas fraudulentos de tokens têm se tornado cada vez mais ativos nos últimos 10 meses.