Durante anos, o setor de identidade digital se concentrou em uma única questão crítica: "O rosto na frente da câmera é real?" Criamos defesas fortes contra ataques de apresentação.

Esse processo é chamado de detecção de ataque de apresentação (PAD). Ele nos ajuda a encontrar falsificações físicas, como fotos, máscaras e vídeos deepfake. Esse foi o equivalente digital de um guarda de segurança verificando as identificações na porta da frente.

Mas e se o intruso não estiver tentando passar pelo guarda? E se ele encontrar uma nova maneira de atacar? Eles poderiam fazer um túnel diretamente no edifício e pular a porta da frente.

Essa é a realidade dos ataques de injeção, uma ameaça mais avançada que torna obsoleta a segurança tradicional focada em câmeras. Temos o orgulho de anunciar que a OZ Forensics obteve uma nova certificação para detecção de ataques de injeção (IAD). O conhecido BixeLab verificou de forma independente essa certificação, seguindo o avançado padrão CEN/TS 18099. Essa certificação reforça o compromisso da Oz com a mais alta proteção contra as formas mais avançadas de ataques.

De identidades falsas a bancos de dados invadidos: A evolução da fraude

Para entender a gravidade dessa mudança, vamos usar uma analogia com o controle de fronteiras:

• Ataque de apresentação (PAD): Um criminoso tenta atravessar uma fronteira usando um passaporte falso de alta qualidade. O trabalho do agente de fronteira é examinar minuciosamente o documento físico e a pessoa que o apresenta, concentrando-se em suas características faciais. Toda a segurança está concentrada nesse único ponto de interação. É isso que normas como a ISO 30107-3 foram projetadas para testar.

• Ataque de injeção (IAD): Um criminoso cibernético ignora totalmente o agente de fronteira. Ele invade o banco de dados da alfândega de um local remoto e insere um registro digital fraudulento de dados biométricos que o lista como um viajante aprovado. Ele pode, então, passar pelos portões automatizados sem nunca apresentar um documento. O sistema foi comprometido por dentro.

É exatamente isso que acontece em um ataque de injeção digital. Os fraudadores podem contornar a câmera do dispositivo. Eles injetam dados prejudiciais, como imagens ou vídeos pré-gravados, no fluxo de dados do aplicativo.

Sua câmera não consegue ver nada. O ataque está ocorrendo no nível do código. Ele tem como alvo o núcleo do sistema de reconhecimento facial.

O surgimento de técnicas avançadas de fraude

Desde o início deste ano, observamos um aumento significativo nos ataques avançados feitos por fraudadores profissionais equipados com tecnologia para contornar a maioria das soluções de liveness. Isso inclui tentativas de combinar deepfakes com técnicas de injeção, métodos de combinação, injeções parciais, ataques baseados em espelhos, injeções em dispositivos iOS e até mesmo injeções sofisticadas de ruído em vídeos.

Embora os ataques de injeção sejam tecnicamente mais complexos, sua frequência já se tornou pelo menos comparável à dos ataques de apresentação. Além disso, seu alto potencial de automação e escalabilidade os torna particularmente perigosos, indicando um risco contínuo de crescimento no número desses ataques.

CEN/TS 18099: O novo padrão para uma nova ameaça

Embora a ISO 30107-3 continue sendo um padrão essencial para o PAD, o surgimento de ataques de injeção exigiu uma nova referência mais específica. A especificação técnica europeia CEN/TS 18099 foi criada exatamente para esse propósito: testar a resistência dos sistemas biométricos contra esses ataques internos em nível de dados.

Nossa avaliação pelo laboratório credenciado BixeLab foi uma guerra simulada, em que nossos SDKs OzLiveness (Web, iOS, Android) foram submetidos a uma enxurrada de técnicas sofisticadas de IAD, incluindo saídas de câmeras virtuais, ataques orientados por emuladores e manipulação direta de APIs. O objetivo era garantir que nossa tecnologia de detecção de vivacidade oferecesse proteção completa.

Os resultados confirmam uma defesa hermeticamente fechada:

• 0% de APCER (Taxa de erro de classificação de apresentação de ataque): Nenhum pacote de dados fraudulento, independentemente do método, conseguiu violar a integridade do nosso sistema. O túnel digital foi bloqueado todas as vezes.

  
  

• 0% de BPCER (Bona Fide Presentation Classification Error Rate): A inteligência do nosso sistema provou ser tão precisa que nunca sinalizou os dados de usuários legítimos como uma ameaça, garantindo uma experiência de usuário sem atritos.

  
  

O que isso significa para sua estratégia de segurança

Essa certificação fornece mais do que apenas outra camada de medidas de segurança; ela oferece um novo paradigma de confiança para todo o seu processo de verificação biométrica.

1. Segurança além do sensor: Você não está mais protegendo apenas o campo de visão da câmera; está protegendo todo o pipeline de dados e as informações pessoais confidenciais que ele carrega.

   
   

2. Uma defesa proativa: Não se trata de recuperar o atraso em relação à fraude de ontem. Trata-se de garantir um processo de integração seguro que esteja preparado para os ataques sofisticados e sistêmicos que definirão os próximos cinco anos.

   
   

3. Confiança verificável e conformidade regulatória: Em um mercado saturado de alegações de "segurança alimentada por IA", essa validação de terceiros fornece prova concreta de resiliência contra uma ameaça específica e avançada, ajudando-o a atender às rigorosas demandas de conformidade regulamentar.

O ponto de controle de segurança mudou. As ameaças não estão mais apenas na porta da frente. Com essa defesa certificada contra ataques de injeção, a OZ Forensics garante que toda a sua infraestrutura digital, baseada em biometria facial avançada, esteja segura, desde a lente até o livro-razão.

Descubra como nossa tecnologia certificada pelo IAD pode proteger sua empresa de dentro para fora. Entre em contato conosco para uma demonstração.