Biometri er ikke nok: hvor avanceret svindel udfordrer banker

Vedtagelsen af biometri er eksploderet i Brasilien i de seneste år 82% af brasilianere allerede bruger nogle biometriske teknologi til autentificering, drevet af bekvemmelighed og søgen efter mere sikkerhed i digitale tjenester. Uanset om i adgang til banker via ansigtsgenkendelse eller brug af fingeraftryk til at godkende betalinger, biometri er blevet den “novo CPF” med hensyn til personlig identifikation, hvilket gør processer hurtigere og mere intuitiv.  

En voksende bølge af svindel har imidlertid afsløret grænserne for denne løsning: kun i januar 2025 blev der registreret 1,24 millioner svindelforsøg i Brasilien, en stigning på 41,6% sammenlignet med det foregående år 10,4% svarende til et kupforsøg hvert 2,2 sekund. En stor del af disse angreb er rettet mod digitale autentificeringssystemer. Serasa Experian-data viser, at i 2024 voksede svindelforsøg mod banker og kort 10,4% sammenlignet med 2023, hvilket repræsenterer 53,4% af al svindel registreret i året.  

Hvis de ikke var blevet undgået, kunne disse bedragerier have forårsaget et anslået tab i R$ 51,6 mia. Denne stigning afspejler en ændring af sceneri: svindlere udvikler deres taktik hurtigere end nogensinde. Ifølge en Serasa-undersøgelse var halvdelen af brasilianerne (50,7%) ofre for digital svindel i 2024, et spring på 9 procentpoint i forhold til året før, og 54,2% af disse ofre led direkte økonomisk tab.  

En anden analyse peger på en stigning på 45% i digitale forbrydelser i 2024 i landet, hvor halvdelen af ofrene effektivt bliver bedraget af svindel.Faced med disse tal, spørger sikkerhedsfællesskabet: hvis biometri lovede at beskytte brugere og institutioner, hvorfor synes svindlere altid at være et skridt foran?

Svindel drible ansigts- og digital genkendelse

En del af svaret ligger i den kreativitet, hvormed digitale bander omgå biometriske mekanismer.I de seneste måneder er emblematiske tilfælde opstået.I Santa Catarina har en svigagtig gruppe såret mindst 50 mennesker ved hemmeligt at indhente ansigtsbiometriske data fra kunder (en telekommunikationsmedarbejder simulerede telefonlinjesalg for at fange selfies og kundedokumenter, og derefter bruge disse data til at åbne bankkonti og låne på vegne af ofre.  

I Minas Gerais gik kriminelle videre: foregiver at være kurerer til at indsamle fingeraftryk og fotos af beboere, med det udtrykkelige formål at omgå bankernes sikkerhed. Det vil sige, svindlere ikke kun angriber selve teknologien, men også udnytter social engineering 'ved at få folk til at udlevere deres egne biometriske data uden at indse det. Eksperter advarer om, at selv systemer, der anses for robuste, kan narre.  

Problemet er, at populariseringen af biometri har skabt en falsk følelse af sikkerhed: Brugere antager, at fordi det er biometrisk, er autentificering ufejlbarlig.  

I institutioner med mindre strenge barrierer lykkes svindlere ved hjælp af relativt enkle midler, såsom fotos eller forme til at efterligne fysiske egenskaber.Den såkaldte “hilikone finger slap, for eksempel, er blevet kendt: kriminelle limer gennemsigtige film til elektroniske boks fingeraftrykslæsere for at stjæle kundens print og derefter oprette en falsk silikone finger med den finger, udfører plyndring og ukorrekte overførsler.Banker hævder allerede at anvende modforanstaltninger (sensorer, der er i stand til at opdage varme, puls og andre egenskaber ved en levende finger, hvilket gør kunstige forme ubrugelige.  

Alligevel, isolerede tilfælde af denne fidus viser, at ingen biometrisk barriere er helt sikkert fra forsøg på at omgå. En anden bekymrende vektor er brugen af social engineering enheder til at opnå selfies eller ansigtsundersøgelser fra kunderne selv. Den brasilianske sammenslutning af banker (Febraban) lød alarm for en ny type svindel, hvor svindlere anmoder om “selfies bekræftelse fra ofre under falske forudsætninger. For eksempel, foregiver at være bank eller INSS medarbejdere, de beder om et ansigtsfoto “at opdatere et” register eller frigive en ikke-eksisterende kundefordel (faktisk, bruge denne selfies til at passere af ansigtssystemer i ansigtsbekræftelse.  

En simpel forglemmelse som at tage et billede efter anmodning fra en påstået budbringer eller sundhedsagent kan give kriminelle en biometrisk” “nøgle til at få adgang til andres konti.  

Deepfakes og AI: den nye grænse for svindel

Hvis bedrage folk allerede er en meget anvendt strategi, de mest avancerede kriminelle er også bedrage maskiner. Her indtaste truslerne fra deepfake 2023 til 2025 avanceret manipulation af stemme og billede ved kunstig intelligens & andre digitale forfalskning teknikker.  

Sidste maj, for eksempel, den føderale politi udløste operationen “Face Off” efter at have identificeret en ordning, der bedragede omkring 3 tusinde konti af portalen Gov.br ved hjælp af falsk ansigtsbiometri.Den kriminelle gruppe anvendte meget sofistikerede teknikker til at efterligne legitime brugere på platformen gov.br, som koncentrerer adgangen til tusindvis af digitale offentlige tjenester.

Efterforskere afslørede, at svindlerne brugte en kombination af manipulerede videoer, AI-ændrede billeder og endda hyperrealistiske 3D-masker til at narre ansigtsgenkendelsesmotoren.Med andre ord simulerede de ansigtstræk hos tredjeparter, herunder afdøde mennesker 'for at antage identiteter og få adgang til økonomiske fordele knyttet til disse konti.Med kunstige øjne blinkende, smilende eller dreje hovedet synkroniseret perfekt, lykkedes det endda at omgå funktionaliteten af livlighedsdetektion, som blev udviklet nøjagtigt til at opdage, om der er en rigtig person foran kameraet.  

Resultatet var ukorrekt adgang til beløb, der bør indløses kun af de reelle modtagere, ud over den ulovlige godkendelse af lån, der skal betales i My INSS app ved hjælp af disse falske identiteter. Denne sag har kraftigt afsløret, at ja, det er muligt at omgå ansigtsbiometri (selv i store og teoretisk sikre systemer 'Når du har de rigtige værktøjer.  

I oktober 2024 gennemførte Federal District Civil Police operationen “DeGenerative AI”, og disartikulerede en bande, der har specialiseret sig i at hacke digitale bankkonti gennem kunstig intelligens-apps. De kriminelle udførte mere end 550 forsøg på at hacke kundebankkonti ved at bruge lækkede personlige data og deepfake-teknikker til at gengive billedet af kontohavere og dermed validere procedurer for at åbne nye konti på vegne af ofre og aktivere mobile enheder, som om de var deres egne.  

Gruppen anslås at have formået at flytte omkring R$ 110 millioner i personlige og juridiske konti, hvidvaskning af penge fra forskellige kilder, før de fleste svig blev udelukket af interne bankrevisioner.  

Beyond biometrics

For den brasilianske banksektor antænder eskaleringen af disse højteknologiske svindelnumre et advarselssignal. Bankerne har investeret kraftigt i det sidste årti for at migrere kunder for at sikre digitale kanaler, idet de har vedtaget ansigts- og digitalbiometri som barrierer mod svindel.  

Den seneste bølge af svindel tyder dog på, at det måske ikke er nok udelukkende at stole på biometri. Svindlere udnytter menneskelige fejl og teknologiske smuthuller til at efterligne forbrugerne, og det kræver, at der tænkes på sikkerhed på flere niveauer og autentificeringsfaktorer, ikke længere en enkelt “magisk” faktor.

I dette komplekse scenarie konvergerer eksperter på en anbefaling: vedtage multifaktorgodkendelse og flerlagssikkerhedstilgange. Det betyder at kombinere forskellige teknologier og verifikationsmetoder, så hvis en faktor fejler eller kompromitteres, forhindrer andre svindel. Biometrien i sig selv forbliver en vigtig del (når alt kommer til alt, når den er godt implementeret med livsverifikation (livlighed) og kryptering, hindrer det i høj grad opportunistiske angreb.  

Det skal dog handle sammen med andre kontroller: adgangskoder eller pinkoder til engangsbrug sendt til mobiltelefonen, analyse af brugeradfærd 'SÅkaldt adfærdsbiometri, som identificerer skrivemønstre, enhedsbrug og kan slå alarm, når du bemærker en kunde “agando forskellig fra normal” & intelligent transaktionsovervågning.  

AI-værktøjer bliver også brugt til fordel for banker, der identificerer subtile deepfake-signaler i videoer eller stemmer - for eksempel ved at analysere lydfrekvenser for at detektere syntetiske stemmer eller lede efter visuelle forvrængninger i selfies.  

I sidste ende er det budskab, der er tilbage for bankchefer og informationssikkerhedsprofessionelle, klart: der er ingen sølvkugle. Biometri bragte et højere sikkerhedsniveau sammenlignet med traditionelle adgangskoder SÅ meget, at svindelnumre migrerede stort set for at bedrage folk, og ikke længere bryde algoritmer.  

Men svindlere udnytter hvert brud, uanset om det er menneskeligt eller teknologisk, for at forpurre biometriske systemer. Den korrekte reaktion involverer banebrydende teknologi i konstant opdatering og proaktiv overvågning.Kun dem, der kan udvikle deres forsvar med samme hastighed som nye svindelnumre opstår, vil være i stand til fuldt ud at beskytte deres kunder i en tidsalder med ondsindet kunstig intelligens.

Af Sylvio Sobreira Vieira, CEO & Head Consulting for SVX Consultoria.