Notkun líffræðilegra auðkenninga hefur aukist gríðarlega í Brasilíu á undanförnum árum – 82% Brasilíumanna nota nú þegar einhvers konar líffræðilega tækni til auðkenningar, knúin áfram af þægindum og leit að meira öryggi í stafrænum þjónustum. Hvort sem aðgangur að bönkum er með andlitsgreiningu eða fingraförum til að heimila greiðslur, þá hefur líffræðileg auðkenning orðið „nýja CPF“ (brasilískt skattgreiðendaauðkenni) hvað varðar persónuauðkenningu, sem gerir ferla hraðari og innsæisríkari.
Hins vegar hefur vaxandi bylgja svika afhjúpað takmarkanir þessarar lausnar: í janúar 2025 einum voru skráðar 1,24 milljónir tilrauna til svika í Brasilíu, sem er 41,6% aukning miðað við fyrra ár – sem jafngildir einni tilraun til svika á 2,2 sekúndna fresti. Stór hluti þessara árása beinist sérstaklega að stafrænum auðkenningarkerfum. Gögn frá Serasa Experian sýna að árið 2024 fjölgaði tilraunum til svika gegn bönkum og kreditkortum um 10,4% miðað við 2023, sem samsvarar 53,4% af öllum skráðum svikamálum það ár.
Ef ekki hefði verið komið í veg fyrir þessi svik hefðu þau getað valdið áætlaðu tapi upp á 51,6 milljarða randa. Þessi aukning endurspeglar breytt landslag: svikarar eru að þróa aðferðir sínar hraðar en nokkru sinni fyrr. Samkvæmt könnun Serasa var helmingur Brasilíumanna (50,7%) fórnarlömb stafrænna svika árið 2024, sem er 9 prósentustiga aukning miðað við árið á undan, og 54,2% þessara fórnarlamba urðu fyrir beinu fjárhagslegu tjóni.
Önnur greining bendir til 45% aukningar á stafrænum glæpum í landinu árið 2024, þar sem helmingur fórnarlambanna var í raun blekktur af svikamyllunum. Miðað við þessar tölur spyrja öryggissamfélagið sig: ef líffræðileg auðkenning lofaði að vernda notendur og stofnanir, hvers vegna virðast svikarar alltaf vera skrefi á undan?
Svikamyllur komast hjá andlits- og fingrafaragreiningu.
Hluti svarsins liggur í þeirri sköpunargáfu sem stafrænir hópar nota til að komast hjá líffræðilegum aðferðum. Á undanförnum mánuðum hafa komið upp dæmigerð mál. Í Santa Catarina svindlaði svikahópur á að minnsta kosti 50 manns með því að afla leynilegra andlitsupplýsinga frá viðskiptavinum – starfsmaður fjarskipta hermdi eftir sölu á símalínum til að taka sjálfsmyndir og skjöl frá viðskiptavinum og notaði síðar þessi gögn til að opna bankareikninga og taka lán í nafni fórnarlambanna.
Í Minas Gerais fóru glæpamenn enn lengra: þeir þóttust vera póstburðarmenn til að safna fingraförum og myndum af íbúum, með það að markmiði að komast framhjá öryggi bankanna. Með öðrum orðum ráðast svindlararnir ekki aðeins á tæknina sjálfa heldur nýta sér einnig félagslega verkfræði – sem fær fólk til að afhenda sín eigin líffræðilegu gögn án þess að gera sér grein fyrir því. Sérfræðingar vara við því að jafnvel kerfi sem talin eru traust geti verið blekkt.
Vandamálið er að útbreiðsla líffræðilegra auðkenninga hefur skapað falska öryggiskennd: notendur gera ráð fyrir að þar sem um líffræðileg auðkenningu er að ræða sé auðkenningin óskeikul.
Í stofnunum með minni öryggisráðstöfunum tekst svindlurum að nota tiltölulega einfaldar aðferðir, svo sem ljósmyndir eða mót til að líkja eftir líkamlegum einkennum. Svokallað „sílikonfingursvindl“ er til dæmis orðið vel þekkt: glæpamenn festa gegnsæjar filmur á fingrafaralesara á hraðbönkum til að stela fingrafari viðskiptavinarins og búa síðan til falsa sílikonfingur með því fingrafari, sem gerir óheimilar úttektir og millifærslur. Bankar segjast þegar nota mótvægisaðgerðir – skynjara sem geta greint hita, púls og aðra eiginleika lifandi fingra, sem gerir gervimót gagnslaus.
Samt sem áður sýna einstök tilfelli af þessu svikamikla svikamikla kerfi að engin líffræðileg hindrun er alveg örugg fyrir tilraunum til að komast hjá henni. Annar áhyggjuefni er notkun félagslegrar verkfræðibrella til að fá sjálfsmyndir eða andlitsskannanir af viðskiptavinum sjálfum. Brasilíska bankasambandið (Febraban) hefur varað við nýrri tegund svika þar sem svindlarar biðja fórnarlömb um „staðfestingar-sjálfsmyndir“ undir fölskum forsendum. Til dæmis þykjast þeir vera starfsmenn banka eða INSS (Brasilísku almannatryggingastofnunarinnar) og biðja um mynd af andliti „til að uppfæra skráningu“ eða losa sig við ótilgreindan ávinning – í raun nota þeir þessa sjálfsmynd til að þykjast vera viðskiptavinur í andlitsstaðfestingarkerfum.
Einföld vanræksla – eins og að taka mynd að beiðni meints afhendingarmanns eða heilbrigðisstarfsmanns – getur veitt glæpamönnum líffræðilegan „lykil“ til að fá aðgang að reikningum annarra.
Djúpfölsun og gervigreind: nýja landamæri svikanna
Þó að það sé þegar útbreidd aðferð að blekkja fólk, þá eru flóknari glæpamenn nú einnig að blekkja vélar. Þetta er þar sem ógnirnar af djúpfölsun – háþróaðri meðferð á rödd og myndum með gervigreind – og öðrum stafrænum fölsunaraðferðum koma inn í myndina, aðferðir sem hafa tekið stökkbreytingum frá 2023 til 2025.
Til dæmis hóf alríkislögreglan í maí síðastliðnum aðgerðina „Face Off“ eftir að hafa komið auga á kerfi þar sem um 3.000 reikningar á Gov.br vefgáttinni voru sviknir með fölsuðum andlitsmyndum. Glæpahópurinn notaði mjög háþróaðar aðferðir til að þykjast vera löglegir notendur á gov.br , sem miðlægur aðgangur að þúsundum stafrænna opinberra þjónustu.
Rannsóknarmenn leiddu í ljós að svindlararnir notuðu blöndu af breyttum myndböndum, gervigreindarbreyttum myndum og jafnvel ofur-raunsæjum þrívíddargrímum til að blekkja andlitsgreiningarkerfið. Með öðrum orðum, þeir hermdu eftir andlitsdrætti þriðja aðila - þar á meðal látinna einstaklinga - til að taka á sig persónuupplýsingar og fá aðgang að fjárhagslegum ávinningi sem tengdist þessum reikningum. Með fullkomlega samstilltum gervihreyfingum eins og að blikka, brosa eða snúa höfðinu tókst þeim jafnvel að komast hjá virkni lífsgreiningar, sem var þróuð einmitt til að greina hvort raunveruleg manneskja væri fyrir framan myndavélina.
Afleiðingin var óheimill aðgangur að fjármunum sem aðeins réttmætir styrkþegar áttu að innleysa, sem og ólögleg samþykki launalána í Meu INSS appinu með þessum fölsku auðkennum. Þetta mál sýndi afdráttarlaust fram á að já, það er mögulegt að komast framhjá andlitsgreiningu - jafnvel í stórum og fræðilega öruggum kerfum - þegar réttu verkfærin eru tiltæk.
Í einkageiranum er staðan engin undantekning. Í október 2024 framkvæmdi lögreglan í alríkisumdæminu aðgerðina „DeGenerative AI“, þar sem glæpamennirnir voru leystir upp og sérhæfðu sig í að hakka inn á stafræna bankareikninga með gervigreindarforritum. Glæpamennirnir gerðu yfir 550 tilraunir til að hakka inn á bankareikninga viðskiptavina sinna, með því að nota lekaðar persónuupplýsingar og djúpfölsunartækni til að endurskapa myndir af reikningshafum og þannig staðfesta verklag við opnun nýrra reikninga í nafni fórnarlambanna og virkja farsíma eins og þeir væru þeirra eigin.
Talið er að hópnum hafi tekist að færa um 110 milljónir randa í gegnum reikninga einstaklinga og lögaðila og þvætta fé úr ýmsum áttum áður en innri bankaendurskoðanir komu í veg fyrir flest svikin.
Meira en líffræðileg gögn
Fyrir brasilíska bankageirann vekur upp aukning þessara hátæknisvindla rauðan fána. Bankar hafa fjárfest mikið á síðasta áratug í að flytja viðskiptavini yfir á öruggar stafrænar rásir og tekið upp andlits- og fingrafaragreiningar sem hindranir gegn svikum.
Hins vegar bendir nýleg bylgja svika til þess að það sé ekki nóg að treysta eingöngu á líffræðilegar auðkenningar. Svindlarar nýta sér mannleg mistök og tæknileg glufur til að þykjast vera neytendur og þetta krefst þess að öryggi sé hannað með mörgum stigum og auðkenningarþáttum, ekki lengur að treysta á einn „töfraþátt“.
Í ljósi þessarar flóknu aðstæðna eru sérfræðingar sammála um eina ráðleggingu: að taka upp fjölþátta auðkenningu og marglaga öryggisaðferðir. Þetta þýðir að sameina mismunandi tækni og sannprófunaraðferðir þannig að ef einn þáttur bregst eða er í hættu, þá koma aðrir í veg fyrir svik. Líffræðileg tölfræði sjálf er enn mikilvægur þáttur – þegar hún er vel útfærð með virknissannprófun og dulkóðun, þá hindrar hún mjög tækifærisárásir.
Hins vegar verður það að virka í tengslum við aðrar stýringar: einnota lykilorð eða PIN-númer sem send eru í farsímann, greiningu á hegðun notenda – svokölluðum hegðunarfræðilegum tölfræðigreiningum, sem bera kennsl á innsláttarmynstur, notkun tækja og geta gefið frá sér viðvörun þegar það tekur eftir því að viðskiptavinur „hegðar sér öðruvísi en venjulega“ – og snjallri færslueftirliti.
Gervigreindartól eru einnig notuð til að aðstoða banka við að bera kennsl á lúmsk merki um djúpfölsun í myndböndum eða röddum – til dæmis með því að greina hljóðtíðni til að greina tilbúnar raddir eða leita að sjónrænum röskunum í sjálfsmyndum.
Skilaboðin til bankastjóra og sérfræðinga í upplýsingaöryggi eru að lokum skýr: það er engin lausn til. Líffræðileg tölfræði hefur fært okkur betri öryggisstig samanborið við hefðbundin lykilorð – svo mikið að svik hafa að mestu leyti færst yfir í að blekkja fólk frekar en að brjóta reiknirit.
Hins vegar nýta svikarar sérhvert lagaleg gat, hvort sem það er mannlegt eða tæknilegt, til að hindra líffræðileg kerfi. Viðeigandi viðbrögð fela í sér stöðugt uppfærða nýjustu tækni og fyrirbyggjandi eftirlit. Aðeins þeir sem geta þróað varnir sínar á sama hraða og ný svik koma upp munu geta verndað viðskiptavini sína að fullu á tímum illgjarnrar gervigreindar.
Eftir Sylvio Sobreira Vieira, forstjóra og yfirmaður ráðgjafar hjá SVX Consultoria.
