News

[PT] The Brazilian cybercrime community is now building a nationwide Facial Recognition System

[PT] The Brazilian cybercrime community is now building a nationwide Facial Recognition System
Entenda a história e a evolução dos painéis de consulta de dados no Brasil e como seus operadores conseguiram criar um sistema de reconhecimento facial.

Introdução

O Brasil enfrenta há anos problemas relacionados à privacidade dos dados de seus cidadãos. A natureza descentralizada dos sistemas governamentais, a ausência de protocolos rigorosos de segurança e o descaso com auditorias regulares compõem o cenário ideal para a exploração de falhas e o roubo de informações de diferentes entidades do governo.

Remetendo ao passado, em meados de 2015, a comunidade "hacker" da época (composta por amadores, entusiastas e estudantes) encontrou uma nova forma de buscar informações pessoais de qualquer pessoa com um registro de Pessoa Física no Brasil. Um único sistema, chamado CADSUS (Cadastro do Sistema Único de Saúde), permitia que profissionais da saúde pesquisassem informações de pacientes em âmbito nacional.

Dez anos após esse fato, a comunidade "hacker" atual (composta por fraudadores, criminosos organizados e estelionatários) criou um sistema que, a partir da foto do rosto de uma pessoa, torna-se possível descobrir todas as suas demais informações pessoais: veículos em seu nome, dados da CNH, endereços, telefones, e-mails, parentes, dívidas, classe social e econômica, emprego e empresas registradas.

Hoje, vamos explorar a mais nova e ousada empreitada do cibercrime: um sistema de reconhecimento facial que atinge milhões de pessoas em diversos estados brasileiros e que, em breve, muito provavelmente, poderá ser utilizado em todo o território nacional.

Os painéis de consulta evoluíram nos últimos anos

Um "painel de consulta", como é conhecido no Brasil, consiste em um site onde é possível consultar informações pessoais de qualquer pessoa. Geralmente, o acesso a esses sistemas é vendido por meio de uma assinatura mensal que varia, em média, de 100 a 300 reais. O sistema oferece acesso a diversos "módulos", cada um com uma finalidade específica. Estes módulos servem para realizar diferentes tipos de consultas. Na maioria dos painéis, existem módulos para consulta de veículos vinculados a um CPF, endereços relacionados a um CPF, dados básicos completos, dívidas em nome da pessoa, benefícios do governo, entre muitos outros.

Estes "painéis de consulta" já existem há bastante tempo e são sempre semelhantes entre si. Sua principal função é fornecer um amplo catálogo de opções para consultas de dados, atendendo à demanda de quem deseja essas informações sobre terceiros. Para isso, os painéis de consulta se integravam a sistemas externos para realizar as consultas "on demand" para seus usuários. Não era raro, por exemplo, haver um módulo chamado "Consulta CADSUS", ou seja, um módulo que consultava informações na base de cadastros do SUS por meio de acesso ao sistema CADSUS.

Com o passar do tempo, diversos sistemas foram descobertos e cada vez mais disponibilizados para consulta nesses painéis. Entre eles, sistemas de consulta na base de cadastros da Receita Federal, do Detran (veículos e pessoas), das polícias estaduais, além de empresas legítimas de consulta de informações para crédito, como Serasa, SPC, Boa Vista SCPC e entre muitos outros.

O principal problema dos operadores desses painéis era conseguir credenciais para acessar os sistemas de consulta externos. No entanto, ao final de 2021, uma nova onda começou a surgir, algo que revolucionaria esses sistemas: os infostealers.

Página padrão de um painel de consulta

Os painéis de consulta passaram a manter bases próprias em vez de usar sistemas externos

As credenciais roubadas por malwares infostealers deram acesso a inúmeros sistemas ainda não explorados pelo cibercrime. De repente, começaram a surgir módulos de consulta de mandados de prisão, ocorrências, boletins de ocorrência, processos, CRLV-e e até consultas de fotos e digitais de indivíduos. Mesmo com alguns esforços do governo federal para centralizar informações e melhorar sua segurança geral, o cibercrime foi mais rápido e obteve acesso a centenas desses sistemas descentralizados que continham informações extremamente sensíveis.

Entretanto, com o passar do tempo, os sistemas foram evoluindo e tornaram-se cada vez mais difíceis de acessar. Alguns implementaram MFA, outros restringiram o acesso via VPN. Esses esforços foram feitos para conter a força dos infostealers, que deram aos criminosos uma arma nunca antes vista: uma grande quantidade de credenciais a preços extremamente baixos.

Com essas novas dificuldades, o cibercrime se antecipou e passou a extrair os dados dos sistemas que antes utilizavam apenas o modelo "on demand". Baixar e manter os dados localmente aumentaria a vida útil dos painéis de consulta, pois eles não precisariam mais estar constantemente buscando novos sistemas ou aguardando o roubo de novas credenciais. Além disso, a competição por essas credenciais tornava-se cada vez mais acirrada, já que a facilidade para obtê-las também aumentava.

Dessa forma, inúmeros comerciantes de bases também começaram a surgir. Assim como antes vendiam credenciais de acesso ao CADSUS, passaram a vender as próprias bases em arquivos CSV, sem data de expiração, sem necessidade de credenciais e com a possibilidade de explorar as informações de forma mais aprofundada. Foi assim que se iniciou o mercado de venda de bancos de dados no cibercrime brasileiro. Agora, várias das bases dos sistemas usados para consultas foram extraídas e posteriormente comercializadas para inúmeras pessoas.

Uma nova era para os painéis de consulta

No dia 2 de julho, às 23 horas, um painel de consulta relativamente conhecido anunciou um novo módulo de consulta: o reconhecimento facial para diferentes estados.

"Mega Atualização Sendo Desenvolvida: Em conjunto com alguns patrocinadores, estaremos trabalhando em um sistema inédito de reconhecimento facial, com nossa diversidade em fotos, será a maior consulta de reconhecimento facial já vista. Estamos trabalhando para disponibilizarmos em todos os estados que possuímos consultas de foto. Regiões Previstas: SP - RJ - MA - TO - MS - ES - PR - RO - CE"

A mensagem anunciava a criação de módulos de reconhecimento facial para ao menos nove estados brasileiros. A população desses estados somada é de aproximadamente 101.589.747 pessoas, de acordo com a estimativa de 2024.

Ao acessar o painel, é possível explorar diversos módulos de consulta padrão, como dados do CPF, placa de veículo, carteira de motorista, processos e fotos.

Página inicial do painel de consulta em questão

Porém, além do que já é esperado em um painel, também estão disponíveis alguns módulos de reconhecimento facial.

Módulos de reconhecimento facial para os estados: RJ, RO, PR e TO

Entrando no módulo (RJ), temos a opção de fazer o upload de uma foto.

Para testar a funcionalidade do módulo, obtivemos a foto de uma pessoa aleatória no site de procurados do estado do Rio de Janeiro (todos os dados sensíveis foram censurados).

Ao fazer o upload, o sistema alerta que o resultado da busca deve demorar entre 2 e 5 minutos.

Após esse tempo, o sistema retorna uma lista com possíveis nomes, acompanhados de seus respectivos CPFs e fotos para comparação. Neste caso específico, o sistema não conseguiu identificar a pessoa da foto enviada.

Em um novo teste, usamos a foto da segunda pessoa retornada para realizar outra busca no sistema. Dessa vez, o sistema retornou as informações da pessoa consultada de forma precisa e com um alto nível de confiabilidade, segundo o próprio sistema.

A primeira foto retornada, é de fato a pessoa que foi consultada. Confiabilidade de 98%.

De fato, é possível dizer que o sistema ainda é pouco preciso e necessita de melhorias para se tornar mais robusto e oferecer resultados melhores. No entanto, o simples fato de esse sistema existir já evidencia uma enorme ameaça à segurança da população. Há 10 anos, os painéis de consulta contavam apenas com módulos simples de CPF ou placa de veículo; hoje, entretanto, com a foto de um rosto, podemos possivelmente obter todos os dados de uma pessoa.

Em um mundo onde todos os bancos e demais instituições financeiras adotam ao menos um fator de autenticação biométrica, fraudes envolvendo biometria são altamente buscadas pelos fraudadores. A obtenção de acesso a uma base de fotos faciais de milhões de pessoas, identificadas pelo CPF (ID único nacional), representa um risco sem precedentes, jamais enfrentado pelos bancos e instituições de combate à fraude.

Como é feito o reconhecimento facial em larga escala?

A fim de curiosidade, vamos explorar brevemente como o reconhecimento facial é realizado a partir de uma imagem.

A lógica básica do reconhecimento facial em larga escala consiste em extrair parâmetros únicos dos rostos (chamados face embeddings), inserir esses parâmetros em uma base de dados vetorial e, posteriormente, buscar os parâmetros mais próximos de outra face.

O processo pode ser dividido em cinco etapas principais:

  • Detecção facial: o modelo detecta e isola os rostos.
  • Alinhamento: o rosto detectado é padronizado (normalizado) em termos de rotação, escala e posição, geralmente utilizando pontos-chave como olhos, nariz e boca.
  • Extração dos parâmetros: o modelo transforma a imagem do rosto em um vetor numérico multidimensional que representa as características faciais.
  • Inserção na base: os vetores extraídos são inseridos em uma base de dados vetorial, como a Qdrant.
  • Busca por faces similares: após extrair os parâmetros da face a ser buscada, os vetores são comparados com os da base usando métricas de distância (como cosseno ou euclidiana). Caso a pessoa tenha sido previamente cadastrada, o resultado mais próximo deve ser a própria pessoa procurada.

Este artigo no blog do Elasticsearch, banco de dados não relacional, apresenta essa metodologia de forma mais detalhada: How to build a facial recognition system using Elasticsearch and Python

O que podemos identificar é que não há necessidade de grande capacidade de processamento ou armazenamento para realizar essas operações; basta obter acesso a uma base biométrica identificada, extrair os parâmetros dos rostos e armazená-los em uma base especializada.

Conclusão

Este caso é mais um entre os muitos incidentes envolvendo vazamentos de dados no Brasil. Desconhece-se outro país com tamanha disponibilidade de informações de seus cidadãos, de forma barata e acessível, para qualquer pessoa que deseje adquiri-las para as mais variadas finalidades.

Os esforços de centralização e segurança do governo federal e dos governos estaduais não têm sido rápidos e eficientes o suficiente para impedir o acesso não autorizado de milhares de pessoas a dados extremamente sensíveis dos cidadãos.

As empresas de antifraude e validação biométrica devem estar cientes das capacidades de seus adversários, acompanhando seus passos, entendendo as novas tendências e prevendo riscos futuros.

Quer estar sempre atualizado sobre inteligência, dados e os principais riscos do cibercrime? No QuimeraX você encontra relatórios exclusivos com análises mensais que revelam tendências, ameaças emergentes e informações estratégicas para proteger sua empresa. Acesse: https://lp.quimerax.com

O QuimeraX acompanha diariamente a movimentação das grandes comunidades do cibercrime brasileiro e internacional. Antecipamos ameaças, elaboramos relatórios constantes e mantemos comunicação contínua com nossos clientes, atuando em diversos setores. Entendemos as fragilidades existentes e como os fraudadores as exploram para realizar operações ilícitas.

O grande diferencial da plataforma é a inteligência aplicada: o cliente não recebe um excesso de alertas sem relevância, mas sim informações filtradas, contextualizadas e realmente críticas. Isso garante visibilidade, rapidez de resposta e a prevenção de ataques como fraudes, ransomware e comprometimento de credenciais corporativas.

Solicite uma demonstração gratuita e veja o Quimera em ação! Acesse: https://quimerax.com/

Read next