A biometria nem elég: hogyan kérdőjelezik meg a fejlett csalások a bankokat

A biometrikus adatok elterjedése robbanásszerűen megnőtt Brazíliában az elmúlt években – a brazilok 82%-je már használ valamilyen biometrikus technológiát a hitelesítéshez, amit a kényelem és a digitális szolgáltatások nagyobb biztonsága vezérel. Akár az arcfelismeréssel, akár az ujjlenyomat használatával történő hozzáférést a bankokhoz való hozzáférésben, a biometrikus adatok a személyes azonosítás szempontjából az “új CPF” lett, gyorsabbá és intuitívabbá téve a folyamatokat.  

A csalás növekvő hulláma azonban feltárta ennek a megoldásnak a határait: csak 2025 januárjában 1,24 millió csalási kísérletet regisztráltak Brazíliában, ami 41,61 TP3T növekedést jelent az előző évhez képest – ez egy 2,2 másodpercenkénti puccskísérletnek felel meg. A legtöbb ilyen támadás pontosan a digitális hitelesítési rendszerek. A Serasa Experian adatai azt mutatják, hogy 2024-ben a banki és kártyacsalási kísérletek 10,41 tp3t-vel nőttek 2023-hoz képest, ami az év során rögzített összes csalás 53,41 tp3t-át jelenti.  

Ha nem kerülték volna el őket, ezek a csalások 51,6 milliárd R1, 4T R1 veszteséget okozhattak volna. Ez a növekedés a táj változását tükrözi: a csalók gyorsabban fejlesztik taktikáját, mint valaha. A Serasa felmérése szerint a brazilok fele (50,71 TP3T) 2024-ben digitális csalás áldozata lett, ami 9 százalékpontos ugrás az előző évhez képest, és ezen áldozatok 54,21 tp3t szenvedett közvetlen anyagi kárt.  

Egy másik elemzés a digitális bűncselekmények számának 451 tp3-ának növekedésére utal 2024-ben az országban, és az áldozatok felét gyakorlatilag megtévesztik a csalások. Ezekkel a számokkal szembesülve a biztonsági közösség kérdései: Ha a biometrikus adatok megígérik a felhasználók és intézmények védelmét, miért tűnnek mindig egy lépéssel a csalóknak?

csepegtető arc- és digitális felismerés

A válasz egy része abban a kreativitásban rejlik, amellyel a digitális bandák megkerülik a biometrikus mechanizmusokat. Az elmúlt hónapokban emblematikus esetek jelentek meg. Santa Catarinában egy csaló csoport legalább 50 embert megsebesített, titkos adatokat szerezve az ügyfelek arcbiometriai adataiból – a távközlési alkalmazott telefonvonalak értékesítését szimulálta, hogy szelfiket és dokumentumokat rögzítsen az ügyfelektől, ezeket az adatokat később bankszámlák megnyitására és hitelek kölcsönzésére az áldozatok nevében.  

Minas Gerais-ban a bűnözők tovább mentek: úgy tettek, mintha futárok lennének, hogy ujjlenyomatokat és fotókat gyűjtsenek a lakosokról, kifejezett célja, hogy megkerüljék a bankok biztonságát. Vagyis a csalók nemcsak magát a technológiát támadják, hanem a társadalmi tervezést is kihasználják – arra késztetik az embereket, hogy anélkül, hogy észrevennék, saját biometrikus adataikat szállítsák. A szakértők arra figyelmeztetnek, hogy még a robusztusnak tekintett rendszerek is megtéveszthetők.  

A probléma az, hogy a biometrikus adatok népszerűsítése hamis biztonságérzetet keltett: a felhasználók azt feltételezik, hogy mivel biometrikus, a hitelesítés tévedhetetlen.  

A kevésbé szigorú akadályokkal rendelkező intézményekben a csalók viszonylag egyszerű eszközökkel, például fényképekkel vagy formákkal sikeresek a fizikai jellemzők utánzására. Az úgynevezett “szilikon ujjcsaj” például ismertté vált: a bűnözők átlátszó fóliát ragasztanak az ATM ujjlenyomat-olvasóihoz, hogy ellopják a vásárló benyomását, majd ezzel az ujjlenyomattal hamis szilikon ujjat készítsenek, indokolatlan visszavonásokat és átviteleket hajtva végre. A bankok azt állítják, hogy már alkalmaznak ellenintézkedéseket – olyan érzékelőket, amelyek képesek érzékelni a hőt, a pulzust és az élő ujj egyéb jellemzőit, használhatatlan műformákat készítve.  

Ennek a puccsnak az elszigetelt esetei ennek ellenére azt mutatják, hogy egyetlen biometrikus gát sem teljesen biztonságos a megkerülési kísérlettől. Egy másik aggasztó vektor a social engineering csípések használata szelfik vagy arcvizsgálatok készítésére maguktól az ügyfelektől. A Brazil Banks Federation (Febraban) vészharangot adott egy új típusú csalás miatt, amelyben a csalók hamis ürügyekkel “megerősítő szelfiket” kérnek az áldozatoktól. Például, ha úgy tesznek, mintha banki vagy INSS-alkalmazottak lennének, fényképet kérnek az arcról, hogy “frissítse a regisztrációt”, vagy kiadjon egy nem létező előnyt – valójában ezt a szelfit használják az ügyfeleknek az arc-ellenőrző rendszerekben való megszemélyesítésére.  

Egy egyszerű figyelmetlenség – például egy állítólagos kézbesítő vagy egészségügyi ügynök kérésére fényképezés – biometrikus “kulcsot” biztosíthat a bűnözőknek, hogy hozzáférjenek mások fiókjaihoz.  

DeepFakes és Ai: A ütések új határa

Ha az emberek megtévesztése már széles körben használt stratégia, a legfejlettebb bűnözők is megtévesztik a gépeket. Itt jönnek a Deepfake – a hang és a kép fejlett manipulálása a mesterséges intelligencia által – és más digitális hamisítási technikákkal, amelyek 2023-tól 2025-ig ugrásszerűen kifinomultabbá váltak.  

Tavaly májusban például a szövetségi rendőrség elindította a “face off” akciót, miután azonosított egy sémát, amely körülbelül 3000 fiókot csalt ki a Gov.br portálról hamis arcbiometrikus adatok segítségével. A bűnözői csoport rendkívül kifinomult technikákat alkalmazott, hogy legitim felhasználónak adja ki magát a platformon gov.br, amely több ezer digitális közszolgáltatáshoz való hozzáférést koncentrál.

A nyomozók felfedték, hogy a csalók manipulált videók, mesterséges intelligencia által módosított képek, sőt hiperrealisztikus 3D-maszkok kombinációját használták az arcfelismerő mechanizmus becsapására. Más szóval, harmadik felek – köztük az elhunytak – arcvonásait szimulálták, hogy személyazonosságokat vegyenek fel, és hozzáférjenek az ezekhez a számlákhoz kapcsolódó pénzügyi előnyökhöz. Mesterséges pislogó mozdulatokkal, mosolyogva vagy szinkronizálva a fejét tökéletesen szinkronizálva, még az élénkségérzékelés funkcióit is sikerült csöpögniük, amelyet pontosan annak észlelésére fejlesztettek ki, hogy van-e valódi személy a kamera előtt.  

Az eredmény az volt, hogy indokolatlanul hozzáférhetett azokhoz az összegekhez, amelyeket csak a valódi kedvezményezetteknek kellene beváltania, a MEU INSS alkalmazásban ezeket a hamis személyazonosságokat használó kölcsönök jogellenes jóváhagyása mellett. Ez az eset határozottan megmutatta, hogy igen, meg lehet kerülni az arcbiometrikus adatokat – még nagy és elméletileg biztonságos rendszerekben is –, ha a megfelelő eszközök állnak rendelkezésre.  

A magánszektorban sem más a helyzet. 2024 októberében a szövetségi körzet polgári rendőrsége végrehajtotta a “Degeneratív AI” műveletet, és felszámolt egy bandát, amely a digitális bankszámlák megszállására szakosodott mesterséges intelligencia alkalmazásokon keresztül. A bűnözők több mint 550 kísérletet tettek az ügyfelek bankszámláinak megszállására, kiszivárgott személyes adatok és mélyhamis technikák felhasználásával a számlatulajdonosok imázsának reprodukálására, és ezzel validálták az áldozatok nevében új számlák megnyitására vonatkozó eljárásokat, és lehetővé tették a mobileszközöket, mintha az övék lennének.  

Becslések szerint a csoportnak körülbelül 110 millió R10 millió R1-t sikerült mozgatnia magánszemélyek és jogi személyek számláira, különböző forrásokból származó pénzt mosva, mielőtt a legtöbb csalást elzárták volna a bankok belső ellenőrzése.  

A biometrikus adatok mellett

A brazil bankszektor számára ezeknek a csúcstechnológiás ütéseknek az eszkalációja figyelmeztető jelzést vált ki. A bankok az elmúlt évtizedben jelentős összegeket fektettek be, hogy ügyfeleit digitális csatornákba vándorolják, és a csalás elleni akadályként alkalmazzák az arc- és digitális biometrikus adatokat.  

A legutóbbi ütések hulláma azonban azt sugallja, hogy nem biztos, hogy elegendő kizárólag a biometrikus adatokra hagyatkozni. A csalók az emberi kudarcokat és a technológiai hiányosságokat használják ki a fogyasztók megszemélyesítésére, és ez megköveteli, hogy a biztonság több szinten és a hitelesítési tényezőkben is meggondolják, többé nem egyetlen “mágikus” tényező.

Ezzel az összetett forgatókönyvvel szembesülve a szakértők egy ajánlást alkalmaznak: többtényezős hitelesítés és többrétegű biztonsági megközelítések elfogadása. Ez azt jelenti, hogy a különböző technológiákat és ellenőrzési módszereket kombinálják, hogy ha egy tényező meghibásodik vagy veszélybe kerül, mások megakadályozzák a csalást. Maga a biometrikus rész továbbra is fontos része marad – elvégre, ha jól megvalósítják az életellenőrzéssel (élőképesség) és a kriptográfiával, nagyon megnehezíti az opportunista támadások helyzetét.  

Mindazonáltal együtt kell működnie más vezérlőkkel: jelszavakkal vagy mobiltelefonra küldött egyszer használatos PIN-kódokkal, felhasználói viselkedéselemzéssel – az úgynevezett viselkedési biometrikus adatokkal, amelyek azonosítják a gépelési mintákat, az eszköz használatát, és riasztást okozhatnak azáltal, hogy észreveszik, hogy az ügyfél “a megszokotttól eltérően viselkedik” – és az intelligens tranzakciófigyelés.  

Az AI-eszközöket a bankok javára is használják, amelyek finom mélyhamis jeleket azonosítanak a videókban vagy hangokban – például hangfrekvenciákat elemeznek a szintetikus hangok észlelésére, vagy vizuális torzulásokat keresnek a szelfikben.  

Végül is egyértelmű az üzenet, amely a bankvezetők és az információbiztonsági szakemberek számára marad: nincs ezüstgolyó. A biometrikus adatok a hagyományos jelszavakhoz képest magasabb szintű biztonságot hoztak – olyannyira, hogy az ütések nagyrészt az emberek megtévesztésére vándoroltak, nem pedig az algoritmusok megtörésére.  

A csalók azonban minden emberi vagy technológiai jogsértést megvizsgálnak, hogy meghiúsítsák a biometrikus rendszereket. A megfelelő válasz az élvonalbeli technológiát foglalja magában a folyamatos frissítésben és a proaktív monitorozásban. Csak azok tudják teljes mértékben megvédeni ügyfeleiket a rosszindulatú mesterséges intelligencia korszakában, akiknek sikerül ugyanolyan sebességgel fejleszteni a védelmüket, mint az új ütések.

Sylvio Sobreira Vieira, az SVX Consultoria vezérigazgatója és tanácsadási vezetője.