Um mercado clandestino está mirando um dos mecanismos centrais de confiança das finanças digitais

A MIT Technology Review relata que golpistas estão usando ferramentas ilícitas vendidas no Telegram para burlar as verificações de identidade usadas por bancos e plataformas de criptomoedas, especialmente os scans faciais de “Conheça Seu Cliente”, ou KYC. Em sua investigação, a publicação identificou 22 canais e grupos públicos no Telegram em chinês, vietnamita e inglês anunciando kits de bypass e dados biométricos roubados. As ferramentas são apresentadas como formas de contornar sistemas de compliance que deveriam confirmar tanto que uma conta pertence a uma pessoa real quanto que o rosto do usuário corresponde aos documentos de identidade enviados originalmente.

As implicações são graves porque as checagens de KYC são fundamentais para a forma como as finanças digitais filtram fraude, contas laranja e lavagem de dinheiro. Se essas checagens puderem ser transformadas em mercadoria, vendida abertamente por canais de mensagens, então o que parece uma camada de segurança pode cada vez mais funcionar como uma oportunidade de mercado para especialistas do crime. A história não é apenas sobre um exploit esperto. É sobre uma cadeia de suprimentos para evasão de identidade.

A reportagem sustenta essa preocupação com um exemplo vívido. Um golpista operando a partir de um centro de lavagem de dinheiro no Camboja demonstra um aplicativo bancário vietnamita que pede uma foto vinculada à conta e depois uma verificação de vivacidade por vídeo. Em vez de usar um feed legítimo de câmera ao vivo, o golpista usa uma imagem incompatível e ainda assim passa. Segundo a investigação, isso é possível porque muitos kits de bypass substituem o fluxo esperado da câmera ao vivo por outros vídeos ou imagens por meio de uma técnica de câmera virtual.

A fraqueza está em como a “vivacidade” pode ser falsificada no nível do dispositivo

O ponto técnico central no texto fornecido é que essas ferramentas normalmente não derrotam sistemas biométricos imitando perfeitamente um usuário real no nível da plataforma. Em vez disso, elas comprometem o sistema operacional do celular ou o ambiente do aplicativo para que o feed da câmera possa ser trocado. Uma vez que uma verificação de vivacidade aceita uma entrada falsa como se fosse vídeo em tempo real, o restante do processo de segurança pode desmoronar.

Isso importa porque muitos usuários presumem que checagens faciais são inerentemente mais fortes do que senhas ou uploads básicos de documentos. Em princípio, muitas vezes são. Mas a reportagem da MIT Technology Review mostra como sua eficácia depende fortemente da integridade do dispositivo e da cadeia do aplicativo. Se os golpistas podem controlar o que o app vê, então a checagem facial pode se tornar menos uma salvaguarda biométrica e mais um teste de apresentação vulnerável a ferramentas e serviços de fraude.

A investigação diz que esses kits afirmam mirar instituições que vão de grandes exchanges de cripto, como Binance, a bancos, incluindo o BBVA da Espanha. Alguns canais tinham milhares de membros ou assinantes. Mesmo que nem toda afirmação nesses canais seja válida, a escala da publicidade descrita no material de origem sugere um mercado maduro o suficiente para merecer preocupação.

No one’s sure if synthetic mirror life will kill us all
More in Innovation

O sonho da “vida espelho” da biologia sintética virou um debate sobre risco catastrófico

Pesquisadores já viram microrganismos espelhados como um projeto científico de fronteira com grande potencial médico. Agora, alguns dos mesmos cientistas alertam que a tecnologia pode representar riscos biológicos existenciais.

Read article

O crime financeiro está se tornando mais orientado a serviços

Uma característica marcante do ecossistema do Telegram relatado é o quão explicitamente ele é comercializado. A história descreve canais anunciando “todos os tipos de serviços de verificação KYC” e se apresentando como seguros e profissionais. Essa linguagem é reveladora. Ela sugere uma economia criminal que cada vez mais imita empresas legítimas de software e terceirização. Em vez de exigir que cada quadrilha de fraude invente seus próprios métodos, especialistas podem vender capacidades de bypass prontas para uso a uma rede ilícita maior.

Esse modelo de serviço aumenta o risco sistêmico. Quando as técnicas de fraude se tornam produtos padronizados, elas se espalham mais rápido, alcançam atores menos sofisticados tecnicamente e se tornam mais difíceis de conter com contramedidas pontuais. Bancos e exchanges podem melhorar uma camada de defesa apenas para descobrir que um novo pacote já está à venda ensinando operadores a contorná-la.

A investigação também aponta para a dinâmica de gato e rato já conhecida na segurança financeira. À medida que as instituições implementam etapas mais avançadas de onboarding e verificação, os criminosos se adaptam. O que torna esta rodada mais consequente é que a adaptação mira diretamente os sistemas de confiança biométrica que muitas empresas trataram como um caminho natural de atualização.

Por que isso importa além de cripto ou de uma região

Embora a reportagem traga exemplos ligados ao Camboja, a aplicativos bancários vietnamitas e a exchanges globais de criptomoedas, a questão central não é geograficamente restrita. Qualquer instituição que dependa fortemente da verificação de identidade por telefone deve prestar atenção. Se grupos públicos podem comercializar abertamente ferramentas para burlar checagens biométricas, então a ameaça é mais ampla do que qualquer app ou país.

A importância também vai além das perdas imediatas por fraude. Sistemas KYC sustentam o compliance anti-lavagem de dinheiro, a integridade das contas e a capacidade de vincular a atividade digital a pessoas reais. Enfraquecer esses sistemas significa facilitar a abertura de contas laranja, mover fundos ilícitos e criar novas camadas de distância entre os organizadores do crime e o dinheiro em si.

A reportagem da MIT Technology Review não sugere que KYC seja inútil. Ela mostra que tecnologias de compliance só são tão fortes quanto os controles de dispositivo, a detecção de fraude e o ceticismo operacional que as sustentam. As instituições financeiras talvez precisem tratar o onboarding biométrico menos como um problema resolvido e mais como um componente em um ambiente de segurança continuamente contestado.

A lição mais importante é que a verificação de identidade agora é um campo de batalha ativo com ferramentas de ataque comercializadas. Isso muda a pergunta de se agentes mal-intencionados conseguem burlar o KYC para quão barato, quão abertamente e quão frequentemente eles conseguem fazer isso. Pelas evidências apresentadas aqui, a resposta é preocupante o suficiente para exigir uma revisão de rumo.

Este artigo é baseado na reportagem da MIT Technology Review. Leia o artigo original.

Originally published on technologyreview.com