Son illərdə Braziliyada biometrikanın qəbulu geniş vüsət alıb – braziliyalıların 82%-i artıq rəqəmsal xidmətlərdə rahatlıq və daha çox təhlükəsizlik axtarışı ilə idarə olunan autentifikasiya üçün biometrik texnologiyanın hansısa formasından istifadə edir. İstər üz tanıma vasitəsi ilə banklara daxil olmaq, istərsə də ödənişlərə icazə vermək üçün barmaq izlərindən istifadə etməkdən asılı olmayaraq, biometrika şəxsi identifikasiya baxımından “yeni CPF” (Braziliyalı vergi ödəyicisinin ID-si) olub, prosesləri daha sürətli və daha intuitiv edir.
Bununla belə, artan fırıldaqçılıq dalğası bu həllin məhdudiyyətlərini üzə çıxarıb: təkcə 2025-ci ilin yanvar ayında Braziliyada 1,24 milyon fırıldaqçılıq cəhdi qeydə alınıb ki, bu da əvvəlki illə müqayisədə 41,6% artım deməkdir – hər 2,2 saniyədə bir fırıldaq cəhdinə bərabərdir. Bu hücumların böyük bir hissəsi xüsusi olaraq rəqəmsal autentifikasiya sistemlərini hədəf alır. Serasa Experian-ın məlumatları göstərir ki, 2024-cü ildə banklara və kredit kartlarına qarşı fırıldaq cəhdləri 2023-cü illə müqayisədə 10,4% artıb ki, bu da həmin il qeydə alınan bütün fırıldaqların 53,4%-ni təşkil edir.
Əgər bu fırıldaqların qarşısı alınmasaydı, onlar 51,6 milyard R$ məbləğində təxmini zərərə səbəb ola bilərdi. Bu artım dəyişən mənzərəni əks etdirir: fırıldaqçılar öz taktikalarını əvvəlkindən daha sürətli təkmilləşdirirlər. Serasa tərəfindən aparılan sorğuya görə, braziliyalıların yarısı (50,7%) 2024-cü ildə rəqəmsal fırıldaqçılığın qurbanı olub, bu, əvvəlki ilə nisbətən 9 faiz bəndi artıb və bu qurbanların 54,2 faizi birbaşa maliyyə itkisinə məruz qalıb.
Başqa bir təhlil, 2024-cü ildə ölkədə rəqəmsal cinayətlərin 45% artdığını göstərir, qurbanların yarısı faktiki olaraq fırıldaqçılar tərəfindən aldadılır. Bu rəqəmləri nəzərə alaraq, təhlükəsizlik ictimaiyyəti sual doğurur: əgər biometrik məlumatlar istifadəçiləri və qurumları qoruyacağını vəd edibsə, niyə fırıldaqçılar həmişə bir addım öndə görünürlər?
Fırıldaqlar üz və barmaq izinin tanınmasından yayınır.
Cavabın bir hissəsi rəqəmsal dəstələrin biometrik mexanizmlərdən yan keçdiyi yaradıcılıqdadır. Son aylarda emblematik hallar ortaya çıxdı. Santa Katarinada fırıldaqçı qrup gizli şəkildə müştərilərin üz biometrik məlumatlarını əldə etməklə ən azı 50 nəfəri aldadıb – telekommunikasiya işçisi müştərilərin selfilərini və sənədlərini çəkmək üçün telefon xətlərinin satışını imitasiya edib, daha sonra bu məlumatlardan bank hesabları açmaq və qurbanların adına kredit götürmək üçün istifadə edib.
Minas Geraisdə cinayətkarlar daha da irəli getdilər: onlar bank təhlükəsizliyindən yan keçmək məqsədi ilə sakinlərdən barmaq izləri və fotoşəkillər toplamaq üçün özlərini poçt daşıyıcısı kimi göstərdilər. Başqa sözlə, fırıldaqçılar təkcə texnologiyanın özünə hücum etmir, həm də sosial mühəndislikdən istifadə edirlər - insanları fərqinə varmadan öz biometrik məlumatlarını təhvil verməyə sövq edirlər. Mütəxəssislər xəbərdarlıq edirlər ki, hətta möhkəm hesab edilən sistemlər də aldana bilər.
Problem ondadır ki, biometrikanın populyarlaşması saxta təhlükəsizlik hissi yaradıb: istifadəçilər hesab edirlər ki, biometrik olduğu üçün autentifikasiya qüsursuzdur.
Daha az sərt təhlükəsizlik tədbirləri olan müəssisələrdə fırıldaqçılar fiziki xüsusiyyətləri təqlid etmək üçün foto və ya qəliblər kimi nisbətən sadə üsullardan istifadə etməklə uğur qazanırlar. Məsələn, “silikon barmaq fırıldaqları” adlanan hal çox məşhurlaşıb: cinayətkarlar müştərinin barmaq izini oğurlamaq üçün bankomatlarda barmaq izi oxuyucularına şəffaf plyonkalar yapışdırır və sonra həmin barmaq izi ilə saxta silikon barmaq yaradır, icazəsiz pul çıxarma və köçürmələr edir. Banklar artıq əks tədbirləri - canlı barmağın istiliyini, nəbzini və digər xüsusiyyətlərini aşkarlaya bilən sensorlardan istifadə etdiklərini iddia edirlər, bu da süni qəlibləri yararsız hala gətirir.
Yenə də bu fırıldaqçılığın təcrid olunmuş halları göstərir ki, heç bir biometrik maneə ondan yan keçmə cəhdlərindən tamamilə təhlükəsiz deyil. Digər narahatedici amil isə müştərilərin özlərindən selfi və ya üz skanını əldə etmək üçün sosial mühəndislik fəndlərindən istifadə edilməsidir. Braziliya Banklar Federasiyası (Febraban) fırıldaqçıların saxta bəhanələrlə qurbanlardan “təsdiq selfiləri” tələb etdiyi yeni fırıldaq növü ilə bağlı həyəcan təbili çalıb. Məsələn, özlərini bank və ya INSS (Braziliya Sosial Təminat İnstitutu) işçiləri kimi göstərərək, “qeydiyyatı yeniləmək” və ya mövcud olmayan faydanı buraxmaq üçün üzün fotosunu istəyirlər – əslində, üz yoxlama sistemlərində müştərini təqlid etmək üçün bu selfidən istifadə edirlər.
Sadə bir nəzarət – məsələn, güman edilən çatdırılan şəxsin və ya tibb işçisinin tələbi ilə şəkil çəkmək – cinayətkarlara digər insanların hesablarına daxil olmaq üçün biometrik “açar” verə bilər.
Deepfakes və AI: fırıldaqların yeni sərhədi
İnsanları aldatmaq artıq geniş istifadə olunan bir strategiya olsa da, indi daha mürəkkəb cinayətkarlar da aldadan maşınlardır. Deepfake təhdidləri - süni intellekt tərəfindən səs və görüntünün qabaqcıl manipulyasiyası - və digər rəqəmsal saxtalaşdırma üsulları, 2023-cü ildən 2025-ci ilə qədər mürəkkəblikdə sıçrayış görmüş texnikaların gəldiyi yerdir.
Məsələn, ötən ilin may ayında Federal Polis saxta üz biometriklərindən istifadə edərək Gov.br portalında təxminən 3000 hesabı aldadan sxemi müəyyən etdikdən sonra “Üzü sındırmaq” əməliyyatına başlayıb. Cinayətkar qrup minlərlə rəqəmsal ictimai xidmətlərə girişi mərkəzləşdirən gov.br
Müstəntiqlər müəyyən ediblər ki, fırıldaqçılar sifətin tanınması mexanizmini aldatmaq üçün manipulyasiya edilmiş videoların, süni intellekt tərəfindən dəyişdirilmiş şəkillərin və hətta hiper-real 3D maskaların birləşməsindən istifadə ediblər. Başqa sözlə, onlar şəxsiyyətləri qəbul etmək və bu hesablarla əlaqəli maliyyə imtiyazlarını əldə etmək üçün üçüncü şəxslərin, o cümlədən vəfat etmiş şəxslərin üz cizgilərini simulyasiya ediblər. Göz qırpmaq, gülümsəmək və ya başlarını çevirmək kimi mükəmməl sinxronlaşdırılmış süni hərəkətlərlə onlar hətta kamera qarşısında real insanın olub-olmadığını aşkar etmək üçün hazırlanmış canlılığın aşkarlanması funksiyasından yan keçə biliblər.
Nəticə, yalnız qanuni benefisiarlar tərəfindən geri alınmalı olan vəsaitlərə icazəsiz giriş, eləcə də bu saxta şəxsiyyətlərdən istifadə edərək Meu INSS tətbiqində əmək haqqı kreditlərinin qeyri-qanuni təsdiqi oldu. Bu hadisə sübut etdi ki, bəli, düzgün alətlər mövcud olduqda, hətta böyük və nəzəri cəhətdən təhlükəsiz sistemlərdə belə, üz biometriklərindən yan keçmək mümkündür.
Özəl sektorda da vəziyyət fərqli deyil. 2024-cü ilin oktyabrında Federal Dairənin Mülki Polisi süni intellekt proqramlarından istifadə edərək rəqəmsal bank hesablarına sındırmaq üzrə ixtisaslaşan dəstəni sıradan çıxararaq "Degenerativ AI" əməliyyatı keçirdi. Cinayətkarlar müştərilərin bank hesablarını sındırmaq üçün 550-dən çox cəhd edib, sızdırılmış şəxsi məlumatlardan və dərin saxta üsullardan istifadə edərək, hesab sahiblərinin şəkillərini çoğaltmaq və beləliklə, qurbanların adlarında yeni hesabların açılması prosedurlarını təsdiqləmək və mobil cihazları onlara məxsus kimi aktivləşdirmək üçün cəhd ediblər.
Təxminlərə görə, qrup fırıldaqların əksəriyyəti bankın daxili yoxlamaları ilə dayandırılmadan əvvəl fiziki və hüquqi şəxslərə məxsus hesablar vasitəsilə müxtəlif mənbələrdən pulların yuyulması vasitəsilə 110 milyon R$-a yaxın pul köçürməyə nail olub.
Biometrikadan kənar
Braziliya bank sektoru üçün bu yüksək texnologiyalı fırıldaqların artması qırmızı bayraq qaldırır. Banklar fırıldaqçılığa qarşı maneə kimi üz və barmaq izi biometriklərini qəbul edərək, müştəriləri rəqəmsal kanalların təhlükəsizliyinə köçürmək üçün son on ildə böyük sərmayə qoyublar.
Bununla belə, son fırıldaqlar dalğası göstərir ki, yalnız biometrikaya güvənmək kifayət olmaya bilər. Fırıldaqçılar istehlakçıların şəxsiyyətinə bənzəmək üçün insan səhvindən və texnoloji boşluqlardan istifadə edirlər və bu, təhlükəsizliyin artıq tək "sehrli" faktora əsaslanmadan, çoxsaylı səviyyələr və autentifikasiya faktorları ilə dizayn edilməsini tələb edir.
Bu mürəkkəb ssenarini nəzərə alaraq, ekspertlər bir tövsiyə üzərində razılaşırlar: çoxfaktorlu autentifikasiya və çoxqatlı təhlükəsizlik yanaşmalarını qəbul edin. Bu, müxtəlif texnologiyaların və yoxlama metodlarının birləşdirilməsi deməkdir ki, bir faktor uğursuz olarsa və ya güzəştə gedirsə, digərləri saxtakarlığın qarşısını alsın. Biometrikanın özü vacib element olaraq qalır - axır ki, canlılığın yoxlanılması və şifrələmə ilə yaxşı həyata keçirildikdə, fürsətçi hücumlara çox mane olur.
Bununla belə, o, digər idarəetmə vasitələri ilə birlikdə işləməlidir: cib telefonuna göndərilən birdəfəlik parollar və ya PİN-lər, istifadəçi davranışının təhlili – yazı nümunələrini, cihaz istifadəsini müəyyən edən və müştərinin “normaldan fərqli hərəkət etdiyini” görəndə həyəcan siqnalı verə bilən istifadəçi davranışının təhlili – və ağıllı əməliyyat monitorinqi.
Süni intellekt alətləri banklara kömək etmək, videolarda və ya səslərdə dərin saxtakarlığın incə əlamətlərini müəyyən etmək üçün də istifadə olunur - məsələn, sintetik səsləri aşkar etmək üçün audio tezlikləri təhlil etmək və ya selfilərdə vizual təhrifləri axtarmaq.
Nəhayət, bank menecerləri və informasiya təhlükəsizliyi mütəxəssisləri üçün mesaj aydındır: heç bir gümüş güllə yoxdur. Biometrika ənənəvi parollarla müqayisədə daha yüksək təhlükəsizlik səviyyəsini gətirdi – o qədər ki, fırıldaqlar alqoritmləri pozmaq əvəzinə, əsasən insanları aldatmağa keçib.
Bununla belə, fırıldaqçılar biometrik sistemlərə mane olmaq üçün insan və ya texnoloji boşluqlardan istifadə edirlər. Müvafiq reaksiya daim yenilənən qabaqcıl texnologiya və proaktiv monitorinqi əhatə edir. Yalnız yeni fırıldaqların ortaya çıxması ilə eyni sürətlə müdafiəsini inkişaf etdirə bilənlər, zərərli süni intellekt dövründə müştərilərini tam şəkildə qoruya biləcəklər.
Sylvio Sobreira Vieira, SVX Consultoria-nın baş direktoru və konsaltinq rəhbəri.
