voltarVoltar

Entenda o que é liveness e como os fraudadores tentam burlar a “prova de vida”

Eduardo Carneiro
Siga no Linkedin

A expansão do mercado de biometria facial contribuiu inegavelmente para o avanço da prevenção à fraude e validação das identidades digitais nos últimos anos, em especial após a pandemia da Covid-19 e a aceleração do processo de digitalização da sociedade.

Uma das principais tecnologias utilizadas na biometria para aumentar a confiabilidade da validação do usuário é o liveness. Entenda a seguir como ele funciona e de quais maneiras os fraudadores tentam burlá-lo. 

O que é liveness

O liveness é uma tecnologia que determina se a pessoa que aparece no dispositivo está de fato “live” (ao vivo) e serve para impedir que fraudadores utilizem imagens estáticas ou outros métodos para driblar o reconhecimento facial. 

O termo, traduzido para o português como “prova de vida”, foi utilizado pela primeira vez em 2001, em artigo da cientista da computação norte-americana Dorothy E. Denning. 

De maneira geral, a pesquisadora defende que os sistemas devem ter a capacidade de reconhecer e validar a informação biométrica como sendo verdadeira ou não. Manter estes dados em sigilo não deve ser uma preocupação do usuário, já que qualquer um pode ver seu rosto na rua ou, trazendo para uma realidade mais recente, ter acesso a suas fotos em redes sociais, por exemplo.

O liveness já era usado em antigos sistemas de reconhecimento de impressão digital e foi evoluindo e se adaptando para também aumentar a proteção dos sistemas de reconhecimento facial mais modernos. Atualmente, a tecnologia pode ser dividida em três categorias. 

Tipos de liveness

No liveness ativo, é exigida uma interação do usuário do device. Neste caso, a pessoa prova que está ao vivo cumprindo os chamados desafios – como piscar os olhos, sorrir ou mexer a cabeça.

O liveness passivo, por outro lado, não exige qualquer interação – a não ser colocar o rosto em um local indicado. A tecnologia usa algoritmos e machine learning para analisar a foto capturada e dá uma classificação (score) que determina se ela é válida ou não.

Há ainda o liveness 3D, que reconhece propriedades 3D da foto para detectar se a pessoa está ao vivo.

Principais ataques

Os fraudadores desenvolveram (e continuam desenvolvendo) os mais variados golpes, dos mais simples aos mais avançados, para burlar a segurança do liveness – o que rapidamente impediu que a biometria pudesse ser considerada a “bala de prata” contra a fraude digital. 

Uma das fraudes mais comuns pela relativa facilidade é tirar uma foto de outra foto ou extrair a imagem de um vídeo e depois alterar manualmente a configuração de brilho do dispositivo na tentativa de enganar os reflexos ou flashes gerados pela captura para validar a imagem.

As máscaras também se tornaram uma arma dos criminosos: desde uma simples máscara 2D (impressa com buracos nos olhos e na boca para cumprir os desafios como piscar e sorrir) até uma máscara 3D hiper-realista (bem mais cara e menos escalonável, usada na maior parte das vezes em golpes contra alvos específicos). 

Os fraudadores também apostam na tecnologia deep fake para falsificar vídeos inteiros de vítimas executando os desafios propostos por sistemas de liveness a partir de uma única foto, que pode ser obtida facilmente nas redes sociais.

Além disso, fraudes mais “antigas” como spoofing e engenharia social foram de certa forma adaptadas ao contexto da biometria. No golpe do motoboy, por exemplo, o criminoso se aproveita de dados vazados, vai ao endereço da vítima com um suposto “brinde” e, antes da entrega, pede para tirar uma foto da pessoa alegando que é para “validar sua identidade”. No fim, a imagem é usada pelo fraudador para abrir contas em bancos digitais e aplicar os mais diversos golpes. 

Como proteger sua empresa? 

Diante de tamanha variedade dos golpes e das diversas soluções de biometria oferecidas no mercado, é importante contar com tecnologias que vão além das presentes em quase todos os sistemas de liveness, como a mudança no índice de brilho ou a implementação de desafios padrões. 

A esteganografia, por exemplo, inclui uma marca d’água para garantir a autenticidade e integridade das imagens que foram capturadas e saber se houve alguma manipulação por parte do fraudador. Há também técnicas de proteção contra RRA (resource race attack), que verificam se o streaming da câmera teve o controle roubado. 

VEJA MAIS NO PODCAST EM BUSCA DA BALA DE PRATA:
A biometria e a UX em bancos e fintechs
A evolução da biometria e as criptomoedas
Como a biometria mitiga fraudes em health techs

Além disso, aliar o liveness a outras etapas de segurança, como criptografia, análise de dispositivo, contexto e padrão de uso e bureau de faces (que confirma se a face analisada pertence a um determinado CPF, evitando o uso de imagens de terceiros), potencializa o nível de proteção e ainda melhora a experiência do usuário.   

“A imagem pode parecer legítima, mas foi tirada de um dispositivo desconhecido, de uma localização suspeita e com indícios de engenharia reversa? São informações obtidas por meio de várias camadas de proteção, o que aumenta a segurança. Por outro lado, se o usuário e o dispositivo são conhecidos, não há necessidade de solicitar uma foto a cada acesso, o que aumentaria a fricção”, explica Izabella Melo, software engineer do AllowMe. 

No e-book Biometria Facial Potencializada, produzido pelo AllowMe, explicamos em detalhes como a prevenção à fraude em camadas aumenta a segurança de negócios digitais e como a biometria “sozinha” pode, em alguns casos, comprometer a experiência do usuário e até se tornar onerosa para a empresa. Baixe o estudo abaixo! 

Artigo escrito por Eduardo Carneiro

Eduardo é jornalista formado pela Cásper Líbero e trabalhou ao longo da carreira em veículos como Gazeta, Band, Terra e UOL. Produz conteúdos relacionados à prevenção à fraude, tecnologias e estratégias de proteção aos melhores negócios desde 2019 e juntou-se ao time do AllowMe em 2022.

Acompanhe as novidades