لقد انفجر اعتماد القياسات الحيوية في البرازيل في السنوات الأخيرة، حيث يستخدم 82% من البرازيليين بالفعل بعض تقنيات القياسات الحيوية للمصادقة، مدفوعة بالراحة والبحث عن مزيد من الأمان في الخدمات الرقمية. سواء في الوصول إلى البنوك عبر التعرف على الوجه أو استخدام بصمات الأصابع للسماح بالمدفوعات، أصبحت القياسات الحيوية هي “novo CPF” من حيث تحديد الهوية الشخصية، مما يجعل العمليات أسرع وأكثر سهولة.
ومع ذلك، كشفت موجة متزايدة من الاحتيال عن حدود هذا الحل: فقط في يناير 2025، تم تسجيل 1.24 مليون محاولة احتيال في البرازيل، بزيادة قدرها 41.6% مقارنة بالعام السابق، أي ما يعادل 10.4% محاولة انقلاب كل 2.2 ثانية. ويستهدف جزء كبير من هذه الهجمات أنظمة المصادقة الرقمية. تظهر بيانات Serasa Experian أنه في عام 2024 زادت محاولات الاحتيال ضد البنوك والبطاقات بمقدار 10.4% مقارنة بعام 2023، وهو ما يمثل 53.4% من جميع عمليات الاحتيال المسجلة في العام.
ولو لم يتم تجنبها، لكانت عمليات الاحتيال هذه قد تسببت في خسارة تقدر بـ 51.6 مليار راند. تعكس هذه الزيادة تغيرًا في المشهد: يقوم المحتالون بتطوير تكتيكاتهم بشكل أسرع من أي وقت مضى. وفقًا لمسح أجرته سيراسا، كان نصف البرازيليين (50.7%) ضحايا للاحتيال الرقمي في عام 2024، وهي قفزة قدرها 9 نقاط مئوية مقارنة بالعام السابق، وتعرض 54.2% من هؤلاء الضحايا لخسارة مالية مباشرة.
ويشير تحليل آخر إلى زيادة قدرها 45% في الجرائم الرقمية في عام 2024 في البلاد، مع خداع نصف الضحايا فعليًا من خلال عمليات الاحتيال. وفي مواجهة هذه الأرقام، يتساءل مجتمع الأمن: إذا وعدت القياسات الحيوية بحماية المستخدمين والمؤسسات، فلماذا يبدو أن المحتالين يتقدمون دائمًا بخطوة؟
عمليات الاحتيال مراوغة التعرف على الوجه والتعرف الرقمي
يكمن جزء من الإجابة في الإبداع الذي تتحايل به العصابات الرقمية على آليات القياسات الحيوية. وفي الأشهر الأخيرة، ظهرت حالات رمزية. في سانتا كاتارينا، أصابت مجموعة احتيالية ما لا يقل عن 50 شخصًا من خلال الحصول سرًا على بيانات القياسات الحيوية للوجه من العملاء (قام أحد موظفي الاتصالات بمحاكاة مبيعات خطوط الهاتف لالتقاط صور سيلفي ووثائق العملاء، ثم استخدام هذه البيانات لفتح حسابات مصرفية والاقتراض نيابة عن الضحايا.
وفي ولاية ميناس جيرايس، ذهب المجرمون إلى أبعد من ذلك: حيث تظاهروا بأنهم سعاة لجمع بصمات الأصابع وصور السكان، بهدف صريح هو التحايل على أمن البنوك. وهذا يعني أن المحتالين لا يهاجمون التكنولوجيا نفسها فحسب، بل يستغلون الهندسة الاجتماعية أيضًا من خلال حث الناس على تسليم بياناتهم البيومترية دون أن يدركوا ذلك. ويحذر الخبراء من أنه حتى الأنظمة التي تعتبر قوية يمكن خداعها.
والمشكلة هي أن تعميم القياسات الحيوية أدى إلى خلق شعور زائف بالأمان: إذ يفترض المستخدمون أن المصادقة معصومة من الخطأ لأنها قياسات حيوية.
في المؤسسات ذات الحواجز الأقل صرامة، ينجح المحتالون في استخدام وسائل بسيطة نسبيًا، مثل الصور أو القوالب لتقليد الخصائص الفيزيائية. على سبيل المثال، أصبح ما يسمى بصفعة إصبع “hilicone معروفًا: يقوم المجرمون بلصق أفلام شفافة على قارئات بصمات الأصابع الإلكترونية لسرقة بصمة العميل ثم إنشاء إصبع سيليكون مزيف بهذا الإصبع، وإجراء عمليات نهب وتحويلات غير لائقة. تدعي البنوك أنها تستخدم بالفعل تدابير مضادة (أجهزة استشعار قادرة على اكتشاف الحرارة والنبض وغيرها من خصائص الإصبع الحي، مما يجعل القوالب الاصطناعية عديمة الفائدة.
ومع ذلك، تظهر الحالات المعزولة من عملية الاحتيال هذه أنه لا يوجد حاجز بيومتري آمن تمامًا من محاولات التحايل. هناك ناقل آخر مثير للقلق وهو استخدام أجهزة الهندسة الاجتماعية للحصول على صور سيلفي أو فحوصات للوجه من العملاء أنفسهم. أطلق الاتحاد البرازيلي للبنوك (فيبرابان) ناقوس الخطر لنوع جديد من الاحتيال حيث يطلب المحتالون تأكيد صور “selfies من الضحايا بذرائع كاذبة. على سبيل المثال، يتظاهرون بأنهم موظفون في البنك أو INSS، ويطلبون صورة وجه “ لتحديث سجل URL أو إصدار منفعة غير موجودة للعملاء (في الواقع، استخدم هذه الصورة الشخصية لتمريرها عبر أنظمة الوجه في التحقق من الوجه.
يمكن لإشراف بسيط مثل التقاط صورة بناءً على طلب عامل التوصيل المزعوم أو وكيل الرعاية الصحية أن يزود المجرمين بمفتاح قياس بيومتري من نوع Rugby للوصول إلى حسابات الآخرين.
Deepfakes والذكاء الاصطناعي: الحدود الجديدة لعمليات الاحتيال
إذا كان خداع الناس استراتيجية مستخدمة على نطاق واسع بالفعل، فإن المجرمين الأكثر تقدمًا هم أيضًا آلات خداع. أدخل هنا تهديدات التزييف العميق من عام 2023 إلى عام 2025، والتلاعب المتقدم بالصوت والصورة بواسطة الذكاء الاصطناعي وتقنيات التزييف الرقمي الأخرى.
في شهر مايو الماضي، على سبيل المثال، أطلقت الشرطة الفيدرالية عملية “Face Off” بعد تحديد مخطط احتال على حوالي 3 آلاف حساب من بوابة Gov.br باستخدام قياسات حيوية زائفة للوجه. وطبقت المجموعة الإجرامية تقنيات متطورة للغاية لانتحال شخصية مستخدمين شرعيين على المنصة gov.br، الذي يركز الوصول إلى آلاف الخدمات العامة الرقمية.
وكشف المحققون أن المحتالين استخدموا مجموعة من مقاطع الفيديو التي تم التلاعب بها والصور المعدلة بالذكاء الاصطناعي وحتى الأقنعة ثلاثية الأبعاد الواقعية للغاية لخداع محرك التعرف على الوجه. وبعبارة أخرى، قاموا بمحاكاة ملامح وجه أطراف ثالثة بما في ذلك الأشخاص المتوفين "لتحمل الهويات" والوصول إلى المزايا المالية المرتبطة بتلك الحسابات. ومع وميض العين الاصطناعي أو الابتسام أو إدارة رؤوسهم بشكل متزامن بشكل مثالي، تمكنوا حتى من التحايل على وظيفة الكشف عن الحيوية، والتي تم تطويرها بالضبط لاكتشاف ما إذا كان هناك شخص حقيقي أمام الكاميرا.
وكانت النتيجة الوصول غير السليم إلى المبالغ التي ينبغي استردادها فقط من قبل المستفيدين الحقيقيين، بالإضافة إلى الموافقة غير المشروعة على القروض المستحقة الدفع في تطبيق My INSS باستخدام هذه الهويات المزيفة. لقد كشفت هذه الحالة بقوة أنه نعم، من الممكن التحايل على القياسات الحيوية للوجه (حتى في الأنظمة الكبيرة والآمنة نظريًا "عندما يكون لديك الأدوات المناسبة".
في أكتوبر 2024، أجرت الشرطة المدنية للمنطقة الفيدرالية عملية “DeGenerative AI”، لتفكيك عصابة متخصصة في اختراق الحسابات المصرفية الرقمية من خلال تطبيقات الذكاء الاصطناعي. ونفذ المجرمون أكثر من 550 محاولة لاختراق الحسابات المصرفية للعملاء، باستخدام بيانات شخصية مسربة و تقنيات التزييف العميق لإعادة إنتاج صورة أصحاب الحسابات وبالتالي التحقق من صحة إجراءات فتح حسابات جديدة نيابة عن الضحايا وتمكين الأجهزة المحمولة كما لو كانت خاصة بهم.
تشير التقديرات إلى أن المجموعة تمكنت من نقل حوالي 110 مليون راند في الحسابات الشخصية والقانونية، وغسل الأموال من مصادر مختلفة، قبل أن يتم منع معظم عمليات الاحتيال من خلال عمليات التدقيق المصرفية الداخلية.
ما وراء القياسات الحيوية
وبالنسبة للقطاع المصرفي البرازيلي، فإن تصاعد عمليات الاحتيال ذات التقنية العالية هذه يشعل إشارة تحذير. لقد استثمرت البنوك بكثافة في العقد الماضي لترحيل العملاء إلى القنوات الرقمية الآمنة، واعتمدت القياسات الحيوية للوجه والرقمية كحواجز ضد الاحتيال.
ومع ذلك، تشير الموجة الأخيرة من عمليات الاحتيال إلى أن الاعتماد فقط على القياسات الحيوية قد لا يكون كافيًا. يستغل المحتالون العيوب البشرية والثغرات التكنولوجية لانتحال شخصية المستهلكين، وهذا يتطلب التفكير في الأمان على مستويات متعددة وعوامل مصادقة، ولم يعد عامل “magical” واحدًا.
في هذا السيناريو المعقد، يجتمع الخبراء حول توصية: اعتماد المصادقة متعددة العوامل وأساليب الأمان متعددة الطبقات. وهذا يعني الجمع بين التقنيات وطرق التحقق المختلفة، بحيث إذا فشل أحد العوامل أو تعرض للخطر، فإن عوامل أخرى تمنع الاحتيال. تظل القياسات الحيوية في حد ذاتها جزءًا مهمًا (في نهاية المطاف، عندما يتم تنفيذها بشكل جيد مع التحقق من الحياة (الحياة) والتشفير، فإنها تعيق الهجمات الانتهازية بشكل كبير.
ومع ذلك، يجب أن تعمل جنبًا إلى جنب مع عناصر التحكم الأخرى: كلمات المرور أو أرقام التعريف الشخصية للاستخدام الفردي المرسلة إلى الهاتف المحمول، وتحليل سلوك المستخدم "ما يسمى بالقياسات الحيوية السلوكية، والتي تحدد أنماط الكتابة، واستخدام الجهاز وقد تطلق ناقوس الخطر عندما تلاحظ العميل “agando مختلف عن تحديد الموقع العادي ومراقبة المعاملات الذكية.
تُستخدم أدوات الذكاء الاصطناعي أيضًا لصالح البنوك، حيث تحدد الإشارات الدقيقة المزورة في مقاطع الفيديو أو الأصوات - على سبيل المثال، تحليل الترددات الصوتية لاكتشاف الأصوات الاصطناعية أو البحث عن التشوهات المرئية في صور السيلفي.
وفي النهاية، فإن الرسالة التي تبقى لمديري البنوك ومتخصصي أمن المعلومات واضحة: لا توجد حل سحري. جلبت القياسات الحيوية مستوى أعلى من الأمان مقارنة بكلمات المرور التقليدية لدرجة أن عمليات الاحتيال انتقلت إلى حد كبير لخداع الناس، ولم تعد تكسر الخوارزميات.
ومع ذلك، يستغل المحتالون كل خرق، سواء كان بشريًا أو تكنولوجيًا، لإحباط أنظمة القياسات الحيوية. تتضمن الاستجابة المناسبة أحدث التقنيات في التحديث المستمر والمراقبة الاستباقية. فقط أولئك الذين يمكنهم تطوير دفاعاتهم بنفس سرعة ظهور عمليات الاحتيال الجديدة سيكونون قادرين على حماية عملائهم بشكل كامل في عصر الذكاء الاصطناعي الخبيث.
بقلم سيلفيو سوبريرا فييرا، الرئيس التنفيذي ورئيس الاستشارات في شركة SVX Consultoria.
