생체 인식의 채택은 최근 몇 년 동안 브라질에서 폭발적으로 증가했습니다 브라질 인의 82%는 이미 디지털 서비스에서 더 많은 보안을위한 편의와 검색에 의해 인증에 일부 생체 인식 기술을 사용합니다. 얼굴 인식을 통한 은행 액세스 또는 지불을 승인하기위한 지문 사용에서 생체 인식은 개인 식별 측면에서 “novo CPF”가되어 프로세스가 더 빠르고 직관적으로 이루어졌습니다.
그러나, 사기의 성장 물결이이 솔루션의 한계를 노출: 1 월 2025 에서만, 1.24 만 사기 시도가 브라질에 등록, 증가 41.6% 전년 대비 10.4% 쿠데타 시도에 해당 2.2 초마다 이러한 공격의 큰 부분은 디지털 인증 시스템을 대상으로. Serasa Experian 데이터는 은행과 카드에 대한 2024 사기 시도가 2023 에 비해 10.4% 성장, 올해에 등록 된 모든 사기의 53.4%를 나타내는 것을 보여줍니다.
만약 그들이 피하지 않았다면,이러한 사기들은 R$ 516 억의 추정 손실을 야기할 수 있었다. 이러한 증가는 풍경의 변화를 반영한다: 사기꾼들은 그 어느 때보다 빠르게 전술을 발전시키고 있다. 세라사 조사에 따르면,브라질인의 절반 (50,7%) 은 2024 년 디지털 사기의 피해자였으며,이는 전년 대비 9 퍼센트 포인트의 도약이었고,이들 피해자 중 54,2% 는 직접적인 금전적 손실을 입었다.
또 다른 분석은 국가의 2024 디지털 범죄에서 45%의 증가를 가리키며 피해자의 절반이 사기에 효과적으로 속고 있습니다.이 숫자에 직면하여 보안 커뮤니티는 묻습니다: 생체 인식이 사용자와 기관을 보호하겠다고 약속했다면 왜 사기꾼은 항상 한 발 앞서 나가는 것처럼 보입니까?
사기는 얼굴 및 디지털 인식을 드리블합니다
그 해답의 일부는 디지털 갱단이 생체 인식 메커니즘을 우회하는 창의성에 있습니다.최근 몇 달 동안 상징적 인 사례가 나타났습니다. 산타 카타리나에서는 사기 집단이 고객 (셀카 및 고객 문서를 캡처하기 위해 전화선 판매를 시뮬레이션 한 다음이 데이터를 사용하여 은행 계좌를 개설하고 피해자를 대신하여 빌리는 것) 으로부터 얼굴 생체 인식 데이터를 은밀하게 획득하여 최소 50 명을 부상 시켰습니다.
미나스제라이스에서 범죄자들은 더 나아갔다: 은행 보안을 우회하려는 명시적인 목적으로 주민들의 지문과 사진을 수집하기 위해 택배를 가장하는 것. 즉,사기꾼들은 기술 자체를 공격 할뿐만 아니라 '사람들이 자신의 생체 인식 데이터를 깨닫지 못하고 넘겨 주도록 유도함으로써 사회 공학을 이용한다. 전문가들은 견고하다고 간주되는 시스템조차도 속일 수 있다고 경고한다.
문제는 생체 인식의 대중화가 잘못된 보안 감각을 만들어 냈다는 것입니다: 사용자는 생체 인식이기 때문에 인증이 오류가 없다고 가정합니다.
덜 엄격한 장벽을 가진 기관에서 사기꾼은 물리적 특성을 모방하기 위해 사진이나 금형과 같은 비교적 간단한 수단을 사용하여 성공합니다. 예를 들어 소위 “힐리콘 손가락 때림은 알려지게되었습니다: 범죄자는 투명 필름을 전자 상자 지문 판독기에 접착하여 고객의 인쇄물을 훔친 다음 그 손가락으로 가짜 실리콘 손가락을 만들어 약탈과 부적절한 전송을 수행합니다. 은행은 이미 대응책 (살아있는 손가락의 열,맥박 및 기타 특성을 감지 할 수있는 센서를 사용하여 인공 곰팡이를 쓸모 없게 만듭니다.
그럼에도 불구하고,이 사기의 고립 된 사례는 우회하려는 시도로부터 생체 인식 장벽이 완전히 안전하지 않다는 것을 보여줍니다. 또 다른 걱정스러운 벡터는 소셜 엔지니어링 장치를 사용하여 고객 자신으로부터 셀카 또는 얼굴 검사를받는 것입니다. 브라질 은행 연맹 (Febraban) 은 사기꾼이 “허위로 피해자에게 셀카 확인을 요청하는 새로운 유형의 사기에 대한 경보를 울렸다. 예를 들어,은행 또는 INSS 직원 인 척하면서 얼굴 사진을 ”업데이트“등록하거나 존재하지 않는 고객 혜택을 공개합니다 (실제로 얼굴 확인에서 얼굴 시스템을 통과하기 위해이 셀카를 사용하십시오.
배달원이나 의료 대리인의 요청에 따라 사진을 찍는 것과 같은 간단한 감독은 범죄자에게 생체 인식“ ”다른 사람의 계정에 액세스할 수 있는 키를 제공할 수 있습니다.
딥페이크와 AI: 사기의 새로운 개척지
사람을 속이는 것이 이미 널리 사용되는 전략이라면 가장 진보된 범죄자도 기계를 속이는 것입니다. 여기에 인공 지능 및 기타 디지털 위조 기술에 의한 딥페이크 2023~2025 고급 음성 및 이미지 조작의 위협이 들어갑니다.
지난 5 월,예를 들어,연방 경찰은 거짓 얼굴 생체 인식을 사용하여 포털 Gov.br 의 약 3 천 계정을 속인 계획을 확인한 후 “Face Off”작전을 시작했습니다. 범죄 집단은 플랫폼에서 합법적 인 사용자를 가장하기 위해 매우 정교한 기술을 적용했습니다 Please provide the text from gov.br that you would like translated. "gov.br" is just a domain, not a piece of text., 수천 개의 디지털 공공 서비스에 대한 액세스가 집중됩니다.
수사관들은 사기꾼들이 조작된 비디오, AI로 변경된 이미지, 심지어 초현실적인 3D 마스크를 조합하여 얼굴 인식 엔진을 속였다고 밝혔습니다. 즉, 사망한 사람을 포함한 제3자의 얼굴 특징을 시뮬레이션하여 '신원을 가정하고 해당 계정에 연결된 재정적 혜택에 접근했습니다. 인공 눈을 깜박이거나 웃거나 머리를 완벽하게 동기화한 상태에서 카메라 앞에 실제 사람이 있는지 감지하기 위해 정확하게 개발된 라이브니스 감지 기능을 우회하기도 했습니다.
그 결과 이러한 허위 신원을 사용하여 My INSS 앱에서 지불해야하는 대출금의 불법 승인 외에도 실제 수혜자 만 상환해야하는 금액에 대한 부적절한 접근이 발생했습니다. 이 사건은 강제로 얼굴 생체 인식을 우회 할 수 있음을 노출 시켰습니다 (심지어 크고 이론적으로 안전한 시스템에서 '올바른 도구가있을 때.
2024년 10월, 연방 지방 경찰은 인공 지능 앱을 통해 디지털 은행 계좌를 해킹하는 전문 갱단을 분리하는 “DeGenerative AI” 작전을 수행했습니다. 범죄자들은 유출된 개인 데이터를 사용하여 고객 은행 계좌를 해킹하려는 시도를 550회 이상 수행했습니다. 계좌 소유자의 이미지를 재현하고 피해자를 대신하여 새 계좌를 개설하고 모바일 장치를 마치 자신의 것처럼 활성화하는 절차를 검증하는 딥페이크 기술입니다.
그것은 추정 그룹 주위에 이동 관리 R$ 1 억 10 개인 및 법적 계정에서 만, 내부 은행 감사에 의해 금지되기 전에, 다양한 소스에서 돈을 세탁.
생체인식을 넘어
브라질 은행 부문의 경우 이러한 하이테크 사기의 확대는 경고 신호를 촉발합니다. 은행은 지난 10 년 동안 고객을 디지털 채널 보안으로 마이그레이션하기 위해 막대한 투자를했으며 사기에 대한 장벽으로 얼굴 및 디지털 생체 인식을 채택했습니다.
그러나 최근의 사기 물결은 생체 인식에만 의존하는 것만으로는 충분하지 않을 수 있음을 시사합니다. 사기꾼은 인간의 결함과 기술적 허점을 이용하여 소비자를 사칭하며,이를 위해서는 더 이상 단일 “마법” 요소가 아닌 여러 수준과 인증 요소에서 보안을 고려해야 합니다.
이 복잡한 시나리오에서 전문가들은 권고 사항에 수렴합니다: 다중 요소 인증 및 다중 계층 보안 접근 방식을 채택하십시오. 이는 서로 다른 기술과 검증 방법을 결합하여 한 요소가 실패하거나 손상되면 다른 요소가 사기를 방지한다는 것을 의미합니다. 생체 인식 자체는 여전히 중요한 부분으로 남아 있습니다 (결국 수명 확인 (생명) 및 암호화로 잘 구현되면 기회주의 공격을 크게 방해합니다.
그러나, 그것은 다른 제어와 함께 작동 해야 합니다: 휴대 전화에 전송 된 단일 사용을 위한 암호 또는 PIN, 사용자 행동의 분석 “ 소위 행동 생체 인식, 이는 입력 패턴을 식별, 장치 사용 하 고 당신이 통지 하는 경우 알람을 울릴 수 있습니다 고객 ”정상적인에서 다른 아긴도” & 거래의 지능형 모니터링.
AI 도구는 또한 은행을 위해 사용되고 있으며, 비디오나 음성에서 미묘한 딥페이크 신호를 식별합니다. 예를 들어 오디오 주파수를 분석하여 합성 음성을 감지하거나 셀카의 시각적 왜곡을 찾는 것입니다.
결국 은행 관리자와 정보 보안 전문가에게 남아있는 메시지는 분명합니다: 은색 총알이 없습니다. Biometrics 는 전통적인 암호에 비해 더 높은 수준의 보안을 가져 왔습니다. SO much 그래서 사기는 사람들을 속이기 위해 크게 마이그레이션되었으며 더 이상 알고리즘을 중단하지 않습니다.
그러나 사기꾼은 생체 인식 시스템을 방해하기 위해 인간이든 기술이든 모든 위반을 악용하고 있습니다. 적절한 대응에는 지속적인 업데이트 및 사전 예방적 모니터링의 최첨단 기술이 포함됩니다. 새로운 사기가 출현하는 것과 동일한 속도로 방어를 발전시킬 수있는 사람 만이 악의적 인 인공 지능 시대에 고객을 완전히 보호 할 수 있습니다.
SVX 컨설팅 CEO 겸 수석 컨설턴트, 실비오 소브레이라 비에이라.
