بیومتریک کافی نیست: چگونه کلاهبرداری پیشرفته بانک‌ها را به چالش می‌کشد

پذیرش بیومتریک در سال‌های اخیر در برزیل به شدت افزایش یافته است - ۸۲٪ از برزیلی‌ها در حال حاضر از نوعی فناوری بیومتریک برای احراز هویت استفاده می‌کنند که این امر به دلیل راحتی و جستجوی امنیت بیشتر در خدمات دیجیتال است. چه برای دسترسی به بانک‌ها از طریق تشخیص چهره و چه برای استفاده از اثر انگشت برای تأیید پرداخت‌ها، بیومتریک به "CPF جدید" (شناسه مالیات‌دهندگان برزیلی) از نظر شناسایی شخصی تبدیل شده و فرآیندها را سریع‌تر و شهودی‌تر می‌کند.  

با این حال، موج فزاینده‌ای از کلاهبرداری، محدودیت‌های این راهکار را آشکار کرده است: تنها در ژانویه ۲۰۲۵، ۱.۲۴ میلیون تلاش برای کلاهبرداری در برزیل ثبت شده است که نسبت به سال قبل ۴۱.۶ درصد افزایش داشته است - معادل یک تلاش برای کلاهبرداری در هر ۲.۲ ثانیه. بخش بزرگی از این حملات به طور خاص سیستم‌های احراز هویت دیجیتال را هدف قرار می‌دهند. داده‌های Serasa Experian نشان می‌دهد که در سال ۲۰۲۴، تلاش برای کلاهبرداری علیه بانک‌ها و کارت‌های اعتباری در مقایسه با سال ۲۰۲۳، ۱۰.۴ درصد افزایش یافته است که ۵۳.۴ درصد از کل کلاهبرداری‌های ثبت شده در آن سال را تشکیل می‌دهد.  

اگر از این کلاهبرداری‌ها جلوگیری نمی‌شد، می‌توانستند ضرری معادل ۵۱.۶ میلیارد رئال را به بار آورند. این افزایش نشان‌دهنده‌ی چشم‌اندازی در حال تغییر است: کلاهبرداران تاکتیک‌های خود را سریع‌تر از همیشه تکامل می‌دهند. طبق نظرسنجی Serasa، نیمی از برزیلی‌ها (۵۰.۷٪) در سال ۲۰۲۴ قربانی کلاهبرداری دیجیتال بوده‌اند که نسبت به سال قبل ۹ درصد افزایش داشته است و ۵۴.۲٪ از این قربانیان متحمل ضرر مالی مستقیم شده‌اند.  

تحلیل دیگری به افزایش ۴۵ درصدی جرایم دیجیتال در این کشور در سال ۲۰۲۴ اشاره دارد که نیمی از قربانیان در واقع فریب این کلاهبرداری‌ها را خورده‌اند. با توجه به این اعداد، جامعه امنیتی این سوال را مطرح می‌کند: اگر بیومتریک وعده محافظت از کاربران و موسسات را داده است، چرا به نظر می‌رسد کلاهبرداران همیشه یک قدم جلوتر هستند؟

کلاهبرداری‌ها، تشخیص چهره و اثر انگشت را دور می‌زنند.

بخشی از پاسخ در خلاقیتی نهفته است که باندهای دیجیتال با آن مکانیسم‌های بیومتریک را دور می‌زنند. در ماه‌های اخیر، موارد نمادینی پدیدار شده‌اند. در سانتا کاتارینا، یک گروه کلاهبردار با به دست آوردن مخفیانه داده‌های بیومتریک چهره از مشتریان، حداقل ۵۰ نفر را کلاهبرداری کرد - یک کارمند مخابرات فروش خطوط تلفن را شبیه‌سازی کرد تا از مشتریان سلفی و اسناد بگیرد و بعداً از این داده‌ها برای باز کردن حساب‌های بانکی و گرفتن وام به نام قربانیان استفاده کند.  

در میناس گرایس، مجرمان پا را فراتر گذاشتند: آنها وانمود کردند که کارگران تحویل پستی هستند تا اثر انگشت و عکس از ساکنان جمع‌آوری کنند، با هدف صریح دور زدن امنیت بانک. به عبارت دیگر، کلاهبرداران نه تنها به خود فناوری حمله می‌کنند، بلکه از مهندسی اجتماعی نیز بهره می‌برند - مردم را ترغیب می‌کنند که بدون اینکه متوجه شوند، داده‌های بیومتریک خود را تحویل دهند. کارشناسان هشدار می‌دهند که حتی سیستم‌هایی که قوی به نظر می‌رسند نیز می‌توانند فریب بخورند.  

مشکل این است که محبوبیت بیومتریک حس کاذبی از امنیت ایجاد کرده است: کاربران فرض می‌کنند که چون بیومتریک است، احراز هویت مصون از خطا است.  

در موسساتی که اقدامات امنیتی کمتری دارند، کلاهبرداران با استفاده از روش‌های نسبتاً ساده‌ای مانند عکس یا قالب برای تقلید از ویژگی‌های فیزیکی موفق می‌شوند. به عنوان مثال، کلاهبرداری به اصطلاح "انگشت سیلیکونی" مشهور شده است: مجرمان فیلم‌های شفافی را به دستگاه‌های اثر انگشت خوان روی دستگاه‌های خودپرداز می‌چسبانند تا اثر انگشت مشتری را بدزدند و سپس با آن اثر انگشت، یک انگشت سیلیکونی جعلی ایجاد می‌کنند و برداشت‌ها و انتقال‌های غیرمجاز انجام می‌دهند. بانک‌ها ادعا می‌کنند که در حال حاضر از اقدامات متقابل استفاده می‌کنند - حسگرهایی که قادر به تشخیص گرما، نبض و سایر ویژگی‌های یک انگشت زنده هستند و قالب‌های مصنوعی را بی‌فایده می‌کنند.  

با این حال، موارد نادری از این کلاهبرداری نشان می‌دهد که هیچ مانع بیومتریکی کاملاً از تلاش برای دور زدن آن در امان نیست. یکی دیگر از عوامل نگران‌کننده، استفاده از ترفندهای مهندسی اجتماعی برای گرفتن سلفی یا اسکن صورت از خود مشتریان است. فدراسیون بانک‌های برزیل (فورابان) زنگ خطر نوع جدیدی از کلاهبرداری را به صدا درآورده است که در آن کلاهبرداران با ادعاهای واهی از قربانیان درخواست «سلفی‌های تأیید» می‌کنند. به عنوان مثال، آنها وانمود می‌کنند که کارمند بانک یا INSS (موسسه تأمین اجتماعی برزیل) هستند و از آنها عکسی از چهره می‌خواهند «تا ثبت‌نام را به‌روز کنند» یا مزایایی را که وجود خارجی ندارند، ارائه دهند - در واقع، آنها از این سلفی برای جعل هویت مشتری در سیستم‌های تأیید چهره استفاده می‌کنند.  

یک سهل‌انگاری ساده - مانند گرفتن عکس به درخواست یک پیک یا کارمند بهداشت - می‌تواند «کلید» بیومتریک را برای دسترسی به حساب‌های کاربری دیگران در اختیار مجرمان قرار دهد.  

دیپ‌فیک و هوش مصنوعی: مرز جدید کلاهبرداری‌ها

در حالی که فریب دادن مردم در حال حاضر یک استراتژی گسترده است، مجرمان پیچیده‌تر اکنون ماشین‌ها را نیز فریب می‌دهند. اینجاست که تهدیدهای دیپ‌فیک - دستکاری پیشرفته صدا و تصویر توسط هوش مصنوعی - و سایر تکنیک‌های جعل دیجیتال مطرح می‌شوند، تکنیک‌هایی که از سال ۲۰۲۳ تا ۲۰۲۵ شاهد جهشی در پیچیدگی بوده‌اند.  

برای مثال، در ماه مه گذشته، پلیس فدرال پس از شناسایی طرحی که تقریباً ۳۰۰۰ حساب کاربری را در پورتال Gov.br با استفاده از بیومتریک‌های جعلی چهره کلاهبرداری کرده بود، عملیات "Face Off" را آغاز کرد. این گروه جنایتکار از تکنیک‌های بسیار پیچیده‌ای برای جعل هویت کاربران قانونی در پلتفرم gov.br استفاده کردند که دسترسی به هزاران سرویس عمومی دیجیتال را متمرکز می‌کند.

محققان فاش کردند که کلاهبرداران از ترکیبی از ویدیوهای دستکاری‌شده، تصاویر تغییر یافته با هوش مصنوعی و حتی ماسک‌های سه‌بعدی فوق‌العاده واقع‌گرایانه برای فریب مکانیسم تشخیص چهره استفاده کرده‌اند. به عبارت دیگر، آنها ویژگی‌های چهره اشخاص ثالث - از جمله افراد فوت‌شده - را شبیه‌سازی کردند تا هویت‌ها را جعل کنند و به مزایای مالی مرتبط با آن حساب‌ها دسترسی پیدا کنند. آنها با حرکات مصنوعی کاملاً هماهنگ پلک زدن، لبخند زدن یا چرخاندن سر، حتی موفق شدند قابلیت تشخیص زنده بودن را که دقیقاً برای تشخیص وجود یک شخص واقعی در مقابل دوربین توسعه داده شده بود، دور بزنند.  

نتیجه، دسترسی غیرمجاز به وجوهی بود که فقط باید توسط ذینفعان قانونی بازخرید شوند، و همچنین تأیید غیرقانونی وام‌های حقوق و دستمزد در برنامه Meu INSS با استفاده از این هویت‌های جعلی. این پرونده به شدت نشان داد که بله، وقتی ابزارهای مناسب در دسترس باشند، می‌توان بیومتریک‌های چهره را دور زد - حتی در سیستم‌های بزرگ و از نظر تئوری امن.  

در بخش خصوصی نیز وضعیت تفاوتی ندارد. در اکتبر ۲۰۲۴، پلیس مدنی ناحیه فدرال عملیات «هوش مصنوعی مخرب» را انجام داد و یک باند متخصص در هک حساب‌های بانکی دیجیتال با استفاده از برنامه‌های هوش مصنوعی را منهدم کرد. این مجرمان بیش از ۵۵۰ بار تلاش کردند تا حساب‌های بانکی مشتریان را هک کنند و با استفاده از داده‌های شخصی فاش شده و تکنیک‌های جعل عمیق، تصاویر دارندگان حساب را بازتولید کرده و در نتیجه رویه‌های افتتاح حساب‌های جدید به نام قربانیان و فعال کردن دستگاه‌های تلفن همراه را طوری اعتبارسنجی کنند که گویی متعلق به آنها هستند.  

تخمین زده می‌شود که این گروه موفق شده است حدود ۱۱۰ میلیون رئال را از طریق حساب‌های متعلق به اشخاص حقیقی و حقوقی جابجا کند و از منابع مختلف پولشویی کند، پیش از آنکه بخش عمده‌ای از این کلاهبرداری توسط حسابرسی‌های داخلی بانک متوقف شود.  

فراتر از بیومتریک

برای بخش بانکی برزیل، تشدید این کلاهبرداری‌های پیشرفته، زنگ خطری را به صدا درآورده است. بانک‌ها در دهه گذشته سرمایه‌گذاری‌های هنگفتی برای انتقال مشتریان به کانال‌های دیجیتال امن انجام داده‌اند و بیومتریک‌های چهره و اثر انگشت را به عنوان موانعی در برابر کلاهبرداری به کار گرفته‌اند.  

با این حال، موج اخیر کلاهبرداری‌ها نشان می‌دهد که تکیه صرف بر بیومتریک ممکن است کافی نباشد. کلاهبرداران از خطای انسانی و حفره‌های فناوری برای جعل هویت مصرف‌کنندگان سوءاستفاده می‌کنند و این امر مستلزم آن است که امنیت با سطوح و عوامل احراز هویت چندگانه طراحی شود و دیگر به یک عامل "جادویی" واحد متکی نباشد.

با توجه به این سناریوی پیچیده، کارشناسان بر یک توصیه توافق دارند: اتخاذ رویکردهای احراز هویت چند عاملی و امنیتی چند لایه. این به معنای ترکیب فناوری‌ها و روش‌های تأیید مختلف است تا اگر یک عامل از کار افتاد یا به خطر افتاد، عوامل دیگر از کلاهبرداری جلوگیری کنند. خود بیومتریک همچنان یک عنصر مهم است - از این گذشته، وقتی به خوبی با تأیید صحت و رمزگذاری اجرا شود، تا حد زیادی مانع حملات فرصت‌طلبانه می‌شود.  

با این حال، باید در کنار سایر کنترل‌ها کار کند: رمزهای عبور یا پین‌های یک‌بار مصرف ارسال‌شده به تلفن همراه، تجزیه و تحلیل رفتار کاربر - که به اصطلاح بیومتریک رفتاری نامیده می‌شود و الگوهای تایپ و استفاده از دستگاه را شناسایی می‌کند و می‌تواند در صورت مشاهده "رفتار متفاوت از حالت عادی" مشتری، زنگ خطر را به صدا درآورد - و نظارت هوشمند بر تراکنش‌ها.  

ابزارهای هوش مصنوعی همچنین برای کمک به بانک‌ها، شناسایی نشانه‌های ظریف دیپ‌فیک در ویدیوها یا صداها - به عنوان مثال، تجزیه و تحلیل فرکانس‌های صوتی برای تشخیص صداهای مصنوعی یا جستجوی اعوجاج‌های بصری در سلفی‌ها - مورد استفاده قرار می‌گیرند.  

در نهایت، پیام برای مدیران بانک و متخصصان امنیت اطلاعات واضح است: هیچ راه حل قطعی وجود ندارد. بیومتریک در مقایسه با رمزهای عبور سنتی، سطح امنیتی بالاتری را به ارمغان آورده است - تا جایی که کلاهبرداری‌ها تا حد زیادی به فریب مردم تغییر کرده‌اند، نه شکستن الگوریتم‌ها.  

با این حال، کلاهبرداران از هر روزنه ای، چه انسانی و چه فناوری، برای خنثی کردن سیستم های بیومتریک سوءاستفاده می کنند. واکنش مناسب شامل فناوری پیشرفته و نظارت پیشگیرانه است که دائماً به روز می شود. تنها کسانی که می توانند دفاع خود را با همان سرعت ظهور کلاهبرداری های جدید تکامل دهند، قادر خواهند بود در عصر هوش مصنوعی مخرب، از مشتریان خود به طور کامل محافظت کنند.

توسط Sylvio Sobreira Vieira، مدیرعامل و رئیس مشاوره SVX Consultoria.