ბოლო წლებში ბრაზილიაში ბიომეტრიის დანერგვა მკვეთრად გაიზარდა - ბრაზილიელების 82% უკვე იყენებს ბიომეტრიული ტექნოლოგიის რაიმე ფორმას ავტორიზაციისთვის, რაც განპირობებულია მოხერხებულობითა და ციფრული სერვისების უსაფრთხოების გაზრდის ძიებით. იქნება ეს ბანკებში სახის ამოცნობის საშუალებით წვდომა თუ თითის ანაბეჭდების გამოყენება გადახდების ავტორიზაციისთვის, ბიომეტრია გახდა „ახალი CPF“ (ბრაზილიელი გადასახადის გადამხდელის ID) პირადი იდენტიფიკაციის თვალსაზრისით, რაც პროცესებს უფრო სწრაფს და ინტუიციურს ხდის.
თუმცა, თაღლითობის მზარდმა ტალღამ ამ გადაწყვეტის შეზღუდვები გამოავლინა: მხოლოდ 2025 წლის იანვარში ბრაზილიაში 1.24 მილიონი თაღლითობის მცდელობა დაფიქსირდა, რაც წინა წელთან შედარებით 41.6%-ით მეტია - რაც ყოველ 2.2 წამში ერთი თაღლითობის მცდელობას უტოლდება. ამ თავდასხმების დიდი ნაწილი კონკრეტულად ციფრული ავთენტიფიკაციის სისტემებს ისახავს მიზნად. Serasa Experian-ის მონაცემები აჩვენებს, რომ 2024 წელს ბანკებისა და საკრედიტო ბარათების წინააღმდეგ თაღლითობის მცდელობები 2023 წელთან შედარებით 10.4%-ით გაიზარდა, რაც იმ წელს დაფიქსირებული ყველა თაღლითობის 53.4%-ს შეადგენს.
ეს თაღლითობების აღკვეთის გარეშე, მათ შესაძლოა 51.6 მილიარდი რენდის ოდენობის ზარალი გამოეწვიათ. ეს ზრდა ასახავს ცვალებად ლანდშაფტს: თაღლითები თავიანთ ტაქტიკას უფრო სწრაფად ავითარებენ, ვიდრე ოდესმე. Serasa-ს კვლევის თანახმად, ბრაზილიელების ნახევარი (50.7%) 2024 წელს ციფრული თაღლითობის მსხვერპლი გახდა, რაც წინა წელთან შედარებით 9 პროცენტული პუნქტით მეტია და ამ მსხვერპლთა 54.2%-მა პირდაპირი ფინანსური ზარალი განიცადა.
კიდევ ერთი ანალიზი მიუთითებს ქვეყანაში ციფრული დანაშაულების 45%-ით ზრდაზე 2024 წელს, როდესაც მსხვერპლთა ნახევარი რეალურად მოტყუებულია თაღლითობებით. ამ ციფრების გათვალისწინებით, უსაფრთხოების სფეროს წარმომადგენლები ეჭვქვეშ აყენებენ: თუ ბიომეტრია მომხმარებლებსა და ინსტიტუტებს დაიცავს, რატომ არიან თაღლითები ყოველთვის ერთი ნაბიჯით წინ?
თაღლითობები სახისა და თითის ანაბეჭდის ამოცნობის გვერდის ავლით ხდება.
პასუხის ნაწილი იმ კრეატიულობაშია, რომლითაც ციფრული ბანდები ბიომეტრიულ მექანიზმებს გვერდს უვლიან. ბოლო თვეებში სიმბოლური შემთხვევები გამოვლინდა. სანტა კატარინაში, თაღლითურმა ჯგუფმა მინიმუმ 50 ადამიანი მოატყუა კლიენტებისგან სახის ბიომეტრიული მონაცემების ფარულად მიღებით - ტელეკომუნიკაციების თანამშრომელმა სატელეფონო ხაზების გაყიდვის სიმულირება მოახდინა კლიენტებისგან სელფებისა და დოკუმენტების გადასაღებად, მოგვიანებით კი ამ მონაცემებს იყენებდა საბანკო ანგარიშების გასახსნელად და მსხვერპლთა სახელზე სესხების ასაღებად.
მინას-ჟერაისში დამნაშავეები კიდევ უფრო შორს წავიდნენ: ისინი ფოსტის მუშაკებად იქცნენ, რათა მაცხოვრებლებისგან თითის ანაბეჭდები და ფოტოები შეეგროვებინათ, ბანკის უსაფრთხოების გვერდის ავლით. სხვა სიტყვებით რომ ვთქვათ, თაღლითები არა მხოლოდ თავად ტექნოლოგიას ესხმიან თავს, არამედ სოციალურ ინჟინერიასაც იყენებენ - ადამიანებს საკუთარი ბიომეტრიული მონაცემების გაცემისკენ უბიძგებენ ამის გაცნობიერების გარეშე. ექსპერტები აფრთხილებენ, რომ შეიძლება მოტყუვდნენ ისეთი სისტემებიც კი, რომლებიც საიმედოდ ითვლება.
პრობლემა ის არის, რომ ბიომეტრიის პოპულარიზაციამ უსაფრთხოების ცრუ განცდა შექმნა: მომხმარებლები ვარაუდობენ, რომ ბიომეტრიული მონაცემების გამო ავთენტიფიკაცია უტყუარია.
ნაკლებად მკაცრი უსაფრთხოების ზომების მქონე დაწესებულებებში თაღლითები წარმატებას აღწევენ შედარებით მარტივი მეთოდების გამოყენებით, როგორიცაა ფოტოები ან ფორმები ფიზიკური მახასიათებლების იმიტაციისთვის. მაგალითად, ცნობილი გახდა ე.წ. „სილიკონის თითის თაღლითობა“: დამნაშავეები ბანკომატებზე თითის ანაბეჭდის წამკითხველებს გამჭვირვალე ფირებს ამაგრებენ, რათა მომხმარებლის თითის ანაბეჭდი მოიპარონ და შემდეგ ამ თითის ანაბეჭდით ყალბ სილიკონის თითს ქმნიან, რითაც არაავტორიზებული გატანები და გადარიცხვები ხორციელდება. ბანკები აცხადებენ, რომ უკვე იყენებენ კონტრზომებს - სენსორებს, რომლებსაც შეუძლიათ ცოცხალი თითის სითბოს, პულსის და სხვა მახასიათებლების აღმოჩენა, რაც ხელოვნურ ფორმებს უსარგებლოს ხდის.
მიუხედავად ამისა, ამ თაღლითობის ცალკეული შემთხვევები აჩვენებს, რომ არცერთი ბიომეტრიული ბარიერი არ არის სრულად დაცული მისი გვერდის ავლის მცდელობისგან. კიდევ ერთი შემაშფოთებელი ფაქტორია სოციალური ინჟინერიის ხრიკების გამოყენება თავად მომხმარებლებისგან სელფების ან სახის სკანირების მისაღებად. ბრაზილიის ბანკების ფედერაციამ (Febraban) განგაში ატეხა თაღლითობის ახალი ტიპის შესახებ, რომლის დროსაც თაღლითები მსხვერპლისგან ცრუ საბაბით „დადასტურების სელფებს“ ითხოვენ. მაგალითად, ბანკის ან INSS-ის (ბრაზილიის სოციალური უზრუნველყოფის ინსტიტუტი) თანამშრომლების სტატუსით, ისინი ითხოვენ სახის ფოტოს „რეგისტრაციის განახლებისთვის“ ან არარსებული შეღავათის გასათავისუფლებლად - სინამდვილეში, ისინი ამ სელფს იყენებენ სახის დადასტურების სისტემებში მომხმარებლის გასაყალბებლად.
მარტივმა შეცდომამ — მაგალითად, ფოტოს გადაღებამ სავარაუდო კურიერის ან ჯანდაცვის მუშაკის მოთხოვნით — შეიძლება დამნაშავეებს სხვა ადამიანების ანგარიშებზე წვდომის ბიომეტრიული „გასაღები“ მისცეს.
დიფფეიკები და ხელოვნური ინტელექტი: თაღლითობის ახალი საზღვარი
მიუხედავად იმისა, რომ ადამიანების მოტყუება უკვე ფართოდ გავრცელებული სტრატეგიაა, უფრო დახვეწილი დამნაშავეებიც ახლა ატყუებენ მანქანებს. სწორედ აქ ჩნდება ღრმა ფეიქის - ხელოვნური ინტელექტის მიერ ხმისა და გამოსახულების მოწინავე მანიპულირების - და ციფრული გაყალბების სხვა ტექნიკის საფრთხეები, ტექნიკები, რომლებმაც 2023 წლიდან 2025 წლამდე დახვეწის ნახტომი განიცადეს.
მაგალითად, გასული წლის მაისში, ფედერალურმა პოლიციამ ოპერაცია „Face Off“ დაიწყო მას შემდეგ, რაც გამოავლინა სქემა, რომლის მიხედვითაც Gov.br პორტალზე დაახლოებით 3000 ანგარიში იქნა მოტყუებული სახის ყალბი ბიომეტრიის გამოყენებით. კრიმინალურმა ჯგუფმა გამოიყენა უაღრესად დახვეწილი ტექნიკა gov.br , რომელიც ცენტრალიზებულად ათავსებს წვდომას ათასობით ციფრულ საჯარო სერვისზე.
გამომძიებლებმა გამოავლინეს, რომ თაღლითებმა სახის ამოცნობის მექანიზმის მოსატყუებლად გამოიყენეს მანიპულირებული ვიდეოების, ხელოვნური ინტელექტით შეცვლილი სურათების და ჰიპერრეალისტური 3D ნიღბების კომბინაციაც კი. სხვა სიტყვებით რომ ვთქვათ, ისინი ახდენდნენ მესამე მხარის - მათ შორის გარდაცვლილი პირების - სახის ნაკვთების სიმულირებას, რათა მიეღოთ ვინაობა და მიეღოთ წვდომა ამ ანგარიშებთან დაკავშირებულ ფინანსურ შეღავათებზე. თვალის დახამხამების, ღიმილის ან თავის მობრუნების იდეალურად სინქრონიზებული ხელოვნური მოძრაობებით, მათ მოახერხეს „სიცოცხლის“ ამოცნობის ფუნქციის გვერდის ავლაც კი, რომელიც ზუსტად იმისთვის შეიქმნა, რომ დაედგინა, იყო თუ არა კამერის წინ რეალური ადამიანი.
შედეგად, მოხდა არაავტორიზებული წვდომა სახსრებზე, რომელთა გამოყენება მხოლოდ კანონიერ ბენეფიციარებს შეეძლოთ, ასევე Meu INSS აპლიკაციაში სახელფასო სესხების უკანონო დამტკიცება ამ ყალბი პირადობის გამოყენებით. ამ შემთხვევამ ნათლად აჩვენა, რომ დიახ, შესაძლებელია სახის ბიომეტრიის გვერდის ავლა - თუნდაც დიდ და თეორიულად დაცულ სისტემებში - როდესაც შესაბამისი ინსტრუმენტები ხელმისაწვდომია.
კერძო სექტორშიც სიტუაცია განსხვავებული არ არის. 2024 წლის ოქტომბერში ფედერალური ოლქის სამოქალაქო პოლიციამ ჩაატარა ოპერაცია „დეგენერაციული ხელოვნური ინტელექტი“, რომლითაც გაანადგურა ბანდა, რომელიც სპეციალიზირებული იყო ხელოვნური ინტელექტის აპლიკაციების გამოყენებით ციფრული საბანკო ანგარიშების გატეხვაში. დამნაშავეებმა 550-ზე მეტი მცდელობა განახორციელეს მომხმარებლების საბანკო ანგარიშების გატეხვის, გაჟონილი პერსონალური მონაცემებისა და ღრმა ყალბი ტექნიკის გამოყენებით ანგარიშის მფლობელების სურათების რეპროდუცირებისთვის და ამით მსხვერპლთა სახელზე ახალი ანგარიშების გახსნის პროცედურების დასადასტურებლად და მობილური მოწყობილობების გასააქტიურებლად, თითქოს ისინი მათ ეკუთვნოდათ.
დადგენილია, რომ ჯგუფმა ფიზიკური და იურიდიული პირების კუთვნილი ანგარიშების მეშვეობით დაახლოებით 110 მილიონი რენდის ღირებულების თანხის გადატანა მოახერხა, სხვადასხვა წყაროდან ფულის გათეთრებით, სანამ თაღლითობის უმეტესი ნაწილი შიდა საბანკო აუდიტით არ შეჩერდებოდა.
ბიომეტრიის მიღმა
ბრაზილიის საბანკო სექტორისთვის ამ მაღალტექნოლოგიური თაღლითობების ესკალაცია საშიშროებას იწვევს. ბოლო ათწლეულის განმავლობაში ბანკებმა დიდი ინვესტიციები განახორციელეს მომხმარებლების უსაფრთხო ციფრულ არხებზე გადასაყვანად, სახისა და თითის ანაბეჭდის ბიომეტრიული მონაცემები თაღლითობის წინააღმდეგ ბარიერებად გამოიყენეს.
თუმცა, თაღლითობების ბოლოდროინდელი ტალღა იმაზე მიუთითებს, რომ მხოლოდ ბიომეტრიაზე დაყრდნობა შესაძლოა საკმარისი არ იყოს. თაღლითები იყენებენ ადამიანურ შეცდომებსა და ტექნოლოგიურ ხარვეზებს მომხმარებლების გასაყალბებლად და ეს მოითხოვს უსაფრთხოების მრავალი დონისა და ავთენტიფიკაციის ფაქტორების გამოყენებით შემუშავებას და არა ერთ „ჯადოსნურ“ ფაქტორზე დაყრდნობას.
ამ რთული სცენარის გათვალისწინებით, ექსპერტები ერთ რეკომენდაციაზე თანხმდებიან: მრავალფაქტორიანი ავთენტიფიკაციისა და მრავალშრიანი უსაფრთხოების მიდგომების გამოყენება. ეს გულისხმობს სხვადასხვა ტექნოლოგიებისა და ვერიფიკაციის მეთოდების გაერთიანებას ისე, რომ თუ ერთი ფაქტორი ვერ მოხერხდება ან კომპრომეტირებულია, სხვები თაღლითობას თავიდან აიცილებენ. ბიომეტრია თავისთავად მნიშვნელოვან ელემენტად რჩება - ბოლოს და ბოლოს, როდესაც ის კარგად არის დანერგილი რეალურ დროში ვერიფიკაციასთან და დაშიფვრასთან ერთად, ის მნიშვნელოვნად აფერხებს ოპორტუნისტულ შეტევებს.
თუმცა, ის სხვა კონტროლის საშუალებებთან ერთად უნდა მუშაობდეს: მობილურ ტელეფონზე გაგზავნილ ერთჯერად პაროლებს ან PIN კოდებს, მომხმარებლის ქცევის ანალიზს - ე.წ. ქცევით ბიომეტრიას, რომელიც განსაზღვრავს აკრეფის ნიმუშებს, მოწყობილობის გამოყენებას და შეუძლია განგაშის ჩართვა, როდესაც შეამჩნევს, რომ მომხმარებელი „ჩვეულებრივისგან განსხვავებულად იქცევა“ - და ინტელექტუალურ ტრანზაქციების მონიტორინგს.
ხელოვნური ინტელექტის ინსტრუმენტები ასევე გამოიყენება ბანკების დასახმარებლად, ვიდეოებში ან ხმებში ღრმა ფეიქის დახვეწილი ნიშნების იდენტიფიცირებით - მაგალითად, აუდიო სიხშირეების ანალიზით სინთეზური ხმების აღმოსაჩენად ან სელფებში ვიზუალური დამახინჯებების მოსაძებნად.
საბოლოო ჯამში, ბანკის მენეჯერებისა და ინფორმაციული უსაფრთხოების სპეციალისტებისთვის გზავნილი ნათელია: გამოსავალი არ არსებობს. ბიომეტრიამ ტრადიციულ პაროლებთან შედარებით უსაფრთხოების უმაღლესი დონე მოიტანა - იმდენად, რომ თაღლითობები ძირითადად ადამიანების მოტყუებაზე გადავიდა, ვიდრე ალგორითმების გატეხვაზე.
თუმცა, თაღლითები ბიომეტრიული სისტემების ჩასაშლელად ყველა ხვრელს, იქნება ეს ადამიანური თუ ტექნოლოგიური, იყენებენ. შესაბამისი რეაგირება გულისხმობს მუდმივად განახლებად ინოვაციურ ტექნოლოგიებს და პროაქტიულ მონიტორინგს. მხოლოდ მათ, ვისაც შეუძლია თავდაცვის სისტემების განვითარება ახალი თაღლითობების გაჩენის სისწრაფით, შეეძლებათ თავიანთი კლიენტების სრულად დაცვა მავნე ხელოვნური ინტელექტის ეპოქაში.
სილვიო სობრეირა ვიეირა, აღმასრულებელი დირექტორი და SVX Consultoria-ს კონსულტაციის ხელმძღვანელი.
