Apesar de ainda pouco conhecida no Brasil, a fraude de falsificação de localização em dispositivos móveis – conhecida como spoofing de localização ou de GPS – está se tornando uma técnica comumente utilizada para fins pouco legítimos. Com o acesso às ferramentas tecnológicas, tornou-se possível falsificar o local de um usuário e até mesmo derrotar sistemas de detecção de golpes baseados em modelos de localização simplistas.
Ao observar o uso da tecnologia de geolocalização por empresas de serviços de delivery, por exemplo, ou de bancos que localizam um correntista legítimo ou ainda de apps que oferecem serviços de acomodações e precisam evitar listagens e avaliações falsas, os fraudadores perceberam o potencial da localização e como fraudá-la poderia se transformar em uma oportunidade. Segundo levantamento da Incognia, só no Brasil foram identificados quase 4 milhões de tentativas de spoofing de GPS em uma base de cerca de 100 milhões de dispositivos, entre março e julho deste ano.
Para os fraudadores, além de explorar o modo desenvolvedor para alterar as coordenadas GPS, motivo pelo qual essa possibilidade foi criada – para que os desenvolvedores pudessem trabalhar nas suas aplicações sem que barreiras de localização necessitassem ser transpostas, muitas outras ferramentas permitem a falsificação de localização. Isso vale tanto para geolocalização baseada em IP quanto para geolocalização baseada em GPS. Para geolocalização baseada em IP, existem VPNs, proxies e outros. Para GPS, os mais acessíveis são os aplicativos falsos de GPS. Ainda assim, também existem ferramentas de adulteração e instrumentação, dispositivos com root ou desbloqueados, emuladores, adulteração dos dados de localização em movimento e muitos outros.
O motivo é muito claro quando paramos para pensar na evolução dessa fraude: ao ser fraudado, o recurso de localização por GPS passou a ser utilizado para ocultar as verdadeiras localizações dos próprios fraudadores e evitar que eles fossem pegos por sistemas de prevenção a golpes cibernéticos que aproveitam o endereço IP ou a localização GPS como parte de sua decisão de risco.
O fato é que a maioria das tecnologias de prevenção de fraudes utiliza o recurso de GPS para localizar o dispositivo do usuário, mas os aplicativos de falsificação começaram a enganar esses sistemas. Os fraudadores nem precisam fazer root em seus dispositivos ou ter privilégios de superadministrador para usar aplicativos de falsificação, eles só precisam configurar seus dispositivos no modo de desenvolvedor para ativar a falsificação de GPS.
Se por um lado, há um cenário de fácil acesso às ferramentas e técnicas de falsificação de localização e o uso crescente de aplicativos que requerem localização como parte do seu funcionamento, já existem empresas focadas em proteger o ecossistema, a partir da atualização de tecnologias que detectam fraudes com base em localização por GPS ou IP. O uso da localização de GPS combinada com demais sensores presentes nos dispositivos móveis, incluindo, Wi-Fi, Bluetooth e sinais de celular, podem localizar um dispositivo com precisão, em um raio de três metros tanto em ambientes internos quanto externos. Existem tecnologias presentes no mercado que entregam atualmente taxas baixíssimas de falsos positivos, abaixo de 0,01% e com taxas de erro de aceitação de 1 em 17.000.000, por exemplo.
Os fraudadores estão rotineiramente enganando os sistemas de detecção de fraudes, então é indiscutível a necessidade de investimentos em tecnologias eficientes para se antecipar a esses riscos antes que essa fraude seja amplamente utilizada no país, como já é em outros mercados, como nos Estados Unidos ou na Índia, sobretudo para os setores de delivery, jogos online e mesmo em aplicativos de relacionamento, o que pode trazer ainda riscos físicos aos usuários.
