Os ataques de apresentação têm como objetivo enganar os sistemas de identificação biométrica por meio da exibição de características falsificadas de uma pessoa. Trata-se de uma técnica usada por fraudadores para simular a presença de um indivíduo real diante de um sistema de verificação, com o intuito de obter acesso indevido ou validar uma identidade falsa.
Para ilustrar, imagine a seguinte situação: um golpista tenta driblar um sistema de verificação facial posicionando uma fotografia do rosto de outra pessoa diante da câmera, simulando ser quem não é. Em outro cenário, alguém utiliza um vídeo previamente gravado com o rosto de uma vítima para tentar se passar por ela durante o processo de validação de identidade, como em um onboarding digital.
Esse tipo de fraude, conhecido como ataque de apresentação, está se tornando cada vez mais frequente e sofisticado com o avanço das tecnologias. Criminosos têm utilizado recursos como deepfakes, vídeos manipulados com inteligência artificial e máscaras 3D extremamente realistas para comprometer a eficácia dos mecanismos de segurança biométrica.
Neste artigo, trarei uma visão detalhada dos principais formatos desse golpe, os motivos que o tornam um desafio tanto tecnológico quanto comportamental, e de que forma soluções desenvolvidas por empresas como a Truora contribuem para impedir esse tipo de violação.
Um ataque de apresentação, também chamado de spoofing biométrico, é uma tentativa deliberada de se passar por outra pessoa usando dados biométricos falsificados para enganar um sistema de verificação. Em vez de invadir um banco de dados, o golpista ataca o ponto de captura da biometria: por exemplo, exibindo uma imagem falsa à câmera no lugar do próprio rosto.
Na prática, o invasor usa uma representação fraudulenta do rosto da vítima ou altera o próprio rosto para se passar por outra pessoa - o que pode incluir fotos, vídeos ou até máscaras tridimensionais que imitam as feições da pessoa-alvo.
O objetivo é o mesmo: enganar o sistema, fazendo-o acreditar que está diante da pessoa verdadeira, quando na realidade é um impostor. Um atacante pode imprimir uma foto em alta resolução, fabricar uma máscara de silicone surpreendentemente realista ou reproduzir um vídeo do rosto da vítima em uma tela — tudo para falsificar a identidade diante dos algoritmos de reconhecimento facial.
Esses ataques ocorrem fora do sistema (mostrando algo para a câmera), não deixando rastros digitais fáceis de detectar. Daí vem a dificuldade: o golpe acontece “ao vivo”, durante a captura biométrica.
Existem diversas formas pelas quais os criminosos realizam ataques de apresentação. Essas práticas envolvem a tentativa de burlar sistemas de verificação biométrica com materiais forjados, simulando a presença de uma pessoa real. Entre as mais conhecidas estão as seguintes modalidades, cada uma com seus próprios métodos e níveis de sofisticação:
É a forma mais básica. O impostor usa uma foto do rosto da vítima (impressa em papel ou exibida na tela de um celular/tablet) e a apresenta diante da câmera, tentando se passar por ela. Se o sistema de reconhecimento facial não tiver defesas contra spoofing, pode aceitar a foto como se fosse a pessoa real.
Exemplo: alguém usa a foto de perfil de uma vítima nas redes sociais para tentar abrir uma conta bancária digital em seu nome.
Aqui o golpista obtém um vídeo do rosto da vítima (por exemplo, de uma videochamada gravada ou extraído da internet) e o reproduz diante da câmera. O vídeo apresenta movimento e pode enganar sistemas básicos que procuram sinais simples de vida (como um piscar de olhos).
Exemplo: reproduzir um vídeo em que a vítima olha para a câmera e pisca, para enganar uma verificação que só exige “mover a cabeça”, sem outras defesas.
Essa é uma versão mais sofisticada do ataque com vídeo. Usando inteligência artificial, gera-se um vídeo sintético do rosto da vítima, sobreposto a outra pessoa ou animado artificialmente.
Os deepfakes podem fazer com que uma pessoa diga ou faça coisas que nunca ocorreram de fato. No contexto de ataque de apresentação, um deepfake em tempo real pode tentar sincronizar o rosto da vítima com os comandos do sistema (como sorrir ou virar o rosto).
Exemplo: usando um software, o invasor grava a si mesmo com uma “máscara digital” do rosto de outra pessoa, de modo que a câmera veja a vítima falando ou se movimentando.
Nesse caso, o impostor usa um artefato físico para alterar sua aparência: pode ser uma máscara de silicone hiper-realista do rosto de outra pessoa, uma prótese ou até maquiagem profissional e acessórios para parecer outra pessoa.
Também se enquadra aqui o uso de maquiagem para ocultar características e evitar que o sistema o reconheça (o oposto: em vez de se passar por alguém específico, ele tenta não ser identificado como ele mesmo).
Exemplo: casos em que impostores usaram máscaras de idosos para passar por controles faciais em aeroportos. Ou golpistas que usam peruca, barba postiça e maquiagem para parecer outra pessoa ao validar a identidade.
Esses quatro tipos ilustram desde os métodos mais simples (foto fixa) até os mais avançados (deepfakes e máscaras sofisticadas). Vale destacar que os atacantes costumam combinar e aprimorar técnicas conforme os sistemas evoluem.
Por exemplo, se um portal financeiro começa a exigir vídeo com movimento, o fraudador deixa de usar fotos e passa a usar vídeos. Se depois é incluída uma prova de vida mais elaborada, ele tenta usar um deepfake treinado para responder aos comandos. Há uma escalada constante entre as medidas de segurança e as técnicas de fraude.
Por que esses ataques geram tanta preocupação? Um dos principais motivos é a dificuldade em identificá-los com precisão. Para alguém sem treinamento específico, uma fotografia bem posicionada ou um vídeo falsificado pode parecer perfeitamente legítimo. Os recursos visuais empregados por fraudadores costumam ser sofisticados o bastante para enganar até mesmo quem está atento.
O desafio é ainda maior para os sistemas automatizados. Muitas soluções tradicionais de reconhecimento facial foram desenvolvidas com base na suposição de que a imagem captada vem, de fato, de uma pessoa fisicamente presente diante da câmera.
Essa premissa cria uma vulnerabilidade importante, pois os algoritmos convencionais nem sempre conseguem diferenciar um rosto autêntico de uma simulação bem-feita.
Diante desse cenário, é necessário empregar algoritmos mais avançados, que consigam identificar sinais delicados de autenticidade. Esses sinais são fundamentais para diferenciar uma tentativa legítima de uma ação fraudulenta, e envolvem elementos como:
Os olhos humanos, quando iluminados, produzem reflexos específicos que mudam de acordo com o ambiente e o ângulo. Fotos ou vídeos muitas vezes não conseguem simular essas variações de forma realista.
A pele possui características complexas, como poros, variações de coloração e microexpressões. Imagens impressas ou digitais geralmente apresentam padrões artificiais ou uniformes que denunciam a tentativa de falsificação.
Piscar, microexpressões e ajustes sutis de foco visual ocorrem naturalmente em uma pessoa viva. Tais movimentos são difíceis de replicar em vídeos falsificados ou deepfakes estáticos.
A análise de profundidade permite identificar se a imagem representa um rosto real em três dimensões ou se está sendo transmitida por uma superfície plana, como uma tela ou papel.
Com base nesses sinais, surgiram soluções de detecção de prova de vida, conhecidas como liveness detection, que funcionam de duas maneiras:
O sistema solicita que o usuário realize pequenas ações em tempo real, como piscar os olhos, virar o rosto para os lados ou sorrir. Essas interações ajudam a confirmar que há uma pessoa de fato diante da câmera.
Sem pedir nenhuma ação direta ao usuário, o software avalia automaticamente a imagem ou o vídeo em busca de inconsistências nos padrões visuais, como ausência de profundidade, reflexos artificiais ou textura incomum.
Ambas as abordagens têm ganhado espaço no combate a fraudes biométricas, principalmente em setores nos quais a verificação de identidade precisa ser rápida, segura e precisa. Vale também destacar que as organizações precisam treinar seus analistas para identificar sinais suspeitos (por exemplo, reflexos estranhos ao redor do rosto que indiquem uma tela) e atualizar constantemente suas ferramentas.
A Truora disponibiliza uma solução completa para verificação de identidade digital, que conta com biometria facial integrada à prova de vida. Na prática, isso significa que, durante o processo de onboarding de um novo cliente, a plataforma vai além da simples comparação entre a selfie enviada e a foto presente no documento.
Ela também verifica se há uma pessoa real, fisicamente presente diante da câmera, no momento da verificação. Com esse recurso, impede-se que fraudadores utilizem fotos, gravações ou reproduções digitais para se passar por outra pessoa.
A prova de vida tem um papel essencial nesse contexto, pois confirma que quem realiza o processo está de fato presente em tempo real, tornando inviáveis tentativas de fraude baseadas em conteúdos estáticos ou manipulados, como deepfakes. A abordagem adotada pela Truora combina métodos ativos e passivos de verificação, ajustando-se ao canal utilizado pelo usuário.
No caso do WhatsApp, por exemplo, em que a empresa oferece uma experiência de onboarding automatizada, o sistema pode solicitar que o usuário grave um vídeo curto como parte do processo. Durante a gravação, a pessoa é instruída a recitar um código numérico fornecido na hora, o que torna mais difícil o uso de gravações pré-fabricadas.
O vídeo enviado passa por uma análise criteriosa, com base em diversas características comportamentais e visuais. A tecnologia avalia o movimento do rosto, observando se há fluidez e naturalidade nos gestos. Mudanças de expressão facial espontâneas também são levadas em conta, bem como a sincronia entre os lábios e a fala do código.
Outro aspecto analisado é o comportamento da luz sobre o rosto, que ajuda a identificar se a imagem tem profundidade real ou se trata de uma superfície plana.
Ao reunir esses elementos em uma única verificação, a plataforma da Truora proporciona uma camada adicional de proteção contra fraudes, favorecendo a segurança e a confiança tanto para empresas quanto para seus clientes. Tudo acontece em segundos e de forma transparente para o usuário legítimo.
Outro diferencial é que a Truora conta com uma equipe de especialistas em identidade que realiza validações manuais adicionais quando o sistema automatizado detecta uma tentativa suspeita.
Essa combinação de IA com revisão humana é altamente eficaz: enquanto os algoritmos bloqueiam a maioria dos ataques conhecidos (foto, vídeo, etc.), os analistas investigam novos padrões e alimentam o sistema com aprendizados para futuras detecções.
O resultado: os ataques de apresentação são neutralizados antes que o golpe se concretize. O impostor não consegue abrir uma conta falsa nem acessar serviços em nome de outra pessoa, porque é detectado a tempo.
Os ataques de apresentação representam uma ameaça concreta e crescente em tempos de autenticação digital. Esse tipo de fraude tem sido utilizado por golpistas que buscam burlar mecanismos de segurança, abrindo brechas perigosas para o uso indevido de dados e o acesso não autorizado a serviços.
Diante dessa realidade, adotar medidas preventivas se torna uma prioridade para empresas que desejam proteger seus sistemas, seus clientes e sua reputação.
O uso de tecnologias de verificação biométrica com prova de vida, como a solução oferecida pela Truora, é um passo importante para garantir que apenas usuários legítimos tenham acesso às plataformas. Ao identificar sinais de vida e analisar traços biométricos em tempo real, a tecnologia bloqueia tentativas de fraude que utilizem fotos, vídeos ou deepfakes.
A realidade é que os golpistas não param. A cada instante, surgem novos métodos para burlar sistemas de autenticação. Por isso, agir de forma antecipada pode evitar prejuízos e transtornos futuros.
Entre em contato com a equipe da Truora e descubra como nossa verificação biométrica com prova de vida pode se encaixar com eficiência nos seus fluxos atuais, elevando o nível de segurança da sua operação.