Os controlos comuns em vigor para combater a fraude financeira – medidas contra o branqueamento de capitais (AML) e requisitos de conhecimento do cliente (KYC) – podem ter encontrado o seu par na IA.
Um serviço clandestino chamado OnlyFake está a utilizar “redes neurais” para criar identidades falsas de alta qualidade e, de acordo com um relatório da 404 Media, qualquer pessoa pode obter identidades falsas geradas instantaneamente com um realismo surpreendente por apenas 15 dólares, facilitando potencialmente uma série de actividades ilícitas.
A conta original do OnlyFake Telegram, sua principal plataforma voltada para o cliente, foi encerrada. Mas a nova conta declara o fim da era do Photoshop, gabando-se da sua capacidade de produzir documentos em massa utilizando “geradores” avançados.
O proprietário do site, usando o pseudónimo John Wick, disse que o serviço pode gerar em lote centenas de documentos a partir de um conjunto de dados do Excel.
As imagens são tão boas que a 404 Media conseguiu ultrapassar as medidas KYC da OKX, uma bolsa de criptomoedas que usa o serviço de verificação de terceiros Jumio para verificar os documentos dos seus clientes. Um pesquisador de segurança cibernética disse à agência de notícias que os usuários estavam enviando IDs OnlyFake para abrir contas bancárias e obter suas contas de criptografia não banidas.
Como é feito
O serviço OnlyFake está a utilizar uma tecnologia de IA bastante básica, embora com grande sofisticação.
Utilizando Redes Adversárias Generativas (GANs), uma forma de IA, os programadores podem conceber uma rede neural optimizada para enganar outra criada para detetar gerações falsas. No entanto, com cada interação, ambas as redes evoluem e melhoram na criação e deteção de falsificações.
Outra abordagem consiste em treinar um modelo baseado na difusão com um conjunto de dados maciço e bem selecionado de IDs reais. Estes modelos são capazes de sintetizar imagens extremamente realistas através do treino de vastos conjuntos de dados de artigos específicos. Aprendem a reproduzir pormenores minuciosos que tornam as falsificações quase indistinguíveis dos documentos autênticos, ultrapassando os métodos tradicionais de deteção de falsificações.
Deve arriscar-se?
Para aqueles que procuram evitar ter de utilizar as suas identidades reais, o OnlyFake é provavelmente tentador. Mas a utilização do serviço traz consigo questões éticas e legais. Sob o verniz do anonimato e o apelo do acesso fácil, estas operações assentam em terreno muito instável.
Uma vez que distribui identificações falsas de muitos países – incluindo os EUA, Itália, China, Rússia, Argentina, República Checa e Canadá – a empresa abertamente criminosa chamou sem dúvida a atenção das autoridades policiais de todo o mundo.
Por outras palavras, o Big Brother pode já estar a observar.
Os riscos vão para além disso. John Wick, por exemplo, pode estar a guardar uma lista de clientes – o que seria catastrófico para o OnlyFake e os seus utilizadores. Além disso, o novo grupo OnlyFake Telegram tem mais de 600 membros, a maioria dos quais pode ser rastreada até aos seus números de telefone associados.
E, apesar de óbvio, vale a pena mencionar que pagar a OnlyFake com métodos de pagamento digitais tradicionais é uma grande proibição.
Embora os pagamentos em criptomoeda ofereçam uma camada de privacidade, também não são completamente seguros contra a exposição da identidade. Inúmeros serviços afirmam ser capazes de rastrear transacções de criptomoedas e, assim, as moedas digitais estão a começar a perder o anonimato que lhes está associado.
E não, o OnlyFake não aceita o token de privacidade de criptografia Monero.
Mais importante ainda, a compra de uma identidade falsa está em contradição direta com as políticas AML e KYC, que estão, pelo menos ostensivamente, em vigor para combater o financiamento do terrorismo e outras atividades criminosas.
O negócio pode estar a crescer, mas será que as possíveis ramificações valem a conveniência rápida e acessível?
Regulamentos em evolução
Os reguladores já estão a tentar lidar com esta nova ameaça. Em 29 de janeiro, o Departamento de Comércio dos EUA propôs um conjunto de regras intitulado “Taking Additional Steps To Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities”.
O departamento quer exigir que os provedores de infraestrutura relatem pessoas estrangeiras que tentam treinar grandes modelos de IA, independentemente do motivo – mas certamente os casos em que deepfakes podem ser usados em fraude ou espionagem são o foco.
Essas medidas podem ainda não ser suficientes.
“A queda do KYC era inevitável com a IA agora criando identidades falsas que passam por verificações”, disse Torsten Stüber, CTO da Satoshi Pay, no Twitter. “É hora de uma mudança: Se uma regulamentação rigorosa é uma obrigação, os governos precisam abandonar a burocracia desatualizada para a tecnologia criptográfica, permitindo a verificação de identidade segura de terceiros.
Claro, o uso de IA no engano vai além de identidades falsas. Os bots do Telegram agora oferecem serviços que vão desde vídeos personalizados de deepfake, onde os rostos dos indivíduos são sobrepostos em filmagens existentes, até a criação de imagens nuas inexistentes de pessoas, conhecidas como deepnudes.
Ao contrário dos serviços anteriores, estes não requerem muito conhecimento ou mesmo hardware potente – tornando a tecnologia amplamente disponível sem sequer ser necessário descarregar ferramentas de edição de imagem gratuitas.
