Geolocalização - uma definição atualizada sobre identidade, autenticação e prevenção à fraude

Os dados de geolocalização têm sido utilizados ​​para autenticação online e prevenção à fraude desde os primeiros dias da internet. Em sua forma mais simples, a geolocalização do endereço IP é usada para detectar a cidade onde o usuário está localizado. A partir disto, esses dados em tempo real são comparados com o histórico de localização, considerando a frequência (quantas vezes esse usuário foi visto nesta cidade) e distância (cidade atual para cidade mais recente).

Pouca ou nenhuma inovação foi criada em torno da capacidade de analisar a localização do endereço IP, mesmo que usar um endereço IP para geolocalizar um usuário seja notoriamente impreciso. Embora a geolocalização baseada em IP seja razoavelmente boa para obter o país de um usuário, a precisão cai rapidamente, para 50% a 75%, quando se trata de determinar a cidade deste usuário. E agora os fraudadores desenvolveram várias técnicas para ocultar sua verdadeira localização de IP, incluindo o uso de VPNs, Proxies e Tor.

Com a crescente popularidade dos smartphones, os usuários agora usam amplamente o GPS em aplicativos de navegação, viagens, jogos e delivery. Para permitir que os desenvolvedores testem esses aplicativos baseados em localização, os sistemas operacionais mobile desenvolveram um recurso que, enquanto em modo desenvolvedor, permite alterar as coordenadas da API de geolocalização ou forjar a localização. Porém, infelizmente, esse recurso projetado para desenvolvedores permitiu a criação de muitos aplicativos que falsificam informações de geolocalização e passam orientações incorretas rientam mal os aplicativos móveis. Hoje, qualquer usuário final pode baixar esses aplicativos para falsificar dados de geolocalização. Além disso, métodos mais sofisticados, incluindo emuladores e ferramentas de instrumentação, também foram criados para falsificar esses dados.

Com IP e GPS sendo facilmente falsificados, os dados de geolocalização passaram a não ser aproveitados em todo o seu potencial devido à falta de confiabilidade e precisão.

A Incognia está mudando a definição de geolocalização. E estamos trabalhando nisto  há mais de dez anos. 

Enquanto eu era estudante de ciência da computação, meus colegas e eu começamos a trabalhar em um projeto que previa permitir que dispositivos IoT (sigla para Internet of Things, internet das coisas em inglês) interagissem perfeitamente usando dados de geolocalização. Mas, reconhecemos em 2010 que a tecnologia de localização disponível na época não era boa o suficiente. A geolocalização baseada em IP identifica apenas a cidade, e o GPS mal consegue identificar em qual prédio você está. Precisávamos de uma tecnologia de localização que detectasse o ambiente do dispositivo e a unidade de apartamento ou mesmo o quarto dentro de um prédio. Decidimos então construir uma tecnologia de localização proprietária. Quatro anos depois, em Berlim, fomos premiados por algumas das principais instituições acadêmicas (ACM, IEEE, Microsoft Research) pela precisão de nossa tecnologia (2,8 metros!). Este artigo descreve como funcionava na época. Depois de oito anos, a evolução seguiu constante. 

Em 2020, com o crescimento desenfreado de questões de trust and safety (segurança e confiança) e fraude na internet, finalmente chegou a hora de uma nova abordagem para autenticação e identidade digitais e lançamos a Incognia, a primeira solução de identidade baseada em localização.

Com uma das tecnologias de localização mais poderosas disponíveis no mercado, resistente à falsificação e muito mais precisa do que o GPS (30x) e endereço IP, a Incognia redefiniu os dados de localização para autenticação online. Essa alta precisão permitiu que a Incognia desenvolvesse uma solução de identidade digital 17 vezes mais precisa que o FaceID, com uma taxa de erro de 1 em 17.000.000.

Vamos detalhar os três casos de uso principais possibilitados pela tecnologia de localização mais precisa e resistente à falsificação (spoofing): 

• Watchlists de localização para localizações suspeitas
• Validação de endereço utilizando comportamento de localização 
• Localizações confiáveis para autenticação sem fricção

Esses casos de uso não são possíveis de serem endereçados com as tecnologias IP e GPS, que são facilmente falsificadas e não confiáveis, tornando-as inúteis para fins de segurança. Além disso, a menor precisão dessas tecnologias levaria a altas taxas de falsos positivos, impactando cidades inteiras, com bairros e prédios bloqueados se esta forma antiga de dados de localização fosse usada para impedir fraudes, impactando negativamente a experiência do usuário.

Watchlists de localização para localizações suspeitas

As watchlists (ou listas de observação) de localização consistem em sinalizar locais específicos como suspeitos, para que os aplicativos possam bloquear as sessões que se originam deles. Nesse caso, a menor precisão das tecnologias de localização GPS e IP levaria a altas taxas de falsos positivos porque cidades inteiras, bairros e prédios seriam bloqueados, impactando negativamente a experiência do usuário para muitos usuários legítimos.

Estas watchlists são usadas para evitar fraudes detectando e sinalizando a localização de fazendas de fraudes ou fazendas de dispositivos (do inglês fraud farms ou device farms), relacionados a operações de fraude organizadas. As watchlists de localização também podem reidentificar maus agentes e golpistas recorrentes que operam profissionalmente criando várias contas falsas ou praticando roubos de contas de usuários legítimos.

Validação de endereço utilizando comportamento de localização 

Muitos aplicativos on-line, como aplicativos de ecommerce, usam informações pessoalmente identificáveis (IPI) estáticas, como dados de bureaus de crédito, para validar o endereço físico de um usuário. Devido aos casos de recentes de vazamento de dados, esse tipo de verificação não é mais útil porque os fraudadores muitas vezes já possuem os dados necessários para criar perfis falsos com credenciais roubadas. A correspondência entre informações de endereço com dados de IP ou GPS também é inútil porque essa tecnologia de localização é facilmente falsificada.

Ao aproveitar a tecnologia de localização resistente à falsificação, os aplicativos podem verificar se um dispositivo vive ou frequenta um endereço específico com base nas informações históricas de comportamento de localização. Com essa nova forma de validação de endereço, os aplicativos podem detectar identidades sintéticas com mais precisão, evitando a criação de contas fraudulentas e fraudes de pagamento. Além disso, essa nova técnica está sendo usada para garantir a entrega bem-sucedida de bens físicos e a integridade das listagens locais em aplicativos de hospedagem e viagens.

Localizações confiáveis para autenticação sem fricção

Uma estatística interessante é que 90% das sessões e 95% das transações de alto risco em dispositivos móveis ocorrem em "localizações confiáveis", a definição da Incognia para os ambientes que um usuário visita com mais frequência. Com isso em mente, a Incognia desenvolveu uma maneira de usar a localização efetivamente como um fator de autenticação real, permitindo que os usuários experimentem login ou autenticação sem fricção para transações de alto risco quando localizados nesses locais confiáveis, como sua casa ou local de trabalho. Isso permite, por exemplo, que os usuários legítimos autorizem novos dispositivos a acessar suas contas com menos fricção causado pelo uso de vários fatores de autenticação.

Conclusão

Ao redefinir a geolocalização como uma tecnologia de localização altamente precisa e resistente à falsificação, podemos ver que os dados de localização podem permitir novos casos de uso para prevenção de fraudes, além de contribuir significativamente para fornecer uma experiência de autenticação sem fricção com o mais alto nível de segurança. O poder da geolocalização é agora muito maior do que o do endereço IP e GPS.