Biometria não é suficiente: como fraudes avançadas estão desafiando os bancos

हाल के वर्षों में ब्राजील में बायोमेट्रिक्स को अपनाने में विस्फोट हुआ है ब्राजीलियाई लोगों के ८२१ टीपी ३ टी पहले से ही प्रमाणीकरण के लिए कुछ बायोमेट्रिक तकनीक का उपयोग करते हैं, सुविधा से प्रेरित है और डिजिटल सेवाओं में अधिक सुरक्षा की खोज में है चाहे चेहरे की पहचान के माध्यम से बैंकों तक पहुंच हो या भुगतान को अधिकृत करने के लिए फिंगरप्रिंट का उपयोग, बायोमेट्रिक्स व्यक्तिगत पहचान के मामले में “नोवो सीपीएफ” बन गया है, जिससे प्रक्रियाएं तेज और अधिक सहज हो गई हैं।.  

हालांकि, धोखाधड़ी की बढ़ती लहर ने इस समाधान की सीमाओं को उजागर किया है: केवल जनवरी २०२५ में, ब्राजील में १.२४ मिलियन धोखाधड़ी के प्रयास दर्ज किए गए थे, पिछले वर्ष की तुलना में ४१.६१TP३T की वृद्धि हुई है १०.४१TP३T हर २.२ सेकंड में तख्तापलट के प्रयास के बराबर इन हमलों का एक बड़ा हिस्सा डिजिटल प्रमाणीकरण प्रणालियों को लक्षित करता है सेरासा एक्सपीरियन डेटा से पता चलता है कि २०२४ में बैंकों और कार्डों के खिलाफ धोखाधड़ी के प्रयासों में २०२३ की तुलना में १०.४१TP३T की वृद्धि हुई, जो वर्ष में पंजीकृत सभी धोखाधड़ी के ५३.४१TP३T का प्रतिनिधित्व करता है।.  

अगर उन्हें टाला नहीं गया होता, तो इन धोखाधड़ी से आर १ टीपी ४ टी ५१.६ बिलियन में अनुमानित नुकसान हो सकता था यह वृद्धि दृश्यों के बदलाव को दर्शाती है: स्कैमर्स पहले से कहीं अधिक तेजी से अपनी रणनीति विकसित कर रहे हैं सेरासा सर्वेक्षण के अनुसार, ब्राजील के आधे (५०.७१ टीपी ३ टी) २०२४ में डिजिटल धोखाधड़ी के शिकार थे, जो पिछले वर्ष की तुलना में ९ प्रतिशत अंक की छलांग थी, और इन पीड़ितों में से ५४.२१ टीपी ३ टी को प्रत्यक्ष वित्तीय नुकसान हुआ था।.  

एक अन्य विश्लेषण देश में 2024 में डिजिटल अपराधों में 45% की वृद्धि की ओर इशारा करता है, जिसमें आधे पीड़ितों को घोटालों से प्रभावी ढंग से धोखा दिया गया है। इन संख्याओं का सामना करते हुए, सुरक्षा समुदाय पूछता है: यदि बायोमेट्रिक्स ने उपयोगकर्ताओं और संस्थानों की सुरक्षा का वादा किया है, तो क्यों ऐसा लगता है कि धोखेबाज हमेशा एक कदम आगे रहते हैं?

घोटाले चेहरे और डिजिटल पहचान को कमजोर करते हैं

उत्तर का एक हिस्सा रचनात्मकता में निहित है जिसके साथ डिजिटल गिरोह बायोमेट्रिक तंत्र को दरकिनार करते हैं हाल के महीनों में, प्रतीकात्मक मामले सामने आए हैं सांता कैटरीना में, एक धोखाधड़ी समूह ने ग्राहकों से चेहरे के बायोमेट्रिक्स डेटा को गुप्त रूप से प्राप्त करके कम से कम ५० लोगों को घायल कर दिया है (एक दूरसंचार कर्मचारी ने सेल्फी और ग्राहक दस्तावेजों को पकड़ने के लिए फोन लाइन की बिक्री का अनुकरण किया, फिर इस डेटा का उपयोग करके बैंक खाते खोलने और पीड़ितों की ओर से उधार लेने के लिए।.  

मिनस गेरैस में, अपराधी आगे बढ़ गए: फिंगरप्रिंट और निवासियों की तस्वीरों को इकट्ठा करने के लिए कूरियर होने का नाटक करते हुए, बैंकों की सुरक्षा को दरकिनार करने के स्पष्ट उद्देश्य के साथ, घोटालेबाज न केवल प्रौद्योगिकी पर हमला करते हैं, बल्कि सोशल इंजीनियरिंग का भी शोषण करते हैं 'लोगों को अपने स्वयं के बायोमेट्रिक डेटा को बिना महसूस किए सौंपने के लिए प्रेरित करके विशेषज्ञों ने चेतावनी दी है कि यहां तक कि मजबूत माने जाने वाले सिस्टम को भी बेवकूफ बनाया जा सकता है।.  

समस्या यह है कि बायोमेट्रिक्स के लोकप्रिय होने से सुरक्षा की झूठी भावना पैदा हुई है: उपयोगकर्ता मानते हैं कि, क्योंकि यह बायोमेट्रिक है, प्रमाणीकरण अचूक है।.  

कम कठोर बाधाओं वाले संस्थानों में, स्कैमर्स अपेक्षाकृत सरल साधनों का उपयोग करने में सफल होते हैं, जैसे कि भौतिक विशेषताओं की नकल करने के लिए फोटो या मोल्ड्स उदाहरण के लिए, तथाकथित “हिलिकॉन उंगली थप्पड़, ज्ञात हो गया है: अपराधी ग्राहक के प्रिंट को चुराने के लिए इलेक्ट्रॉनिक बॉक्स फिंगरप्रिंट पाठकों को पारदर्शी फिल्मों को गोंद करते हैं और फिर उस उंगली से नकली सिलिकॉन उंगली बनाते हैं, लूटपाट और अनुचित हस्तांतरण करते हैं बैंक पहले से ही काउंटरमेशर्स (एक जीवित उंगली की गर्मी, नाड़ी और अन्य विशेषताओं का पता लगाने में सक्षम सेंसर, कृत्रिम मोल्डों को बेकार करते हैं) को नियोजित करने का दावा करते हैं।.  

फिर भी, इस घोटाले के अलग-अलग मामलों से पता चलता है कि कोई बायोमेट्रिक बाधा पूरी तरह से बचने के प्रयासों से सुरक्षित नहीं है एक और चिंताजनक वेक्टर सोशल इंजीनियरिंग उपकरणों का उपयोग स्वयं ग्राहकों से सेल्फी या चेहरे की परीक्षा प्राप्त करने के लिए है ब्राजीलियन फेडरेशन ऑफ बैंक्स (फेब्रबन) ने एक नए प्रकार के धोखाधड़ी के लिए अलार्म बजाया जिसमें स्कैमर्स झूठे बहाने के तहत पीड़ितों से “सेल्फी की पुष्टि का अनुरोध करते हैं उदाहरण के लिए, बैंक या आईएनएसएस कर्मचारी होने का नाटक करते हुए, वे चेहरे की तस्वीर के लिए पूछते हैं ” एक अ“ रजिस्टर को अपडेट करने या एक अस्तित्वहीन ग्राहक लाभ जारी करने के लिए (वास्तव में, चेहरे के सत्यापन में चेहरे की प्रणालियों द्वारा पारित करने के लिए इस सेल्फी का उपयोग करें)।.  

एक कथित डिलीवरीमैन या स्वास्थ्य देखभाल एजेंट के अनुरोध पर फोटो लेने जैसी एक साधारण निगरानी अपराधियों को अन्य लोगों के खातों तक पहुंचने के लिए बायोमेट्रिक“ ” कुंजी प्रदान कर सकती है।.  

डीपफेक और एआई: घोटालों की नई सीमा

यदि लोगों को धोखा देना पहले से ही एक व्यापक रूप से इस्तेमाल की जाने वाली रणनीति है, तो सबसे उन्नत अपराधी भी मशीनों को धोखा दे रहे हैं यहां कृत्रिम बुद्धिमत्ता और अन्य डिजिटल जालसाजी तकनीकों द्वारा आवाज और छवि के डीपफेक 2023 से 2025 के उन्नत हेरफेर के खतरों को दर्ज करें।.  

उदाहरण के लिए, पिछले मई में, संघीय पुलिस ने एक ऐसी योजना की पहचान करने के बाद ऑपरेशन “फेस ऑफ” शुरू किया, जिसने झूठे चेहरे के बायोमेट्रिक्स का उपयोग करके पोर्टल Gov।br के लगभग 3 हजार खातों को धोखा दिया था। आपराधिक समूह ने प्लेटफॉर्म पर वैध उपयोगकर्ताओं का प्रतिरूपण करने के लिए अत्यधिक परिष्कृत तकनीकों को लागू किया था। gov.br, है, जो हजारों डिजिटल सार्वजनिक सेवाओं तक पहुंच को केंद्रित करता है।.

जांचकर्ताओं ने खुलासा किया कि घोटालेबाजों ने चेहरे की पहचान इंजन को धोखा देने के लिए हेरफेर किए गए वीडियो, एआई-परिवर्तित छवियों और यहां तक कि अति-यथार्थवादी 3 डी मास्क के संयोजन का उपयोग किया। दूसरे शब्दों में, उन्होंने मृत लोगों सहित तीसरे पक्षों की चेहरे की विशेषताओं का अनुकरण किया। पहचान और उन खातों से जुड़े वित्तीय लाभों तक पहुंच। कृत्रिम आंखों से पलक झपकाने, मुस्कुराने या अपने सिर को पूरी तरह से सिंक्रनाइज़ करने के साथ, वे जीवंतता का पता लगाने की कार्यक्षमता को भी दरकिनार करने में कामयाब रहे, जिसे वास्तव में यह पता लगाने के लिए विकसित किया गया था कि कैमरे के सामने कोई वास्तविक व्यक्ति है या नहीं।.  

परिणाम उन राशियों तक अनुचित पहुंच था जिन्हें केवल वास्तविक लाभार्थियों द्वारा भुनाया जाना चाहिए, इन झूठी पहचानों का उपयोग करके माई आईएनएसएस ऐप में देय ऋणों की अवैध स्वीकृति के अलावा इस मामले ने जबरदस्ती उजागर किया है कि हां, चेहरे के बायोमेट्रिक्स को दरकिनार करना संभव है (यहां तक कि बड़े और सैद्धांतिक रूप से सुरक्षित प्रणालियों में भी 'जब आपके पास सही उपकरण हों।.  

अक्टूबर 2024 में, संघीय जिला नागरिक पुलिस ने कृत्रिम बुद्धिमत्ता ऐप्स के माध्यम से डिजिटल बैंक खातों को हैक करने में माहिर एक गिरोह को निष्क्रिय करते हुए “DeGenerative AI” ऑपरेशन चलाया। अपराधियों ने लीक हुए व्यक्तिगत डेटा का उपयोग करके ग्राहक बैंक खातों को हैक करने के 550 से अधिक प्रयास किए और डीपफेक खाताधारकों की छवि को पुन: पेश करने की तकनीक और इस प्रकार पीड़ितों की ओर से नए खाते खोलने और मोबाइल उपकरणों को सक्षम करने की प्रक्रियाओं को मान्य करना जैसे कि वे उनके अपने हों।.  

अनुमान है कि आंतरिक बैंक ऑडिट द्वारा अधिकांश धोखाधड़ी पर रोक लगाने से पहले, समूह व्यक्तिगत और कानूनी खातों में R$ 110 मिलियन के आसपास जाने में कामयाब रहा, विभिन्न स्रोतों से धन शोधन किया।.  

बॉयोमीट्रिक्स से परे

ब्राजील के बैंकिंग क्षेत्र के लिए, इन उच्च तकनीक घोटालों के बढ़ने से चेतावनी संकेत प्रज्वलित होता है बैंकों ने पिछले दशक में ग्राहकों को डिजिटल चैनलों को सुरक्षित करने के लिए स्थानांतरित करने के लिए भारी निवेश किया है, धोखाधड़ी के खिलाफ बाधाओं के रूप में चेहरे और डिजिटल बायोमेट्रिक्स को अपनाना।.  

हालांकि, घोटालों की हालिया लहर से पता चलता है कि केवल बायोमेट्रिक्स पर निर्भर रहना पर्याप्त नहीं हो सकता है घोटालेबाज उपभोक्ताओं को प्रतिरूपण करने के लिए मानव दोषों और तकनीकी खामियों का फायदा उठाते हैं, और यह मांग करता है कि सुरक्षा को कई स्तरों और प्रमाणीकरण कारकों पर सोचा जाए, अब एक एकल “जादुई” कारक नहीं है।.

इस जटिल परिदृश्य में, विशेषज्ञ एक सिफारिश पर अभिसरण करते हैं: मल्टीफैक्टर प्रमाणीकरण और बहुपरत सुरक्षा दृष्टिकोण अपनाएं इसका मतलब है कि विभिन्न तकनीकों और सत्यापन विधियों का संयोजन, ताकि यदि एक कारक विफल हो जाता है या समझौता किया जाता है, तो अन्य धोखाधड़ी को रोकने के लिए बायोमेट्रिक्स स्वयं एक महत्वपूर्ण हिस्सा बना रहता है (आखिरकार, जब जीवन सत्यापन (जीवंतता) और एन्क्रिप्शन के साथ अच्छी तरह से लागू किया जाता है, तो यह अवसरवादी हमलों में बहुत बाधा डालता है।.  

हालाँकि, इसे अन्य नियंत्रणों के साथ मिलकर काम करना चाहिए: मोबाइल फोन पर भेजे गए एकल उपयोग के लिए पासवर्ड या पिन, उपयोगकर्ता के व्यवहार का विश्लेषण “तथाकथित व्यवहार बायोमेट्रिक्स, जो टाइपिंग पैटर्न, डिवाइस के उपयोग की पहचान करता है और जब आप किसी ग्राहक को नोटिस करते हैं तो अलार्म बजा सकते हैं। ”agando सामान्य से भिन्न और बुद्धिमान लेनदेन निगरानी।.  

एआई टूल का उपयोग बैंकों के पक्ष में भी किया जा रहा है, वीडियो या आवाज़ों में सूक्ष्म डीपफेक संकेतों की पहचान करना - उदाहरण के लिए, सिंथेटिक आवाज़ों का पता लगाने के लिए ऑडियो आवृत्तियों का विश्लेषण करना या सेल्फी में दृश्य विकृतियों की तलाश करना।.  

अंत में, बैंक प्रबंधकों और सूचना सुरक्षा पेशेवरों के लिए जो संदेश रहता है वह स्पष्ट है: कोई चांदी की गोली नहीं है बायोमेट्रिक्स पारंपरिक पासवर्ड की तुलना में उच्च स्तर की सुरक्षा लाया इतना है कि घोटाले बड़े पैमाने पर लोगों को धोखा देने के लिए चले गए, अब एल्गोरिदम को नहीं तोड़ रहे हैं।.  

हालांकि, धोखेबाज हर उल्लंघन का शोषण कर रहे हैं, चाहे वह मानव या तकनीकी हो, बायोमेट्रिक सिस्टम को विफल करने के लिए उचित प्रतिक्रिया में निरंतर अद्यतन और सक्रिय निगरानी में अत्याधुनिक तकनीक शामिल है केवल वे जो नए घोटाले के रूप में उसी गति से अपने बचाव को विकसित कर सकते हैं दुर्भावनापूर्ण कृत्रिम बुद्धि के युग में अपने ग्राहकों की पूरी तरह से रक्षा करने में सक्षम होंगे।.

एसवीएक्स कंसल्टोरिया के सीईओ और प्रमुख कंसल्टिंग सिल्वियो सोब्रेइरा विएरा द्वारा.