Biometrik tidak cukup: bagaimana penipuan mutakhir menantang perbankan

Adopsi biometrik meledak di Brasil dalam beberapa tahun terakhir – 82% orang Brasil telah menggunakan beberapa teknologi biometrik untuk otentikasi, didorong oleh kenyamanan dan pencarian lebih banyak keamanan dalam layanan digital. Baik dalam mengakses bank melalui pengenalan wajah atau dalam penggunaan sidik jari untuk mengotorisasi pembayaran, biometrik menjadi “CPF baru” dalam hal identifikasi pribadi, membuat proses lebih cepat dan lebih intuitif.  

Namun, gelombang penipuan yang berkembang telah mengungkap batas-batas solusi ini: pada Januari 2025 saja, 1,24 juta upaya penipuan tercatat di Brasil, meningkat 41,6% dibandingkan dengan tahun sebelumnya – setara dengan upaya kudeta setiap 2,2 detik. Sebagian besar serangan ini justru merupakan sistem otentikasi digital. Data Serasa Experian menunjukkan bahwa pada tahun 2024 upaya penipuan bank dan kartu tumbuh sebesar 10,4% dibandingkan dengan 2023, mewakili 53,4% dari semua penipuan yang tercatat pada tahun tersebut.  

Jika tidak dihindari, penipuan ini dapat menyebabkan perkiraan kerugian R$ 51,6 miliar. Peningkatan ini mencerminkan perubahan pemandangan: scammers mengembangkan taktik mereka lebih cepat dari sebelumnya. Menurut survei Serasa, setengah dari Brasil (50,7%) menjadi korban penipuan digital pada tahun 2024, lonjakan 9 poin persentase dibandingkan tahun sebelumnya, dan 54,2% korban ini mengalami kerusakan finansial langsung.  

Analisis lain menunjukkan peningkatan 45% dalam kejahatan digital pada tahun 2024 di negara ini, dengan setengah dari korban secara efektif ditipu oleh penipuan. Dihadapkan dengan angka-angka ini, pertanyaan komunitas keamanan: Jika biometrik berjanji untuk melindungi pengguna dan institusi, mengapa penipu tampaknya selalu selangkah lebih maju?

Mengejar pengenalan wajah dan digital dribble

Sebagian dari jawabannya terletak pada kreativitas yang dengannya geng digital menghindari mekanisme biometrik. Dalam beberapa bulan terakhir, kasus simbolik telah muncul. Di Santa Catarina, kelompok penipuan melukai sedikitnya 50 orang, memperoleh data secara sembunyi-sembunyi dari biometrik wajah pelanggan – seorang karyawan telekomunikasi mensimulasikan penjualan saluran telepon untuk menangkap selfie dan dokumen dari pelanggan, menggunakan data ini nanti untuk membuka rekening bank dan meminjam pinjaman atas nama para korban.  

Di Minas Gerais, para penjahat melangkah lebih jauh: mereka berpura-pura menjadi kurir untuk mengumpulkan sidik jari dan foto-foto penduduk, dengan tujuan yang jelas untuk menghindari keamanan bank. Artinya, scammers tidak hanya menyerang teknologi itu sendiri, tetapi juga mengeksploitasi rekayasa sosial – mendorong orang untuk mengirimkan data biometrik mereka sendiri tanpa menyadarinya. Para ahli memperingatkan bahwa bahkan sistem yang dianggap kuat dapat ditipu.  

Masalahnya adalah bahwa mempopulerkan biometrik menciptakan rasa keamanan yang salah: pengguna berasumsi bahwa, karena biometrik, otentikasi tidak dapat salah.  

Di lembaga dengan hambatan yang kurang ketat, scammer berhasil menggunakan cara yang relatif sederhana, seperti foto atau cetakan untuk meniru karakteristik fisik. Yang disebut “kudeta jari silikon”, misalnya, menjadi dikenal: penjahat merekatkan film transparan ke pembaca sidik jari ATM untuk mencuri kesan pelanggan dan kemudian membuat jari silikon palsu dengan sidik jari itu, melakukan penarikan dan transfer yang tidak semestinya. Bank mengklaim telah menggunakan tindakan pencegahan – sensor yang mampu mendeteksi panas, denyut nadi, dan karakteristik lain dari jari yang hidup, membuat cetakan buatan yang tidak berguna.  

Meski begitu, kasus terisolasi dari kudeta ini menunjukkan bahwa tidak ada penghalang biometrik yang benar-benar aman dari upaya untuk dielakkan. Vektor lain yang mengkhawatirkan adalah penggunaan sengatan rekayasa sosial untuk mendapatkan selfie atau ujian wajah dari klien itu sendiri. Federasi Bank Brasil (Febraban) membunyikan alarm untuk jenis penipuan baru di mana scammers meminta “selfie konfirmasi” kepada korban dengan alasan palsu. Misalnya, berpura-pura menjadi karyawan bank atau INS, mereka meminta foto wajah “untuk memperbarui pendaftaran” atau melepaskan manfaat yang tidak ada – sebenarnya, mereka menggunakan selfie ini untuk menyamar sebagai pelanggan dalam sistem verifikasi wajah.  

Kecerobohan sederhana – seperti mengambil foto atas permintaan seorang petugas pengiriman atau agen kesehatan – dapat memberikan “kunci” biometrik kepada penjahat untuk mengakses akun orang lain.  

DeepFakes dan AI: Perbatasan Baru Pukulan

Jika menipu orang sudah menjadi strategi yang banyak digunakan, penjahat paling maju juga menipu mesin. Di sinilah ancaman DeepFake – manipulasi suara dan citra lanjutan oleh kecerdasan buatan – dan teknik pemalsuan digital lainnya yang memiliki lompatan kecanggihan dari 2023 hingga 2025.  

Mei lalu, misalnya, polisi federal meluncurkan operasi “berhadapan” setelah mengidentifikasi skema yang menipu sekitar 3.000 akun dari portal GOV.BR menggunakan biometrik wajah palsu. Kelompok kriminal menerapkan teknik yang sangat canggih untuk menyamar sebagai pengguna yang sah di platform gov.br, yang memusatkan akses ke ribuan layanan publik digital.

Penyelidik mengungkapkan bahwa scammer menggunakan kombinasi video yang dimanipulasi, gambar yang diubah oleh AI, dan bahkan topeng 3D hiper-realistis untuk mengelabui mekanisme pengenalan wajah. Dengan kata lain, mereka mensimulasikan fitur wajah pihak ketiga – termasuk orang yang sudah meninggal – untuk mengambil identitas dan mengakses manfaat finansial yang terkait dengan akun tersebut. Dengan gerakan berkedip buatan, tersenyum atau memutar kepala disinkronkan dengan sempurna, mereka bahkan berhasil menggiring bola fungsi deteksi keaktifan, yang dikembangkan tepat untuk mendeteksi apakah ada orang sungguhan di depan kamera.  

Hasilnya adalah akses yang tidak semestinya ke jumlah yang harus ditebus hanya oleh penerima manfaat yang sebenarnya, di samping persetujuan yang melanggar hukum atas pinjaman yang diasingkan dalam aplikasi MEU Inss menggunakan identitas palsu ini. Kasus ini telah menunjukkan dengan cara yang kuat bahwa ya, adalah mungkin untuk menghindari biometrik wajah – bahkan dalam sistem yang besar dan secara teoritis aman – ketika alat yang tepat tersedia.  

Di sektor swasta, situasinya tidak berbeda. Pada Oktober 2024, polisi sipil distrik federal melakukan operasi “degeneratif AI”, membongkar geng yang berspesialisasi dalam menyerang rekening bank digital melalui aplikasi kecerdasan buatan. Para penjahat melakukan lebih dari 550 upaya untuk menyerang rekening bank pelanggan, menggunakan data pribadi yang bocor dan teknik deepfake untuk mereproduksi citra pemegang rekening dan dengan demikian memvalidasi prosedur untuk membuka rekening baru atas nama korban dan memungkinkan perangkat seluler seolah-olah itu milik mereka.  

Diperkirakan bahwa grup tersebut berhasil memindahkan sekitar R$ 110 juta rekening individu dan badan hukum, mencuci uang dari berbagai sumber, sebelum sebagian besar penipuan dilarang oleh audit internal bank.  

Selain biometrik

Untuk sektor perbankan Brasil, eskalasi pukulan teknologi tinggi ini memicu sinyal peringatan. Bank telah banyak berinvestasi selama dekade terakhir untuk memigrasikan pelanggan untuk mengamankan saluran digital, mengadopsi biometrik wajah dan digital sebagai hambatan terhadap penipuan.  

Namun, gelombang pukulan baru-baru ini menunjukkan bahwa hanya mengandalkan biometrik mungkin tidak cukup. Scammers mengeksploitasi kegagalan manusia dan kesenjangan teknologi untuk meniru konsumen, dan ini menuntut keamanan dipikirkan pada berbagai tingkat dan faktor otentikasi, bukan lagi satu faktor “ajaib”.

Dihadapkan dengan skenario yang kompleks ini, para ahli berkumpul pada rekomendasi: mengadopsi otentikasi multi-faktor dan pendekatan keamanan multi-lapisan. Ini berarti menggabungkan berbagai teknologi dan metode verifikasi sehingga jika satu faktor gagal atau dikompromikan, yang lain mencegah penipuan. Biometrik itu sendiri tetap menjadi bagian penting – lagipula, ketika diimplementasikan dengan baik dengan Life Check (Liveness) dan kriptografi, itu membuat sangat sulit untuk serangan oportunistik.  

Namun, ia harus bekerja sama dengan kontrol lain: kata sandi atau pin sekali pakai yang dikirim ke ponsel, analisis perilaku pengguna – yang disebut biometrik perilaku, yang mengidentifikasi pola pengetikan, penggunaan perangkat, dan mungkin membunyikan alarm dengan melihat pelanggan bertindak berbeda dari normal“ – dan pemantauan transaksi cerdas.  

Alat AI juga digunakan untuk mendukung bank, mengidentifikasi sinyal deepfake yang halus dalam video atau suara – misalnya, menganalisis frekuensi audio untuk mendeteksi suara sintetis atau mencari distorsi visual dalam selfie.  

Pada akhirnya, pesan yang tersisa untuk manajer bank dan profesional keamanan informasi jelas: tidak ada peluru perak. Biometrik membawa tingkat keamanan yang lebih tinggi dibandingkan dengan kata sandi tradisional – sedemikian rupa sehingga pukulannya sebagian besar bermigrasi untuk menipu orang, tidak lagi merusak algoritme.  

Namun, penipu menjajaki setiap pelanggaran, baik manusia atau teknologi, untuk menggagalkan sistem biometrik. Respon yang tepat melibatkan teknologi mutakhir dalam pembaruan konstan dan pemantauan proaktif. Hanya mereka yang berhasil mengembangkan pertahanan mereka dengan kecepatan yang sama dengan pukulan baru yang muncul yang dapat sepenuhnya melindungi pelanggan mereka di era kecerdasan buatan yang berbahaya.

Oleh Sylvio Sobreira Vieira, CEO & Kepala Konsultasi SVX Consulting.