Os métodos antifraudes tradicionais conseguem lidar com uma série de golpes, mas o cenário digital impõe novos desafios. A fraude de identidade sintética é um desses golpes em que os métodos convencionais podem falhar na detecção de fraudes em abertura de contas no processo de onboarding ou o roubo de conta. Nela, um cibercriminoso combina dados reais com informações falsas para criar uma identidade nova, que se assemelha bastante com a de uma pessoa que está começando a acessar serviços bancários e de crédito. 

Pelo fato de o solicitante não ser real, não existe uma vítima que possa alertar as instituições financeiras do que está acontecendo. Muitas vezes, essas instituições só percebem a fraude depois de meses. Sem contar que os rastros nem sempre levam a um cibercriminoso, já que essa pessoa, em tese, não existe.

As fraudes que utilizam identidades sintéticas podem ser bastante difíceis de ser identificadas: cerca de 85% de solicitantes de crédito identificados como potenciais fraudadores sintéticos não foram sinalizados como usuários de alto risco por modelos tradicionais antifraude, desenvolvidos para prever o potencial de fraudes de terceiros no roubo de identidade convencional, como mostra uma pesquisa de 2014 da ID Analytics realizada nos Estados Unidos. 

Os prejuízos também estão na casa dos bilhões de dólares. Um relatório do Federal Reserve de 2016 apontou que empresas de crédito sofreram prejuízos avaliados em US$ 6 bilhões com roubo de identidade sintética, além de essa ser uma das fraudes que mais crescem, principalmente nos Estados Unidos, segundo estimativas da consultoria McKinsey.

A crescente de casos está ligada à quantidade de vazamentos de dados, cada vez mais comuns com a ampliação de ambientes digitais. Afinal, para um cibercriminoso criar uma identidade sintética é preciso reunir informações verdadeiras, como documentos de pessoas físicas, geralmente abundantes nessas brechas. 

Para termos um panorama dessa situação, somente nos Estados Unidos foram expostos mais de 164 milhões de registros sensíveis em 2019, conforme um relatório do Identity Theft Center. Os números não são muito diferentes no Brasil – recentemente, foi relatado um grande vazamento de documentos pessoais de uma empresa de solução de pagamentos automáticos. 

Os pacotes de informações de dados pessoais eram comercializados em um mercado paralelo, variando entre R$ 20 e R$ 40, com dados que incluíam RG, CPF, endereços e até selfies. Nos Estados Unidos, por outro lado, um Social Security Number (documento similar ao CPF, no Brasil) é vendido por cerca de US$ 1. 

Com alguns desses dados em mãos, principalmente com o número de CPF ou RG, um criminoso começa a fabricação de uma identidade sintética, modificando nomes, endereços e data de nascimento. Essa construção de identidade pode variar, incluindo informações completamente fictícias ou versões ligeiramente modificadas de um registro real. 

Depois desse exercício de imaginação, o golpista inicia a principal fase de sua empreitada: obter acesso a instituições financeiras que possam oferecer crédito. Sua primeira tentativa geralmente é frustrada, mas isso faz partes dos planos, já que o golpista ainda não tem score de crédito relacionado com aquela identidade sintética. 

Uma das lacunas no processo antifraude e kyc é que, ao solicitar a abertura de uma conta, o bureau de crédito abre um perfil e histórico de crédito ligado àquelas informações, porque é considerado um novo solicitante. No Brasil, é comum também o uso de informações de pessoas falecidas, que às vezes possuem algum histórico bancário. 

O próximo passo é tentar criar contas em diferentes instituições até que uma de suas solicitações seja aprovada. 

Nos primeiros meses, o uso das contas pode parecer legítimo, também. Essa pessoa eventualmente utiliza o crédito e se mostra um bom pagador, na tentativa de aumentar o seu score e obter créditos maiores, até o momento em que dá um calote. 

Outro método utilizado para aumentar o score rapidamente é por meio do piggybacking, quando o cibercriminoso utiliza engenharia social para obter acesso a conta de uma pessoa com bom histórico e associar a sua identidade sintética como dependente por um breve período de tempo. Posteriormente, o golpista remove suas informações e leva o score consigo.

A fraude com uso de identidade sintética também está relacionada com os tipos de dados que são gerenciados pelos bureaus de créditos. Frequentemente, as informações não combinam exatamente com os dados disponíveis em suas bases – seja por causa de erros de digitação, mudança de nomes de casado, mudanças de endereços, entre outros. Isso possibilita que muitos deles passem despercebido pelas primeiras checagens.

As pessoas que tiveram suas informações roubadas também costumam não perceber o golpe no curto prazo: só se dão conta do problema quando vão em busca de crédito e precisam provar suas identidades ou quando são contatadas por serviços de proteção ao crédito, o que pode levar meses ou anos. 

Um estudo do CyLab de Carnegie Mellon, por exemplo, descobriu que há mais possibilidades de o golpe ser aplicado com documentos de crianças, principalmente porque os pais não estão atentos a possíveis vazamentos e porque não irão procurar crédito no curto prazo.

Parte do combate à fraude de identidade sintética está relacionado com a segurança de bases de dados – seja reforçando as medidas para evitar vazamentos, mas principalmente optando por soluções em que a privacidade vem em primeiro lugar, garantindo o anonimato de usuários, com informações criptografadas e tratadas de formas separadas, principalmente aquelas que identificam diretamente o consumidor.

A defesa contra a fraude usando identidade sintética não pode ser feita tentando identificar o indivíduo pelos dados de identidade em si, já que algumas das informações são reais. É necessário um segundo fator de autenticação. Tecnologias como a biometria, são eficazes neste sentido, pois exigem a prova de vida, de “algo que você é” ou “algo que você faz”, mais difícil de imitar. Existem dezenas de tipos de biometria, porém duas são mais utilizadas: biometria corporal, como a facial ou de impressão digital, ou a mais nova e com menos fricção para o usuário durante o uso de apps, a biometria comportamental.

A biometria facial já é amplamente usada, globalmente é um mercado que deve saltar de US$ 3,9 em 2019 para US$ 7 bilhões em 2024. Já é utilizada por muitos aplicativos como prova de vida, principalmente durante o cadastro da conta. A biometria por impressão digital é a mais antiga, e tida como confiável e barata. Apesar de ambas funcionarem bem para o propósito de segundo fator de autenticação são informações estáticas, então possuem duas fragilidades: o roubo de dados biométricos e hackeamento.

Dados biométricos de identificação estáticos, se roubados em episódios de vazamento, cada vez mais comuns, são sempre iguais e sempre irão nos identificar. Isso oferece um problema de segurança considerável, já que pessoas mal intencionadas poderão utilizar esta informação para sempre, já qualquer tipo de biometria corporal sempre nos identificará. Não podemos, por enquanto, mudar nosso rosto, por exemplo. Além disso, já foi demonstrado por pesquisadores da Tencent no ano passado, na conferência hacker Black Hat USA, que a biometria facial pode ser hackeada, com fotos, óculos que imitam os olhos ou até vídeos.

A biometria comportamental oferece a vantagem essencial de ser muito difícil de ser copiada. Em especial, a biometria comportamental por localização oferece informações dinâmicas, captando o comportamento de locomoção único de cada pessoa, da casa para o trabalho, do trabalho para a academia, para o supermercado… Ninguém tem o mesmo comportamento de visita a locais específicos, o que cria uma impressão digital dinâmica, ou um fingerprint de localização. É possível ler mais sobre as qualidades da biometria comportamental por localização neste post.

Com os golpes e tipos de fraude evoluindo rápido, como é o caso da identidade sintética, e a tecnologia evoluindo com tamanha velocidade, é importante utilizar as técnicas mais recentes de segundo fator de autenticação. A biometria comportamental por localização, é a que desponta como mais inovadora, e com mais qualidades para resolver os riscos apresentados pelo uso da identidade sintética.

Denyson Messias

Por Denyson Messias

General Manager Brasil and Co-founder