Mae mabwysiadu biometreg wedi ffrwydro ym Mrasil yn ystod y blynyddoedd diwethaf – mae 82% o Frasilwyr eisoes yn defnyddio rhyw fath o dechnoleg fiometrig ar gyfer dilysu, wedi'i yrru gan gyfleustra a'r chwiliad am fwy o ddiogelwch mewn gwasanaethau digidol. Boed yn cael mynediad at fanciau trwy adnabyddiaeth wyneb neu'n defnyddio olion bysedd i awdurdodi taliadau, mae biometreg wedi dod yn "CPF newydd" (ID trethdalwr Brasil) o ran adnabod personol, gan wneud prosesau'n gyflymach ac yn fwy greddfol.
Fodd bynnag, mae ton gynyddol o dwyll wedi datgelu cyfyngiadau'r ateb hwn: ym mis Ionawr 2025 yn unig, cofnodwyd 1.24 miliwn o ymgeisiadau twyll ym Mrasil, cynnydd o 41.6% o'i gymharu â'r flwyddyn flaenorol - sy'n cyfateb i un ymgais i sgamio bob 2.2 eiliad. Mae cyfran fawr o'r ymosodiadau hyn yn targedu systemau dilysu digidol yn benodol. Mae data gan Serasa Experian yn dangos, yn 2024, fod ymgeisiadau twyllo yn erbyn banciau a chardiau credyd wedi cynyddu 10.4% o'i gymharu â 2023, sy'n cynrychioli 53.4% o'r holl dwyll a gofnodwyd y flwyddyn honno.
Pe na bai'r twyllodrusrwydd hyn wedi'i atal, gallent fod wedi achosi colled amcangyfrifedig o R$ 51.6 biliwn. Mae'r cynnydd hwn yn adlewyrchu tirwedd sy'n newid: mae twyllwyr yn esblygu eu tactegau'n gyflymach nag erioed o'r blaen. Yn ôl arolwg gan Serasa, roedd hanner Brasilwyr (50.7%) yn ddioddefwyr twyll digidol yn 2024, naid o 9 pwynt canran o'i gymharu â'r flwyddyn flaenorol, a dioddefodd 54.2% o'r dioddefwyr hyn golled ariannol uniongyrchol.
Mae dadansoddiad arall yn tynnu sylw at gynnydd o 45% mewn troseddau digidol yn y wlad yn 2024, gyda hanner y dioddefwyr mewn gwirionedd yn cael eu twyllo gan y sgamiau. O ystyried y niferoedd hyn, mae'r gymuned ddiogelwch yn cwestiynu: os oedd biometreg yn addo amddiffyn defnyddwyr a sefydliadau, pam mae twyllwyr bob amser yn ymddangos fel pe baent un cam ar y blaen?
Mae sgamiau'n osgoi adnabyddiaeth wyneb ac olion bysedd.
Mae rhan o'r ateb yn gorwedd yn y creadigrwydd y mae gangiau digidol yn osgoi mecanweithiau biometrig. Yn ystod y misoedd diwethaf, mae achosion symbolaidd wedi dod i'r amlwg. Yn Santa Catarina, twyllodd grŵp twyllodrus o leiaf 50 o bobl trwy gael data biometrig wyneb yn gudd gan gleientiaid – efelychodd gweithiwr telathrebu werthiannau llinellau ffôn i dynnu hunluniau a dogfennau gan gleientiaid, gan ddefnyddio'r data hwn yn ddiweddarach i agor cyfrifon banc a chymryd benthyciadau yn enwau'r dioddefwyr.
Ym Minas Gerais, aeth troseddwyr hyd yn oed ymhellach: fe wnaethon nhw esgus bod yn weithwyr dosbarthu post i gasglu olion bysedd a lluniau gan drigolion, gyda'r bwriad penodol o osgoi diogelwch banciau. Mewn geiriau eraill, nid yn unig y mae'r sgamwyr yn ymosod ar y dechnoleg ei hun, ond maent hefyd yn manteisio ar beirianneg gymdeithasol - gan annog pobl i roi eu data biometrig eu hunain heb sylweddoli hynny. Mae arbenigwyr yn rhybuddio y gellir twyllo hyd yn oed systemau a ystyrir yn gadarn.
Y broblem yw bod poblogeiddio biometreg wedi creu ymdeimlad ffug o ddiogelwch: mae defnyddwyr yn tybio, oherwydd ei fod yn fiometrig, fod y dilysiad yn anffaeledig.
Mewn sefydliadau sydd â mesurau diogelwch llai llym, mae twyllwyr yn llwyddo i ddefnyddio dulliau cymharol syml, fel lluniau neu fowldiau i efelychu nodweddion ffisegol. Mae'r hyn a elwir yn "sgam bysedd silicon", er enghraifft, wedi dod yn adnabyddus: mae troseddwyr yn cysylltu ffilmiau tryloyw â darllenwyr olion bysedd ar beiriannau ATM i ddwyn olion bysedd y cwsmer ac yna creu bys silicon ffug gyda'r olion bysedd hynny, gan wneud tynnu arian yn ôl a throsglwyddiadau heb awdurdod. Mae banciau'n honni eu bod eisoes yn defnyddio gwrthfesurau - synwyryddion sy'n gallu canfod gwres, curiad y galon, a nodweddion eraill bys byw, gan wneud mowldiau artiffisial yn ddiwerth.
Serch hynny, mae achosion ynysig o'r sgam hwn yn dangos nad oes unrhyw rwystr biometrig yn gwbl ddiogel rhag ymdrechion i'w osgoi. Ffactor pryderus arall yw'r defnydd o driciau peirianneg gymdeithasol i gael hunluniau neu sganiau wyneb gan gwsmeriaid eu hunain. Mae Ffederasiwn Banciau Brasil (Febraban) wedi canu'r larwm am fath newydd o dwyll lle mae sgamwyr yn gofyn am "hunluniau cadarnhau" gan ddioddefwyr o dan esgusodion ffug. Er enghraifft, gan esgus bod yn weithwyr banc neu INSS (Sefydliad Nawdd Cymdeithasol Brasil), maent yn gofyn am lun o'r wyneb "i ddiweddaru cofrestru" neu ryddhau budd nad yw'n bodoli - mewn gwirionedd, maent yn defnyddio'r hunlun hwn i ddynwared y cwsmer mewn systemau gwirio wynebau.
Gall camgymeriad syml – fel tynnu llun ar gais rhywun sy'n honni ei fod yn dosbarthu neu'n weithiwr iechyd – roi'r "allwedd" fiometrig i droseddwyr i gael mynediad at gyfrifon pobl eraill.
Ffugiau dwfn a deallusrwydd artiffisial: ffin newydd sgamiau
Er bod twyllo pobl eisoes yn strategaeth a ddefnyddir yn helaeth, mae troseddwyr mwy soffistigedig bellach hefyd yn twyllo peiriannau. Dyma lle mae bygythiadau deepfake – trin llais a delweddau'n uwch gan ddeallusrwydd artiffisial – a thechnegau ffugio digidol eraill yn dod i rym, technegau sydd wedi gweld naid o ran soffistigedigrwydd rhwng 2023 a 2025.
Ym mis Mai diwethaf, er enghraifft, lansiodd yr Heddlu Ffederal Ymgyrch "Face Off" ar ôl nodi cynllun a dwylloodd tua 3,000 o gyfrifon ar borth Gov.br gan ddefnyddio biometreg wyneb ffug. Defnyddiodd y grŵp troseddol dechnegau hynod soffistigedig i ddynwared defnyddwyr cyfreithlon ar gov.br , sy'n canoli mynediad at filoedd o wasanaethau cyhoeddus digidol.
Datgelodd ymchwilwyr fod y sgamwyr wedi defnyddio cyfuniad o fideos wedi'u trin, delweddau wedi'u newid gan AI, a hyd yn oed masgiau 3D hyper-realistig i dwyllo'r mecanwaith adnabod wynebau. Mewn geiriau eraill, fe wnaethant efelychu nodweddion wyneb trydydd partïon - gan gynnwys unigolion ymadawedig - i gymryd hunaniaethau a chael mynediad at fuddion ariannol sy'n gysylltiedig â'r cyfrifon hynny. Gyda symudiadau artiffisial cydamserol perffaith o blincio, gwenu, neu droi eu pennau, fe wnaethant hyd yn oed lwyddo i osgoi'r swyddogaeth canfod bywiogrwydd, a ddatblygwyd yn union i ganfod a oes person go iawn o flaen y camera.
Y canlyniad oedd mynediad heb awdurdod at gronfeydd na ddylai ond y buddiolwyr cyfreithlon eu hadbrynu, yn ogystal â chymeradwyaeth anghyfreithlon benthyciadau cyflogres ar ap Meu INSS gan ddefnyddio'r hunaniaethau ffug hyn. Dangosodd yr achos hwn yn gryf ei bod hi'n bosibl osgoi biometreg wyneb - hyd yn oed mewn systemau mawr a diogel yn ddamcaniaethol - pan fydd yr offer cywir ar gael.
Yn y sector preifat, nid yw'r sefyllfa'n wahanol. Ym mis Hydref 2024, cynhaliodd Heddlu Sifil yr Ardal Ffederal Ymgyrch "DeGenerative AI," gan ddatgymalu gang sy'n arbenigo mewn hacio i gyfrifon banc digidol gan ddefnyddio apiau deallusrwydd artiffisial. Gwnaeth y troseddwyr dros 550 o ymdrechion i hacio i gyfrifon banc cwsmeriaid, gan ddefnyddio data personol a ollyngwyd a thechnegau ffug-dwfn i atgynhyrchu delweddau deiliaid y cyfrif ac felly dilysu gweithdrefnau ar gyfer agor cyfrifon newydd yn enwau'r dioddefwyr ac actifadu dyfeisiau symudol fel pe baent yn eiddo iddynt.
Amcangyfrifir bod y grŵp wedi llwyddo i symud tua R$ 110 miliwn trwy gyfrifon yn perthyn i unigolion ac endidau cyfreithiol, gan olchi arian o wahanol ffynonellau, cyn i'r rhan fwyaf o'r twyll gael ei atal gan archwiliadau mewnol banc.
Y tu hwnt i fiometreg
I sector bancio Brasil, mae cynnydd yn y sgamiau uwch-dechnoleg hyn yn codi baner goch. Mae banciau wedi buddsoddi'n helaeth yn ystod y degawd diwethaf i fudo cwsmeriaid i sianeli digidol diogel, gan fabwysiadu biometreg wyneb ac olion bysedd fel rhwystrau yn erbyn twyll.
Fodd bynnag, mae'r don ddiweddar o sgamiau'n awgrymu nad yw dibynnu ar fiometreg yn unig yn ddigon. Mae sgamwyr yn manteisio ar wallau dynol a bylchau technolegol i ddynwared defnyddwyr, ac mae hyn yn mynnu bod diogelwch yn cael ei gynllunio gyda lefelau a ffactorau dilysu lluosog, heb ddibynnu mwyach ar un ffactor "hud".
O ystyried y senario cymhleth hwn, mae arbenigwyr yn cytuno ar un argymhelliad: mabwysiadu dilysu aml-ffactor a dulliau diogelwch aml-haenog. Mae hyn yn golygu cyfuno gwahanol dechnolegau a dulliau gwirio fel, os bydd un ffactor yn methu neu'n cael ei beryglu, bod eraill yn atal twyll. Mae biometreg ei hun yn parhau i fod yn elfen bwysig - wedi'r cyfan, pan gaiff ei weithredu'n dda gyda gwirio bywiogrwydd ac amgryptio, mae'n rhwystro ymosodiadau cyfleol yn fawr.
Fodd bynnag, rhaid iddo weithio ar y cyd â rheolyddion eraill: cyfrineiriau neu rifau PIN untro a anfonir i'r ffôn symudol, dadansoddi ymddygiad defnyddwyr – biometreg ymddygiadol fel y'i gelwir, sy'n nodi patrymau teipio, defnydd dyfeisiau, a gall seinio larwm pan fydd yn sylwi bod cwsmer yn "ymddwyn yn wahanol i'r arfer" – a monitro trafodion deallus.
Mae offer deallusrwydd artiffisial hefyd yn cael eu defnyddio i helpu banciau, gan nodi arwyddion cynnil o ffug-ddwfn mewn fideos neu leisiau – er enghraifft, dadansoddi amleddau sain i ganfod lleisiau synthetig neu chwilio am ystumiau gweledol mewn hunluniau.
Yn y pen draw, mae'r neges i reolwyr banciau a gweithwyr proffesiynol diogelwch gwybodaeth yn glir: does dim ateb hawdd. Mae biometreg wedi dod â lefel uwch o ddiogelwch o'i gymharu â chyfrineiriau traddodiadol – cymaint felly fel bod sgamiau wedi symud i raddau helaeth i dwyllo pobl, yn hytrach na thorri algorithmau.
Fodd bynnag, mae twyllwyr yn manteisio ar bob twll yn y gyfraith, boed yn ddynol neu'n dechnolegol, i rwystro systemau biometrig. Mae'r ymateb priodol yn cynnwys technoleg arloesol sy'n cael ei diweddaru'n gyson a monitro rhagweithiol. Dim ond y rhai a all esblygu eu hamddiffynfeydd ar yr un cyflymder ag y bydd sgamiau newydd yn dod i'r amlwg fydd yn gallu amddiffyn eu cleientiaid yn llawn yn oes deallusrwydd artiffisial maleisus.
Gan Sylvio Sobreira Vieira, Prif Swyddog Gweithredol a Phennaeth Ymgynghori yn SVX Conultoria.
