Biometria ei riitä: kuinka kehittyneet huijaukset haastavat pankit

Biometristen tietojen käyttöönotto on kasvanut räjähdysmäisesti Brasiliassa viime vuosina 82% brasilialaisista käyttää jo jonkin verran biometristä tekniikkaa todennukseen, mikä johtuu mukavuudesta ja digitaalisten palvelujen turvallisuuden lisäämisestä. Olipa kyseessä pääsy pankkeihin kasvojentunnistuksen kautta tai sormenjälkien käyttö maksujen valtuuttamiseksi, biometrisistä on tullut “ CPFairon henkilökohtaisen tunnistamisen kannalta, mikä tekee prosesseista nopeampia ja intuitiivisempia.  

Kasvava petosaalto on kuitenkin paljastanut tämän ratkaisun rajat: vasta tammikuussa 2025 Brasiliassa rekisteröitiin 1,24 miljoonaa petosyritystä, mikä on 41,61 TP3T: n lisäys edelliseen vuoteen verrattuna 10,4%, joka vastaa vallankaappausyritystä 2,2 sekunnin välein. Suuri osa näistä hyökkäyksistä kohdistuu digitaalisiin todennusjärjestelmiin.Serasa Experian - tiedot osoittavat, että vuonna 2024 pankkeihin ja kortteihin kohdistuneet petosyritykset kasvoivat 10,4% verrattuna vuoteen 2023, mikä edustaa 53,41 TP3T: tä kaikista vuonna rekisteröidyistä petoksista.  

Jos heitä ei olisi vältetty, nämä petokset olisivat voineet aiheuttaa arviolta tappion 51,6 miljardissa R$: ssa. Tämä lisäys heijastaa maisemien muutosta: huijarit kehittävät taktiikkaansa nopeammin kuin koskaan. Serasan tutkimuksen mukaan puolet brasilialaisista (50,7%) joutui digitaalisen petoksen uhreiksi vuonna 2024, 9 prosenttiyksikön hyppy edelliseen vuoteen verrattuna, ja näistä uhreista 54,21 TP3T kärsi suoraa taloudellista menetystä.  

Toinen analyysi viittaa 45%:n kasvuun digitaalisissa rikoksissa vuonna 2024 maassa, ja puolet uhreista petkutetaan tehokkaasti huijauksilla. Näillä numeroilla suojattu turvallisuusyhteisö kysyy: jos biometriikka lupasi suojella käyttäjiä ja instituutioita, miksi huijarit näyttävät aina olevan askeleen edellä?

Huijaa tiputtaa kasvojen ja digitaalisen tunnistamisen

Osa vastauksesta piilee luovuudessa, jolla digitaaliset jengit kiertävät biometrisiä mekanismeja Viime kuukausina on ilmaantunut symbolisia tapauksia. Santa Catarinassa petollinen ryhmä on vahingoittanut ainakin 50 ihmistä hankkimalla salaa kasvojen biometrisia tietoja asiakkailta (teletyöntekijä simuloi puhelinlinjan myyntiä selfieiden ja asiakasasiakirjojen kaappaamiseen, sitten näiden tietojen käyttäminen pankkitilien avaamiseen ja uhrien puolesta lainaamiseen.  

Minas Geraisissa rikolliset menivät pidemmälle: teeskentelivät kuriireja kerätäkseen sormenjälkiä ja valokuvia asukkaista, joiden nimenomaisena tavoitteena on kiertää pankkien turvallisuus. Eli huijarit eivät vain hyökkää itse teknologiaa vastaan, vaan myös hyödyntävät sosiaalista suunnittelua ' houkuttelemalla ihmisiä luovuttamaan omia biometrisiä tietojaan huomaamattaan Asiantuntijat varoittavat, että jopa vankkoina pidetyt järjestelmät voidaan huijata.  

Ongelmana on, että biometristen tietojen popularisointi on luonut väärän turvallisuuden tunteen: käyttäjät olettavat, että koska se on biometrinen, todennus on erehtymätön.  

Laitoksissa, joissa on vähemmän tiukkoja esteitä, huijarit onnistuvat käyttämään suhteellisen yksinkertaisia keinoja, kuten valokuvia tai muotteja jäljittelemään fyysisiä ominaisuuksia.Ns. “hilicone sormenisku, esimerkiksi on tullut tunnetuksi: rikolliset liimaavat läpinäkyviä kalvoja elektronisen laatikon sormenjälkien lukijoille varastaakseen asiakkaan vedon ja luodakseen sitten väärennetyn silikonisormen kyseisellä sormella, suorittaen ryöstelyä ja virheellisiä siirtoja. Pankit väittävät jo käyttävänsä vastatoimia (anturit, jotka pystyvät havaitsemaan lämmön, pulssin ja muut elävän sormen ominaisuudet, mikä tekee keinotekoisista muoteista hyödyttömiä.  

Silti yksittäiset tapaukset tästä huijauksesta osoittavat, että mikään biometrinen este ei ole täysin turvassa kiertämisyrityksiltä. Toinen huolestuttava vektori on sosiaalisten teknisten laitteiden käyttö selfien tai kasvokokeiden saamiseksi asiakkailta itseltään. Brasilian pankkiliitto (Febraban) soitti hälytyksen uudenlaisesta petoksesta, jossa huijarit pyytävät elfieiltä vahvistusta uhreilta väärillä teeskentelyillä. Esimerkiksi he teeskentelevät olevansa pankki- tai INSS-työntekijöitä, he pyytävät kasvokuvaa “ päivittääkseen rekisterin tai julkaistakseen olemattoman asiakasedun (itse asiassa käyttää tätä selfieä kasvojärjestelmien läpäisemiseen kasvojen todentamisessa.  

Yksinkertainen valvonta, kuten valokuvan ottaminen väitetyn jakelumiehen tai terveydenhuollon agentin pyynnöstä, voi tarjota rikollisille biometrisen “-avaimen päästäkseen muiden ihmisten tileille.  

Deepfakes ja AI: huijausten uusi raja

Jos ihmisten pettäminen on jo laajalti käytetty strategia, edistyneimmät rikolliset ovat myös petollisia koneita.Tässä astutaan uhkiin deepfake 2023 - 2025 kehittynyt manipulointi äänen ja kuvan tekoälyn & muiden digitaalisten väärentämistekniikoiden avulla.  

Viime toukokuussa esimerkiksi liittovaltion poliisi käynnisti operaation “Face Offair tunnistettuaan järjestelmän, joka huijasi noin 3 tuhatta Gov.br-portaalin tiliä väärillä kasvojen biometrisilla tiedoilla. Rikollinen ryhmä sovelsi erittäin kehittyneitä tekniikoita esiintyäkseen laillisina käyttäjinä alustalla gov.br, joka keskittää pääsyn tuhansiin digitaalisiin julkisiin palveluihin.

Tutkijat paljastivat, että huijarit käyttivät manipuloitujen videoiden, tekoälyn muuttavien kuvien ja jopa hyperrealististen 3 D-maskien yhdistelmää huijatakseen kasvojentunnistusmoottoria. Toisin sanoen he simuloivat kolmansien osapuolten, mukaan lukien kuolleiden ihmisten, kasvojen ominaisuuksia "olettamaan identiteettiä ja pääsy näihin tileihin liittyviin taloudellisiin etuihin. Keinosilmän vilkkuessa, hymyillen tai kääntämällä päätään täydellisesti, he jopa onnistuivat kiertämään liveness-tunnistuksen toiminnallisuuden, joka kehitettiin täsmälleen sen havaitsemiseksi, onko kameran edessä todellinen henkilö.  

Tuloksena oli epäasianmukainen pääsy summiin, jotka pitäisi lunastaa vain todellisten edunsaajien toimesta, sen lisäksi, että My INSS - sovelluksessa näitä vääriä henkilöllisyyksiä käyttäen maksettavien lainojen laiton hyväksyntä Tämä tapaus on väkisin paljastanut, että kyllä, on mahdollista kiertää kasvojen biometrisiä tietoja (jopa suurissa ja teoreettisesti turvallisissa järjestelmissä 'Kun sinulla on oikeat työkalut.  

Lokakuussa 2024 liittovaltion siviilipoliisi suoritti “DeGenerative AIñolet -operaation, joka erotti jengin, joka on erikoistunut hakkeroimaan digitaalisia pankkitilejä tekoälysovellusten kautta. Rikolliset yrittivät hakkeroida asiakaspankkitilejä yli 550 yritystä hakkeroida käyttämällä vuotaneita henkilötietoja ja deepfake-tekniikoita. toistaa tilinomistajien kuvan ja siten validoi menettelyt uusien tilien avaamiseksi uhrien puolesta ja mobiililaitteiden mahdollistamiseksi ikään kuin ne olisivat heidän omiaan.  

On arvioitu, että konserni onnistui liikkumaan noin 110 miljoonaa R$ henkilökohtaisilla ja laillisilla tileillä, pesulla eri lähteistä peräisin olevaa rahaa, ennen kuin useimmat petokset estivät pankkien sisäiset tarkastukset.  

Biometristen tietojen lisäksi

Brasilian pankkisektorin osalta näiden korkean teknologian huijausten eskaloituminen sytyttää varoitussignaalin. Pankit ovat investoineet voimakkaasti viime vuosikymmenellä siirtääkseen asiakkaita digitaalisten kanavien turvaamiseen ja omaksuneet kasvojen ja digitaalisen biometriikan esteiksi petoksia vastaan.  

Viimeaikainen huijausten aalto kuitenkin viittaa siihen, että pelkästään biometrisiin tietoihin luottaminen ei ehkä riitä.Huokaajat hyödyntävät inhimillisiä puutteita ja teknologisia porsaanreikiä esiintyäkseen kuluttajina, ja tämä edellyttää, että turvallisuutta ajatellaan useilla tasoilla ja todennustekijöillä, ei enää yhtäkään “magicalPair-tekijää.

Tässä monimutkaisessa skenaariossa asiantuntijat yhtyvät suositukseen: omaksuvat monivaiheisen todennuksen ja monikerroksisen turvallisuuden lähestymistavat.Tämä tarkoittaa erilaisten teknologioiden ja varmennusmenetelmien yhdistämistä, niin että jos yksi tekijä epäonnistuu tai vaarantuu, toiset estävät petoksia.Bometriikka itsessään pysyy tärkeänä osana (jälkeenkin, kun se on hyvin toteutettu elämänvarmennuksella (elävyys) ja salauksella, se haittaa suuresti opportunistisia hyökkäyksiä.  

Sen on kuitenkin toimittava yhdessä muiden hallintalaitteiden kanssa: matkapuhelimeen lähetetyt kertakäyttöiset salasanat tai PIN-koodit, käyttäjän käyttäytymisen analyysi “SO-ns. käyttäytymisbiometriset tiedot, joka tunnistaa kirjoitusmallit, laitteen käytön ja saattaa antaa hälytyksen, kun huomaat asiakkaan ”agindo poikkeavan tapahtumien normaalista & älykkäästä seurannasta.  

Tekoälytyökaluja käytetään myös pankkien hyväksi, hienovaraisten deepfake-signaalien tunnistaminen videoissa tai äänissä - esimerkiksi äänitaajuuksien analysointi synteettisten äänien havaitsemiseksi tai visuaalisten vääristymien etsiminen selfieistä.  

Lopulta pankinjohtajille ja tietoturva-ammattilaisille jäävä viesti on selvä: hopealuotia ei ole.Biometriikka toi korkeampaa turvallisuustasoa perinteisiin salasanoihin verrattuna NIIN paljon, että huijaukset siirtyivät suurelta osin ihmisten huijaamiseksi, eivät enää rikkoneet algoritmeja.  

Huijarit kuitenkin käyttävät hyväkseen jokaista rikkomusta, olivatpa ne inhimillisiä tai teknisiä, estääkseen biometriset järjestelmät. Oikea vastaus sisältää huipputeknologian jatkuvassa päivittämisessä ja ennakoivassa seurannassa.Vain ne, jotka voivat kehittää puolustustaan samalla nopeudella kuin uusia huijauksia ilmaantuu, pystyvät täysin suojelemaan asiakkaitaan haitallisen tekoälyn aikakaudella.

Sylvio Sobreira Vieira, SVX Consultorian toimitusjohtaja ja pääkonsultointi.