X-Labs
Outubro 31, 2022

Quem tem medo de fantasmas digitais? Fraude sintética e a crise de identidade

Série Future Insights 2023 — Parte 1
Audra Simons

O mundo está se tornando cada vez mais digital e o metaverso talvez seja o exemplo mais visível dessa digitalização. Mas uma crise de identidade online está começando a surgir?
 

Seu cliente pode não existir

Quanto mais compramos, conversamos, navegamos ou fazemos transações bancárias online, menores são as chances de verificar a identidade de alguém pessoalmente. Alguns podem lembrar que é necessário ter um cartão de crédito, passaporte ou algum tipo de identificação genuína fornecida pelo governo para participar de tudo isso.

No entanto, os fraudadores de identidades sintéticas estão se multiplicando no setor financeiro. Eles “misturam” identidades, reunindo-as a partir de fragmentos de informações de identificação que são coletadas através de dados de identidade roubados. As empresas deverão arcar com um custo de cerca de US$ 2,43 bilhões em fraudes em 2023 por causa disso, de acordo com o Aite Group.

Esses fantasmas de identidade são mais macabros do que amigáveis, e usam uma combinação de informações pessoais reais e falsas para criar identidades virtuais. Em vez de um crime de força bruta, esses ladrões digitais usam informações roubadas para começar a construir uma classificação de crédito para uma pessoa que não existe.

Em pouco tempo, o rastro de registros que deixam – pedidos de crédito ou empréstimos, compras online e outras atividades – começa a preceder qualquer identidade real. A partir daí, podem fazer empréstimos e obter altos limites de crédito sem a intenção de pagá-los de volta.

 

Vinculando a identidade digital aos serviços

Se a fraude de identidade sintética já é um problema, por que é motivo de preocupação futura?

Já vimos conteúdo vinculado à identidade ser criticado nos últimos anos, com de 5% a 15% dos usuários do Twitter sendo considerados bots e não pessoas reais. São identidades sintéticas com uma agenda maliciosa: moldar a conversa da praça digital para influenciar a opinião pública.

E à medida que mais serviços governamentais passam a funcionar de forma online, como acesso à assistência social ou serviços fiscais, cresce o desejo de transferir tudo para a Web.

O Reino Unido tentou lançar uma plataforma de garantia de identidade digital chamada GOV.UK Verify.

Seu objetivo era simples: verificar a identidade através de um pequeno número de instituições financeiras confiáveis com parceiros Digidentity e Post Office, a fim de obter acesso a serviços públicos online.

O Verify já saiu da conversa pública e os Correios não aceitam mais novos clientes. Mas a vontade de criar uma plataforma de identidade digital ainda existe: o governo do Reino Unido revelou recentemente planos para reinventar o programa.

Não é inconcebível pensar que, no futuro, alguma forma de “Verificação” se estenderia à maior parte do conteúdo com o qual nos envolvemos online: desde serviços bancários a redes sociais e compras de mantimentos, nossa identidade digital pode estar acessível na Web.

 

Não está muito longe da teoria do blockchain."

Mas uma característica que o blockchain tem, que não é imediatamente visível em um programa no estilo Verify, é a imutabilidade ou confiabilidade das informações. O nível de confiança que teria que ser estendido a essas identidades digitais precisaria ser infalível.

Isso é difícil de fazer quando já sabemos que as empresas encarregadas de verificar identidades são vítimas de fraude de identidade sintética em grande escala.

Forcepoint Future Insaights 2023 series - What will you need to think about in 2023?
 

Protegendo o futuro da identidade

Apesar dos problemas que estão ocorrendo, a interconexão do setor financeiro com a identidade digital crescerá cada vez mais.

Com banqueiros, financiadores e credores aparentemente prontos para serem o porta-estandarte da identidade digital, surge uma pergunta muito importante: essas empresas são seguras o suficiente para armazenar todas essas informações?

Essas instituições precisarão coletar passaportes, documentos legais, demonstrações financeiras e outros documentos confidenciais em nível nacional para verificar identidades. Seriam milhões de documentos de candidatos inundando as empresas – qualquer um dos quais poderia conter um malware.

Para essa atividade, essas empresas precisam se manter seguras no processo de coleta de documentos online. É aqui que o Zero Trust Content Disarm and Reconstruction (CDR) é inestimável.

O Zero Trust CDR pressupõe que nada pode ser confiável e, em vez de tentar detectar malware, extrai as informações comerciais válidas, verifica se estão estruturadas corretamente e, em seguida, cria arquivos novos e totalmente funcionais, tudo em segundos.

A ferramenta é útil para um setor que precisa avaliar constantemente os documentos enviados pelos usuários. Quando um site está envolvido em um empréstimo, as organizações também usam o Remote Browser Isolation (RBI) para limitar qualquer possível ataque malicioso. O RBI permite que os usuários naveguem e interajam com a Web com segurança, neutralizando ameaças online hospedando sessões de navegação na Web dos usuários em um servidor remoto em vez do dispositivo de endpoint do usuário, separando o conteúdo da Web do dispositivo do usuário para reduzir sua superfície de ataque.

Acabar com a fraude de identidade sintética será um desafio difícil que levará anos para ser resolvido. Embora o Zero Trust CDR e o RBI não impeçam a fraude de identidade sintética, eles aliviam as preocupações de segurança para um setor que em breve poderá conter todas as informações confidenciais sobre você - se ainda não o fizerem.

Ainda não podemos verificar totalmente se as informações de uma entidade online são reais. No entanto, o mínimo que podemos fazer é verificar se os dados coletados sobre uma identidade são seguros.

Audra Simons

Audra Simons is the Senior Director of  Global Products, G2CI. Audra is part of the Forcepoint Global Governments team, where her goal is to break new ground in the area of non-ITAR global products and engineering with a focus on high assurance critical infrastructure customers,...

Leia mais artigos do Audra Simons

Sobre a Forcepoint

A Forcepoint é líder em cibersegurança para proteção de usuários e dados, com a missão de proteger as organizações ao impulsionar o crescimento e a transformação digital. Nossas soluções adaptam-se em tempo real à forma como as pessoas interagem com dados, fornecendo acesso seguro e habilitando os funcionários a criar valor.