Biometrie nestačí: jak pokročilé podvody prověřují banky

Přijetí biometrie v Brazílii v posledních letech explodovalo 821 TP3 T Brazilců již používá nějakou biometrickou technologii pro autentizaci, řízenou pohodlím a hledáním větší bezpečnosti v digitálních službách. Ať už jde o přístup k bankám prostřednictvím rozpoznávání obličeje nebo používání otisků prstů k autorizaci plateb, biometrie se stala “životopisem CPF, pokud jde o osobní identifikaci, díky čemuž jsou procesy rychlejší a intuitivnější.  

Rostoucí vlna podvodů však odhalila limity tohoto řešení: pouze v lednu 2025 bylo v Brazílii zaregistrováno 1,24 milionu pokusů o podvod, což je nárůst o 41,61 TP3 T ve srovnání s předchozím rokem 10,41 TP3 T odpovídající pokusu o převrat každých 2,2 sekundy Velká část těchto útoků cílí na digitální autentizační systémy Data Serasa Experian ukazují, že v roce 2024 vzrostly pokusy o podvod proti bankám a kartám o 10,41 TP3 T ve srovnání s rokem 2023, což představuje 53,41 TP3 T všech podvodů registrovaných v roce.  

Pokud by se jim nebylo možné vyhnout, mohly by tyto podvody způsobit odhadovanou ztrátu ve výši 51,6 miliardy R1TP4 T.T. Tento nárůst odráží změnu prostředí: podvodníci vyvíjejí svou taktiku rychleji než kdy dříve Podle průzkumu společnosti Serasa byla polovina Brazilců (50,71 TP3 T) obětí digitálních podvodů v roce 2024, což je skok o 9 procentních bodů ve srovnání s předchozím rokem, a 54,21 TP3 T těchto obětí utrpělo přímou finanční ztrátu.  

Další analýza poukazuje na nárůst digitálních zločinů o 451 TP3T v roce 2024 v zemi, přičemž polovina obětí byla podvody účinně oklamána. Tváří v tvář těmto číslům se bezpečnostní komunita ptá: pokud biometrie slibovala ochranu uživatelů a institucí, proč podvodníci se zdají být vždy o krok napřed?

Podvody driblují obličej a digitální rozpoznávání

Část odpovědi spočívá v kreativitě, s jakou digitální gangy obcházejí biometrické mechanismy V posledních měsících se objevily emblematické případy V Santa Catarině zranila podvodná skupina nejméně 50 lidí tím, že tajně získala biometrická data obličeje od zákazníků (zaměstnanec telekomunikací simuloval prodej telefonních linek, aby zachytil selfie a dokumenty zákazníků, a tato data pak použil k otevření bankovních účtů a půjčování si jménem obětí.  

V Minas Gerais šli zločinci ještě dále: předstírali, že jsou kurýři, aby sbírali otisky prstů a fotografie obyvatel, s výslovným cílem obejít bezpečnost bank. To znamená, že podvodníci nejen útočí na samotnou technologii, ale také využívají sociální inženýrství „tím, že nutí lidi, aby odevzdali svá vlastní biometrická data, aniž by si to uvědomovali. Odborníci varují, že i systémy považované za robustní lze oklamat.  

Problém je v tom, že popularizace biometrie vytvořila falešný pocit bezpečí: uživatelé předpokládají, že protože je biometrická, autentizace je neomylná.  

V institucích s méně přísnými bariérami se podvodníkům daří používat relativně jednoduché prostředky, jako jsou fotografie nebo formy k napodobení fyzických vlastností. Známé se stalo například takzvané “hilikonové plácnutí prstem: zločinci lepí průhledné fólie na čtečky otisků prstů elektronických krabic, aby ukradli zákazníkův tisk a pak tímto prstem vytvořili falešný silikonový prst, provádějící rabování a nesprávné převody. Banky tvrdí, že již používají protiopatření (senzory schopné detekovat teplo, puls a další vlastnosti živého prstu, čímž se umělé formy stávají nepoužitelnými.  

Přesto ojedinělé případy tohoto podvodu ukazují, že žádná biometrická bariéra není zcela bezpečná před pokusy o obcházení. Dalším znepokojivým vektorem je použití zařízení sociálního inženýrství k získání selfie nebo vyšetření obličeje od samotných zákazníků. Brazilská federace bank (Febraban) spustila poplach kvůli novému typu podvodu, při kterém podvodníci pod falešnou záminkou požadují potvrzení selfies od obětí. Například předstírají, že jsou zaměstnanci banky nebo INSS, žádají o foto na obličeji, aby aktualizovali registr přihlášených nebo uvolnili neexistující zákaznickou výhodu (ve skutečnosti použijte toto selfie k průchod obličejovými systémy při ověřování obličeje.  

Jednoduché přehlédnutí, jako je pořízení fotografie na žádost údajného doručovatele nebo zdravotnického agenta, může zločincům poskytnout biometrický klíč dokladu pro přístup k účtům jiných lidí.  

Deepfakes a AI: nová hranice podvodů

Pokud je klamání lidí již široce používanou strategií, nejpokročilejší zločinci klamou také stroje Zde vstupují hrozby deepfake 2023 až 2025 pokročilé manipulace hlasu a obrazu umělou inteligencí & dalšími digitálními padělatelskými technikami.  

Loni v květnu například federální policie zahájila operaci “face Off” poté, co identifikovala schéma, které podvedlo asi 3 tisíce účtů portálu Gov.br pomocí falešných obličejových biometrických údajů. Zločinecká skupina použila vysoce sofistikované techniky, aby se vydávala za legitimní uživatele na platformě gov.br, která soustřeďuje přístup k tisícům digitálních veřejných služeb.

Vyšetřovatelé odhalili, že podvodníci použili kombinaci zmanipulovaných videí, obrázků změněných umělou inteligencí a dokonce i hyperrealistických 3 D masek, aby oklamali motor rozpoznávání obličeje. Jinými slovy, simulovali rysy obličeje třetích stran včetně zesnulých lidí, aby převzali identitu a měli přístup k finančním výhodám spojeným s těmito účty. S umělým mrkáním očí, usmíváním se nebo dokonalým otáčením hlavy se jim dokonce podařilo obejít funkčnost detekce živosti, která byla vyvinuta přesně tak, aby zjistila, zda je před kamerou skutečná osoba.  

Výsledkem byl nesprávný přístup k částkám, které by měli uplatnit pouze skuteční příjemci, kromě nezákonného schvalování půjček splatných v aplikaci My INSS pomocí těchto falešných identit. Tento případ násilně odhalil, že ano, je možné obejít biometrii obličeje (i ve velkých a teoreticky bezpečných systémech „Když máte správné nástroje.  

V říjnu 2024 provedla civilní policie federálního distriktu operaci “DeGenerative AI a rozčlenila gang, který se specializuje na hackování digitálních bankovních účtů prostřednictvím aplikací umělé inteligence. Zločinci provedli více než 550 pokusů hacknout bankovní účty zákazníků pomocí uniklých osobních údajů a deepfake techniky k reprodukci obrazu majitelů účtů a tím k ověření postupů pro otevírání nových účtů jménem obětí a umožnění mobilních zařízení, jako by byla jejich vlastní.  

Odhaduje se, že skupině se podařilo přesunout kolem 110 milionů R$ na osobních a právních účtech a prat peníze z různých zdrojů, než byla většina podvodů zakázána interními bankovními audity.  

Mimo biometrii

Pro brazilský bankovní sektor eskalace těchto high-tech podvodů zažehne varovný signál. Banky v posledním desetiletí značně investovaly do migrace zákazníků, aby si zajistily digitální kanály, a přijaly obličejovou a digitální biometrii jako překážky proti podvodům.  

Nedávná vlna podvodů však naznačuje, že spoléhat se pouze na biometrii nemusí stačit Podvodníci využívají lidské nedostatky a technologické mezery, aby se vydávali za spotřebitele, a to vyžaduje, aby se na bezpečnost myslelo na více úrovních a na autentizační faktory, které již nejsou jediným emagickým faktorem.

V tomto složitém scénáři se odborníci sbližují na doporučení: přijmout multifaktorové ověřování a vícevrstvé bezpečnostní přístupy To znamená kombinovat různé technologie a metody ověřování, takže pokud jeden faktor selže nebo je ohrožen, jiné zabrání podvodům. Důležitou součástí zůstává samotná biometrie (koneckonců, když je dobře implementována s ověřováním života (životností) a šifrováním, značně brání oportunním útokům.  

Musí však jednat společně s dalšími ovládacími prvky: hesla nebo PINy pro jednorázové použití odeslané do mobilního telefonu, analýza chování uživatelů “TAKzvané behaviorální biometrie, která identifikuje vzory psaní, používání zařízení a může bít na poplach, když si všimnete zákazníka jinak než běžné řešení a inteligentní sledování transakcí.  

Ve prospěch bank se také používají nástroje umělé inteligence, které identifikují jemné deepfake signály ve videích nebo hlasech - například analyzují zvukové frekvence k detekci syntetických hlasů nebo hledají vizuální zkreslení v selfie.  

Nakonec je poselství, které zůstává pro bankovní manažery a odborníky na informační bezpečnost, jasné: neexistuje žádná stříbrná kulka Biometrie přinesla vyšší úroveň bezpečnosti ve srovnání s tradičními hesly NATOLIK, že podvody migrovaly z velké části, aby oklamaly lidi, už neporušovaly algoritmy.  

Podvodníci však využívají každé narušení, ať už lidské nebo technologické, k maření biometrických systémů. Správná reakce zahrnuje špičkovou technologii v neustálé aktualizaci a proaktivním monitorování. Pouze ti, kteří mohou vyvíjet svou obranu stejnou rychlostí, jakou se objevují nové podvody, budou schopni plně chránit své zákazníky ve věku škodlivé umělé inteligence.

Sylvio Sobreira Vieira, generální ředitel a vedoucí poradenství SVX Consultoria.