Biometrija nije dovoljna: koliko je napredna prijevara izazov za banke

Usvajanje biometrije eksplodiralo je u Brazilu posljednjih godina 82% Brazilaca već koristi neku biometrijsku tehnologiju za autentifikaciju, potaknutu pogodnošću i potragom za većom sigurnošću u digitalnim uslugama. Bilo u pristupu bankama putem prepoznavanja lica ili korištenja otiska prsta za autorizaciju plaćanja, biometrija je postala “novo CPF” u smislu osobne identifikacije, čineći procese bržima i intuitivnijima.  

Međutim, rastući val prijevara razotkrio je granice ovog rješenja: samo u siječnju 2025. u Brazilu je registrirano 1,24 milijuna pokušaja prijevare, što je povećanje od 41,6% u odnosu na prethodnu godinu 10,4% što je ekvivalentno pokušaju državnog udara svake 2,2 sekunde.Veliki dio tih napada usmjeren je na sustave digitalne autentifikacije.Podaci Serasa Experian pokazuju da su u 2024. pokušaji prijevare protiv banaka i kartica porasli za 10,4% u odnosu na 2023., što predstavlja 53,4% svih prijevara registriranih u godini.  

Da ih se nije izbjeglo, te su prijevare mogle prouzročiti procijenjeni gubitak u iznosu od 51,6 milijardi R$. Ovo povećanje odražava promjenu okruženja: prevaranti razvijaju svoju taktiku brže nego ikad.Prema istraživanju Serase, polovica Brazilaca (50,7%) bili su žrtve digitalne prijevare u 2024., što je skok od 9 postotnih bodova u odnosu na prethodnu godinu, a 54,2% tih žrtava pretrpjelo je izravan financijski gubitak.  

Druga analiza ukazuje na povećanje od 45% u digitalnim zločinima u 2024. u zemlji, pri čemu je polovica žrtava zapravo prevarena prijevarama. Suočena s ovim brojevima, sigurnosna zajednica pita: ako je biometrija obećala zaštititi korisnike i institucije, zašto prevaranti Čini se da su uvijek korak ispred?

Prevare driblaju prepoznavanje lica i digitalno prepoznavanje

Dio odgovora leži u kreativnosti kojom digitalne bande zaobilaze biometrijske mehanizme. Posljednjih mjeseci pojavili su se simbolični slučajevi. U Santa Catarini je lažna skupina ozlijedila najmanje 50 ljudi tajnim dobivanjem biometrijskih podataka lica od kupaca (zaposlenik telekomunikacija simulirao je prodaju telefonske linije kako bi snimio selfije i dokumente kupaca, zatim koristeći te podatke za otvaranje bankovnih računa i posuđivanje u ime žrtava.  

U Minas Geraisu kriminalci su otišli dalje: pretvarajući se da su kuriri kako bi prikupili otiske prstiju i fotografije stanovnika, s izričitim ciljem da zaobiđu sigurnost banaka, odnosno prevaranti ne napadaju samo samu tehnologiju, već iskorištavaju i društveni inženjering ‘navođenjem ljudi da predaju vlastite biometrijske podatke, a da toga nisu svjesni Stručnjaci upozoravaju da se čak i sustavi koji se smatraju robusnima mogu prevariti.  

Problem je u tome što je popularizacija biometrije stvorila lažan osjećaj sigurnosti: korisnici pretpostavljaju da je autentifikacija nepogrešiva, budući da je biometrijska.  

U institucijama s manje strogim preprekama, prevaranti uspijevaju koristiti relativno jednostavna sredstva, poput fotografija ili kalupa za oponašanje fizičkih karakteristika. Takozvani “hilicone šamar prstima, na primjer, postao je poznat: kriminalci lijepe prozirne filmove na čitače otisaka prstiju elektroničke kutije kako bi ukrali otisak kupca i zatim tim prstom stvoriti lažni silikonski prst, vršeći pljačku i neprikladne prijenose. Banke tvrde da već koriste protumjere (senzore koji mogu detektirati toplinu, puls i druge karakteristike živog prsta, čineći umjetne kalupe beskorisnima.  

Ipak, izolirani slučajevi ove prijevare pokazuju da nijedna biometrijska barijera nije potpuno sigurna od pokušaja zaobilaženja. Drugi zabrinjavajući vektor je korištenje uređaja društvenog inženjeringa za dobivanje selfija ili pregleda lica od samih klijenata. Brazilska federacija banaka (Febraban) oglasila je uzbunu za novu vrstu prijevare u kojoj prevaranti traže potvrdu “selfies od žrtava pod lažnim izgovorom. Na primjer, pretvarajući se da su zaposlenici banke ili INSS-a, traže fotografiju lica “ kako bi ažurirali registar ili objavili nepostojeću korist za klijente (zapravo, koristite ovaj selfie da prođete pored sustava lica u provjeri lica.  

Jednostavan propust poput fotografiranja na zahtjev navodnog dostavljača ili zdravstvenog agenta može kriminalcima pružiti biometrijski ključ za pristup tuđim računima.  

Deepfakes i AI: nova granica prijevara

Ako je obmanjivanje ljudi već široko korištena strategija, najnapredniji kriminalci također obmanjuju strojeve. Ovdje unesite prijetnje deepfake 2023 do 2025 napredne manipulacije glasom i slikom od strane umjetne inteligencije i drugih tehnika digitalnog krivotvorenja.  

Prošlog svibnja, na primjer, savezna policija pokrenula je operaciju “Face Off” nakon što je identificirala shemu koja je prevarila oko 3 tisuće računa portala Gov.br koristeći lažnu biometriju lica. Kriminalna skupina primijenila je visoko sofisticirane tehnike kako bi lažno predstavljala legitimne korisnike na platformi gov.br, koji koncentrira pristup tisućama digitalnih javnih usluga.

Istražitelji su otkrili da su prevaranti koristili kombinaciju manipuliranih videozapisa, slika izmijenjenih umjetnom inteligencijom, pa čak i hiper-realističnih 3 D maski kako bi prevarili mehanizam za prepoznavanje lica. Drugim riječima, simulirali su crte lica trećih strana, uključujući preminule osobe 'kako bi preuzeli identitete i pristupili financijskim pogodnostima povezanim s tim računima. S umjetnim treptanjem oka, osmijehom ili savršenim okretanjem glave sinkronizirani, čak su uspjeli zaobići funkcionalnost detekcije živosti, koja je razvijena upravo kako bi se otkrilo postoji li stvarna osoba ispred kamere.  

Rezultat je bio nepravilan pristup iznosima koje bi trebali otkupiti samo stvarni korisnici, uz nezakonito odobravanje zajmova plativih u aplikaciji My INSS koristeći te lažne identitete Ovaj je slučaj snažno razotkrio da da, moguće je zaobići biometriju lica (čak i u velikim i teoretski sigurnim sustavima 'Kada imate prave alate.  

U listopadu 2024. civilna policija Federalnog okruga provela je operaciju “DeGenerative AI”, dezartikulirajući bandu specijaliziranu za hakiranje digitalnih bankovnih računa putem aplikacija umjetne inteligencije. Kriminalci su izveli više od 550 pokušaja hakiranja bankovnih računa klijenata, koristeći procurjele osobne podatke i deepfake tehnike za reprodukciju slike vlasnika računa i time provjeru valjanosti postupaka za otvaranje novih računa u ime žrtava i omogućavanje mobilnih uređaja kao da su njihovi.  

Procjenjuje se da je grupa uspjela premjestiti oko 110 milijuna R$ na osobnim i pravnim računima, perući novac iz različitih izvora, prije nego što je većina prijevara zabranjena internim revizijama banaka.  

Izvan biometrije

Za brazilski bankarski sektor, eskalacija ovih visokotehnoloških prijevara pali signal upozorenja. Banke su u posljednjem desetljeću uložile velika sredstva u migraciju klijenata kako bi osigurale digitalne kanale, usvajajući facijalnu i digitalnu biometriju kao prepreke prijevarama.  

Međutim, nedavni val prijevara sugerira da oslanjanje isključivo na biometriju možda nije dovoljno. Prevaranti iskorištavaju ljudske nedostatke i tehnološke rupe kako bi lažno predstavljali potrošače, a to zahtijeva da se o sigurnosti razmišlja na više razina i faktora autentifikacije, a ne više jednog “magical” faktora.

U ovom složenom scenariju stručnjaci se približavaju preporuci: usvojiti višefaktorsku autentifikaciju i višeslojne sigurnosne pristupe.To znači kombiniranje različitih tehnologija i metoda provjere, tako da ako jedan čimbenik ne uspije ili je ugrožen, drugi sprječavaju prijevare.Sama biometrija ostaje važan dio (uostalom, kada se dobro implementira s verifikacijom života (životom) i enkripcijom, uvelike ometa oportunističke napade.  

Međutim, mora djelovati zajedno s drugim kontrolama: lozinkama ili PIN-ovima za jednokratnu upotrebu koji se šalju na mobilni telefon, analizom ponašanja korisnika 'TZV. bihevioralna biometrija, koja identificira obrasce tipkanja, korištenje uređaja i može oglasiti alarm kada primijetite kupca “agando drugačiji od normalnog” i inteligentnog praćenja transakcija.  

Alati umjetne inteligencije također se koriste u korist banaka, identificirajući suptilne deepfake signale u videozapisima ili glasovima - na primjer, analizirajući audio frekvencije za otkrivanje sintetičkih glasova ili tražeći vizualne distorzije u selfijima.  

Na kraju, poruka koja ostaje za upravitelje banaka i stručnjake za informacijsku sigurnost je jasna: nema srebrnog metka. Biometrija je donijela višu razinu sigurnosti u usporedbi s tradicionalnim lozinkama TOLIKO da su prijevare migrirale uglavnom kako bi prevarile ljude, ne razbijajući više algoritme.  

Međutim, prevaranti iskorištavaju svaku povredu, bilo ljudsku ili tehnološku, kako bi osujetili biometrijske sustave. Pravilan odgovor uključuje vrhunsku tehnologiju u stalnom ažuriranju i proaktivnom praćenju.Samo oni koji mogu razviti svoju obranu istom brzinom kojom se pojavljuju nove prijevare moći će u potpunosti zaštititi svoje kupce u doba zlonamjerne umjetne inteligencije.

Sylvio Sobreira Vieira, izvršni direktor i glavni konzultant SVX Consultoria.