Penerapan biometrik telah melonjak di Brasil dalam beberapa tahun terakhir – 82% warga Brasil telah menggunakan beberapa bentuk teknologi biometrik untuk autentikasi, didorong oleh kemudahan dan kebutuhan akan keamanan yang lebih baik dalam layanan digital. Baik mengakses bank melalui pengenalan wajah maupun menggunakan sidik jari untuk mengotorisasi pembayaran, biometrik telah menjadi "CPF" (ID wajib pajak Brasil) baru dalam hal identifikasi pribadi, menjadikan prosesnya lebih cepat dan intuitif.
Namun, gelombang penipuan yang semakin meningkat telah mengungkap keterbatasan solusi ini: pada Januari 2025 saja, tercatat 1,24 juta percobaan penipuan di Brasil, meningkat 41,6% dibandingkan tahun sebelumnya – setara dengan satu percobaan penipuan setiap 2,2 detik. Sebagian besar serangan ini secara khusus menargetkan sistem autentikasi digital. Data dari Serasa Experian menunjukkan bahwa pada tahun 2024, percobaan penipuan terhadap bank dan kartu kredit meningkat sebesar 10,4% dibandingkan tahun 2023, mewakili 53,4% dari seluruh penipuan yang tercatat pada tahun tersebut.
Jika penipuan ini tidak dicegah, kerugian yang ditimbulkan diperkirakan mencapai R$51,6 miliar. Peningkatan ini mencerminkan perubahan lanskap: para penipu mengembangkan taktik mereka lebih cepat dari sebelumnya. Menurut survei Serasa, separuh warga Brasil (50,7%) menjadi korban penipuan digital pada tahun 2024, melonjak 9 poin persentase dibandingkan tahun sebelumnya, dan 54,2% dari korban ini mengalami kerugian finansial langsung.
Analisis lain menunjukkan peningkatan kejahatan digital sebesar 45% di Indonesia pada tahun 2024, dengan separuh korbannya justru tertipu oleh penipuan tersebut. Mengingat angka-angka ini, komunitas keamanan mempertanyakan: jika biometrik menjanjikan perlindungan bagi pengguna dan institusi, mengapa penipu selalu tampak selangkah lebih maju?
Penipuan menghindari pengenalan wajah dan sidik jari.
Sebagian jawabannya terletak pada kreativitas geng-geng digital dalam mengakali mekanisme biometrik. Dalam beberapa bulan terakhir, kasus-kasus simbolis telah muncul. Di Santa Catarina, sebuah kelompok penipuan menipu setidaknya 50 orang dengan diam-diam memperoleh data biometrik wajah dari klien – seorang karyawan telekomunikasi mensimulasikan penjualan saluran telepon untuk mengambil swafoto dan dokumen dari klien, kemudian menggunakan data ini untuk membuka rekening bank dan mengambil pinjaman atas nama korban.
Di Minas Gerais, para penjahat bahkan bertindak lebih jauh: mereka berpura-pura menjadi petugas pos untuk mengumpulkan sidik jari dan foto dari penduduk, dengan tujuan khusus untuk menerobos keamanan bank. Dengan kata lain, para penipu tidak hanya menyerang teknologi itu sendiri, tetapi juga mengeksploitasi rekayasa sosial – mendorong orang untuk menyerahkan data biometrik mereka sendiri tanpa menyadarinya. Para ahli memperingatkan bahwa bahkan sistem yang dianggap tangguh pun dapat ditipu.
Masalahnya adalah bahwa popularisasi biometrik telah menciptakan rasa aman yang salah: pengguna berasumsi bahwa, karena biometrik, autentikasinya tidak dapat salah.
Di lembaga-lembaga dengan langkah-langkah keamanan yang kurang ketat, penipu berhasil menggunakan metode yang relatif sederhana, seperti foto atau cetakan untuk meniru karakteristik fisik. Penipuan yang disebut "penipuan jari silikon", misalnya, telah menjadi terkenal: penjahat menempelkan film transparan pada pembaca sidik jari di ATM untuk mencuri sidik jari nasabah, lalu membuat jari silikon palsu dengan sidik jari tersebut, melakukan penarikan dan transfer tanpa izin. Bank-bank mengklaim telah menggunakan langkah-langkah penanggulangan – sensor yang mampu mendeteksi panas, denyut nadi, dan karakteristik lain dari jari hidup, sehingga cetakan buatan tidak dapat digunakan.
Namun, kasus-kasus penipuan yang terisolasi ini menunjukkan bahwa tidak ada penghalang biometrik yang sepenuhnya aman dari upaya pengabaiannya. Faktor lain yang mengkhawatirkan adalah penggunaan trik rekayasa sosial untuk mendapatkan swafoto atau pemindaian wajah dari nasabah itu sendiri. Federasi Bank Brasil (Febraban) telah membunyikan peringatan tentang jenis penipuan baru di mana penipu meminta "swafoto konfirmasi" dari korban dengan alasan palsu. Misalnya, dengan berpura-pura menjadi karyawan bank atau INSS (Lembaga Jaminan Sosial Brasil), mereka meminta foto wajah "untuk memperbarui pendaftaran" atau memberikan manfaat yang tidak ada – pada kenyataannya, mereka menggunakan swafoto ini untuk menyamar sebagai nasabah dalam sistem verifikasi wajah.
Kelalaian sederhana – seperti mengambil foto atas permintaan seorang pengantar barang atau petugas kesehatan – dapat memberi penjahat "kunci" biometrik untuk mengakses akun orang lain.
Deepfake dan AI: batas baru penipuan
Meskipun menipu orang sudah menjadi strategi yang umum digunakan, penjahat yang lebih canggih kini juga menipu mesin. Di sinilah ancaman deepfake – manipulasi suara dan gambar tingkat lanjut oleh kecerdasan buatan – dan teknik pemalsuan digital lainnya muncul, teknik yang mengalami peningkatan kecanggihan dari tahun 2023 ke tahun 2025.
Mei lalu, misalnya, Kepolisian Federal meluncurkan Operasi "Face Off" setelah mengidentifikasi skema penipuan yang melibatkan sekitar 3.000 akun di portal Gov.br menggunakan biometrik wajah palsu. Kelompok kriminal ini menggunakan teknik yang sangat canggih untuk menyamar sebagai pengguna sah di gov.br , yang memusatkan akses ke ribuan layanan publik digital.
Para penyelidik mengungkapkan bahwa para penipu menggunakan kombinasi video yang dimanipulasi, gambar yang dimodifikasi AI, dan bahkan topeng 3D hiperrealistis untuk mengelabui mekanisme pengenalan wajah. Dengan kata lain, mereka mensimulasikan fitur wajah pihak ketiga – termasuk orang yang telah meninggal – untuk mendapatkan identitas dan mengakses keuntungan finansial yang terkait dengan akun-akun tersebut. Dengan gerakan artifisial yang tersinkronisasi sempurna, seperti berkedip, tersenyum, atau menoleh, mereka bahkan berhasil menghindari fungsi deteksi keaktifan, yang dikembangkan secara khusus untuk mendeteksi keberadaan orang sungguhan di depan kamera.
Hasilnya adalah akses tidak sah ke dana yang seharusnya hanya dapat dicairkan oleh penerima yang sah, serta persetujuan ilegal atas pinjaman gaji di aplikasi Meu INSS dengan menggunakan identitas palsu ini. Kasus ini dengan tegas membuktikan bahwa memang mungkin untuk melewati biometrik wajah – bahkan dalam sistem yang besar dan secara teoritis aman – jika tersedia perangkat yang tepat.
Di sektor swasta, situasinya tak berbeda. Pada Oktober 2024, Kepolisian Sipil Distrik Federal melancarkan Operasi "DeGenerative AI", yang berhasil membongkar geng yang ahli meretas rekening bank digital menggunakan aplikasi kecerdasan buatan. Para pelaku melakukan lebih dari 550 upaya peretasan rekening bank nasabah, menggunakan data pribadi yang bocor dan teknik deepfake untuk mereproduksi gambar pemilik rekening dan dengan demikian memvalidasi prosedur pembukaan rekening baru atas nama korban dan mengaktifkan perangkat seluler seolah-olah milik mereka.
Diperkirakan kelompok tersebut berhasil memindahkan sekitar R$ 110 juta melalui rekening milik individu dan badan hukum, mencuci uang dari berbagai sumber, sebelum sebagian besar penipuan dihentikan oleh audit bank internal.
Melampaui biometrik
Bagi sektor perbankan Brasil, meningkatnya penipuan berteknologi tinggi ini merupakan tanda bahaya. Bank telah berinvestasi besar-besaran dalam dekade terakhir untuk memindahkan nasabah ke saluran digital yang aman, mengadopsi biometrik wajah dan sidik jari sebagai penghalang terhadap penipuan.
Namun, gelombang penipuan baru-baru ini menunjukkan bahwa mengandalkan biometrik saja mungkin tidak cukup. Penipu memanfaatkan kesalahan manusia dan celah teknologi untuk menyamar sebagai konsumen, dan hal ini menuntut keamanan yang dirancang dengan berbagai tingkatan dan faktor otentikasi, bukan lagi hanya mengandalkan satu faktor "ajaib".
Mengingat skenario yang kompleks ini, para ahli sepakat pada satu rekomendasi: mengadopsi autentikasi multi-faktor dan pendekatan keamanan berlapis. Ini berarti menggabungkan berbagai teknologi dan metode verifikasi sehingga jika satu faktor gagal atau terganggu, faktor lainnya dapat mencegah penipuan. Biometrik sendiri tetap menjadi elemen penting – lagipula, jika diimplementasikan dengan baik dengan verifikasi keaktifan dan enkripsi, biometrik sangat menghambat serangan oportunistik.
Namun, sistem ini harus bekerja bersama kontrol lain: kata sandi sekali pakai atau PIN yang dikirim ke ponsel, analisis perilaku pengguna – yang disebut biometrik perilaku, yang mengidentifikasi pola pengetikan, penggunaan perangkat, dan dapat membunyikan alarm ketika mendeteksi pelanggan "bertindak berbeda dari biasanya" – dan pemantauan transaksi cerdas.
Alat AI juga digunakan untuk membantu bank, mengidentifikasi tanda-tanda halus deepfake dalam video atau suara – misalnya, menganalisis frekuensi audio untuk mendeteksi suara sintetis atau mencari distorsi visual dalam swafoto.
Pada akhirnya, pesan bagi para manajer bank dan profesional keamanan informasi jelas: tidak ada solusi instan. Biometrik telah menghadirkan tingkat keamanan yang lebih unggul dibandingkan kata sandi tradisional – sedemikian rupa sehingga penipuan sebagian besar beralih ke penipuan orang, alih-alih merusak algoritma.
Namun, penipu memanfaatkan setiap celah, baik yang bersifat manusiawi maupun teknologi, untuk menggagalkan sistem biometrik. Respons yang tepat melibatkan teknologi mutakhir yang terus diperbarui dan pemantauan proaktif. Hanya mereka yang dapat mengembangkan pertahanan mereka secepat munculnya penipuan baru yang akan mampu sepenuhnya melindungi klien mereka di era kecerdasan buatan yang berbahaya.
Oleh Sylvio Sobreira Vieira, CEO & Kepala Konsultasi di SVX Consultoria.
