अलिकडच्या वर्षांत ब्राझीलमध्ये बायोमेट्रिक्सचा वापर मोठ्या प्रमाणात वाढला आहे - ८२% ब्राझिलियन लोक आधीच प्रमाणीकरणासाठी काही प्रकारचे बायोमेट्रिक तंत्रज्ञान वापरतात, जे सोयी आणि डिजिटल सेवांमध्ये अधिक सुरक्षिततेच्या शोधामुळे प्रेरित आहे. चेहऱ्याच्या ओळखीद्वारे बँकांमध्ये प्रवेश करणे असो किंवा पेमेंट अधिकृत करण्यासाठी फिंगरप्रिंट्स वापरणे असो, बायोमेट्रिक्स वैयक्तिक ओळखीच्या बाबतीत "नवीन CPF" (ब्राझिलियन करदाता आयडी) बनले आहे, ज्यामुळे प्रक्रिया जलद आणि अधिक अंतर्ज्ञानी बनतात.
तथापि, फसवणुकीच्या वाढत्या लाटेमुळे या उपायाच्या मर्यादा उघड झाल्या आहेत: जानेवारी २०२५ मध्येच ब्राझीलमध्ये १.२४ दशलक्ष फसवणुकीचे प्रयत्न नोंदवले गेले, जे मागील वर्षाच्या तुलनेत ४१.६% वाढ आहे - दर २.२ सेकंदांनी एका फसवणुकीच्या प्रयत्नाइतकेच. या हल्ल्यांचा मोठा भाग विशेषतः डिजिटल प्रमाणीकरण प्रणालींना लक्ष्य करतो. सेरासा एक्सपेरियनच्या डेटावरून असे दिसून येते की २०२४ मध्ये, बँका आणि क्रेडिट कार्ड्सविरुद्ध फसवणुकीच्या प्रयत्नांमध्ये २०२३ च्या तुलनेत १०.४% वाढ झाली, जी त्या वर्षी नोंदवलेल्या सर्व फसवणुकीच्या ५३.४% आहे.
जर या फसवणुकीला आळा घातला नसता, तर त्यामुळे अंदाजे ५१.६ अब्ज R$ चे नुकसान झाले असते. ही वाढ बदलत्या परिस्थितीचे प्रतिबिंब आहे: फसवणूक करणारे पूर्वीपेक्षा जास्त वेगाने त्यांचे डावपेच विकसित करत आहेत. सेरासाच्या सर्वेक्षणानुसार, २०२४ मध्ये अर्धे ब्राझिलियन (५०.७%) डिजिटल फसवणुकीचे बळी ठरले होते, जे मागील वर्षाच्या तुलनेत ९ टक्के वाढ आहे आणि यापैकी ५४.२% बळींना थेट आर्थिक नुकसान सहन करावे लागले.
आणखी एका विश्लेषणानुसार २०२४ मध्ये देशात डिजिटल गुन्ह्यांमध्ये ४५% वाढ झाली आहे, ज्यामध्ये निम्मे बळी प्रत्यक्षात घोटाळ्यांमुळे फसले आहेत. हे आकडे पाहता, सुरक्षा समुदाय प्रश्न विचारत आहे: जर बायोमेट्रिक्स वापरकर्त्यांना आणि संस्थांना संरक्षण देण्याचे आश्वासन देत असेल, तर फसवणूक करणारे नेहमीच एक पाऊल पुढे का दिसतात?
घोटाळे चेहरा आणि फिंगरप्रिंट ओळखण्यापासून रोखतात.
याचे उत्तर काही प्रमाणात डिजिटल टोळ्या बायोमेट्रिक यंत्रणेला कसे अडथळा आणतात या सर्जनशीलतेमध्ये आहे. अलिकडच्या काही महिन्यांत, प्रतीकात्मक प्रकरणे समोर आली आहेत. सांता कॅटरिनामध्ये, एका फसव्या गटाने क्लायंटकडून गुप्तपणे चेहऱ्याचा बायोमेट्रिक डेटा मिळवून किमान ५० लोकांची फसवणूक केली - एका टेलिकम्युनिकेशन कर्मचाऱ्याने क्लायंटकडून सेल्फी आणि कागदपत्रे काढण्यासाठी टेलिफोन लाईन्सची विक्री केली, नंतर या डेटाचा वापर बँक खाती उघडण्यासाठी आणि पीडितांच्या नावावर कर्ज घेण्यासाठी केला.
मिनास गेराईसमध्ये, गुन्हेगार आणखी पुढे गेले: बँक सुरक्षेला टाळून रहिवाशांकडून बोटांचे ठसे आणि फोटो गोळा करण्यासाठी ते पोस्टल डिलिव्हरी कर्मचारी असल्याचे भासवत होते. दुसऱ्या शब्दांत, घोटाळेबाज केवळ तंत्रज्ञानावरच हल्ला करत नाहीत तर सोशल इंजिनिअरिंगचा देखील गैरफायदा घेतात - लोकांना नकळत त्यांचा स्वतःचा बायोमेट्रिक डेटा देण्यास प्रवृत्त करतात. तज्ञांनी इशारा दिला आहे की मजबूत मानल्या जाणाऱ्या प्रणाली देखील फसवल्या जाऊ शकतात.
समस्या अशी आहे की बायोमेट्रिक्सच्या लोकप्रियतेमुळे सुरक्षिततेची खोटी भावना निर्माण झाली आहे: वापरकर्ते असे गृहीत धरतात की, ते बायोमेट्रिक असल्याने, प्रमाणीकरण अचूक आहे.
कमी कडक सुरक्षा उपाय असलेल्या संस्थांमध्ये, फसवणूक करणारे तुलनेने सोप्या पद्धती वापरून यशस्वी होतात, जसे की शारीरिक वैशिष्ट्यांची नक्कल करण्यासाठी फोटो किंवा साचे. उदाहरणार्थ, तथाकथित "सिलिकॉन फिंगर स्कॅम", आता सर्वज्ञात झाले आहे: गुन्हेगार ग्राहकांच्या फिंगरप्रिंट चोरण्यासाठी एटीएमवरील फिंगरप्रिंट रीडरवर पारदर्शक फिल्म जोडतात आणि नंतर त्या फिंगरप्रिंटने बनावट सिलिकॉन फिंगर तयार करतात, ज्यामुळे अनधिकृत पैसे काढले जातात आणि हस्तांतरण केले जाते. बँका आधीच प्रतिउपाय वापरण्याचा दावा करतात - जिवंत बोटाची उष्णता, नाडी आणि इतर वैशिष्ट्ये शोधण्यास सक्षम सेन्सर, ज्यामुळे कृत्रिम साचे निरुपयोगी होतात.
तरीही, या घोटाळ्याच्या काही वेगळ्या घटनांवरून असे दिसून येते की कोणताही बायोमेट्रिक अडथळा टाळण्याच्या प्रयत्नांपासून पूर्णपणे सुरक्षित नाही. आणखी एक चिंताजनक घटक म्हणजे ग्राहकांकडून सेल्फी किंवा चेहऱ्याचे स्कॅन घेण्यासाठी सोशल इंजिनिअरिंग ट्रिक्सचा वापर. ब्राझिलियन फेडरेशन ऑफ बँक्स (फेब्राबान) ने एका नवीन प्रकारच्या फसवणुकीबद्दल धोक्याची घंटा वाजवली आहे ज्यामध्ये स्कॅमर खोट्या बहाण्याने पीडितांकडून "पुष्टीकरण सेल्फी" मागतात. उदाहरणार्थ, बँक किंवा INSS (ब्राझिलियन सोशल सिक्युरिटी इन्स्टिट्यूट) कर्मचारी असल्याचे भासवून, ते "नोंदणी अद्यतनित करण्यासाठी" किंवा अस्तित्वात नसलेला फायदा जारी करण्यासाठी चेहऱ्याचा फोटो मागतात - प्रत्यक्षात, ते चेहऱ्याच्या पडताळणी प्रणालींमध्ये ग्राहकाची नक्कल करण्यासाठी या सेल्फीचा वापर करतात.
एक साधी चूक - जसे की डिलिव्हरी करणाऱ्या व्यक्ती किंवा आरोग्य कर्मचाऱ्याच्या विनंतीवरून फोटो काढणे - गुन्हेगारांना इतर लोकांच्या खात्यांमध्ये प्रवेश करण्यासाठी बायोमेट्रिक "की" प्रदान करू शकते.
डीपफेक आणि एआय: घोटाळ्यांचा नवा आवाका
लोकांना फसवणे ही आधीच मोठ्या प्रमाणात वापरली जाणारी रणनीती असली तरी, आता अधिक प्रगत गुन्हेगारही फसवण्याचे यंत्र आहेत. येथेच डीपफेक - कृत्रिम बुद्धिमत्तेद्वारे आवाज आणि प्रतिमेचे प्रगत हाताळणी - आणि इतर डिजिटल बनावट तंत्रांचे धोके येतात, ज्या तंत्रांनी २०२३ ते २०२५ पर्यंत अत्याधुनिकतेत झेप घेतली आहे.
उदाहरणार्थ, गेल्या मे महिन्यात, बनावट चेहऱ्याचे बायोमेट्रिक्स वापरून Gov.br पोर्टलवरील अंदाजे 3,000 खात्यांची फसवणूक करणाऱ्या योजनेची ओळख पटल्यानंतर फेडरल पोलिसांनी ऑपरेशन "फेस ऑफ" सुरू केले. गुन्हेगारी गटाने gov.br प्लॅटफॉर्मवर कायदेशीर वापरकर्त्यांची तोतयागिरी करण्यासाठी अत्यंत अत्याधुनिक तंत्रांचा वापर केला , जे हजारो डिजिटल सार्वजनिक सेवांमध्ये प्रवेश केंद्रीकृत करते.
तपासकर्त्यांनी उघड केले की स्कॅमर्सनी फेशियल रेकग्निशन मेकॅनिझमला फसवण्यासाठी हाताळलेले व्हिडिओ, एआय-बदललेले इमेजेस आणि अगदी हायपर-रिअलिस्टिक थ्रीडी मास्कचा वापर केला. दुसऱ्या शब्दांत, त्यांनी तृतीय पक्षांच्या चेहऱ्याच्या वैशिष्ट्यांचे अनुकरण केले - मृत व्यक्तींसह - ओळख गृहीत धरण्यासाठी आणि त्या खात्यांशी संबंधित आर्थिक फायदे मिळविण्यासाठी. डोळे मिचकावणे, हसणे किंवा डोके फिरवणे या पूर्णपणे समक्रमित कृत्रिम हालचालींसह, त्यांनी जिवंतपणा शोधण्याची कार्यक्षमता देखील टाळण्यात यश मिळवले, जी कॅमेऱ्यासमोर खरी व्यक्ती आहे की नाही हे शोधण्यासाठी अचूकपणे विकसित केली गेली होती.
याचा परिणाम म्हणजे केवळ योग्य लाभार्थ्यांनीच परत मिळवावेत अशा निधीवर अनधिकृत प्रवेश, तसेच या खोट्या ओळखी वापरून Meu INSS अॅपवर वेतन कर्जांना बेकायदेशीर मान्यता मिळाली. या प्रकरणाने हे सिद्ध केले की हो, योग्य साधने उपलब्ध असताना - मोठ्या आणि सैद्धांतिकदृष्ट्या सुरक्षित प्रणालींमध्येही - चेहर्यावरील बायोमेट्रिक्स बायपास करणे शक्य आहे.
खाजगी क्षेत्रातही परिस्थिती वेगळी नाही. ऑक्टोबर २०२४ मध्ये, फेडरल डिस्ट्रिक्टच्या सिव्हिल पोलिसांनी "डीजनरेटिव्ह एआय" ऑपरेशन राबवले, ज्यामध्ये आर्टिफिशियल इंटेलिजेंस अॅप्स वापरून डिजिटल बँक खात्यांमध्ये हॅकिंग करण्यात विशेषज्ञ असलेल्या एका टोळीचा खात्मा करण्यात आला. गुन्हेगारांनी ग्राहकांच्या बँक खात्यांमध्ये हॅक करण्याचे ५५० हून अधिक प्रयत्न केले, लीक झालेल्या वैयक्तिक डेटा आणि डीपफेक तंत्रांचा वापर करून खातेधारकांच्या प्रतिमा पुन्हा तयार केल्या आणि अशा प्रकारे पीडितांच्या नावाने नवीन खाती उघडण्याच्या प्रक्रिया सत्यापित केल्या आणि मोबाइल डिव्हाइस जणू काही त्यांचेच आहेत असे सक्रिय केले.
असा अंदाज आहे की अंतर्गत बँक ऑडिटद्वारे बहुतेक फसवणूक थांबवण्यापूर्वी, गटाने व्यक्ती आणि कायदेशीर संस्थांच्या खात्यांद्वारे विविध स्त्रोतांकडून पैसे लाँडरिंग करून R$ ११० दशलक्ष हलवले.
बायोमेट्रिक्सच्या पलीकडे
ब्राझिलियन बँकिंग क्षेत्रासाठी, या उच्च-तंत्रज्ञानाच्या घोटाळ्यांमध्ये वाढ झाल्याने धोक्याची घंटा निर्माण झाली आहे. गेल्या दशकात बँकांनी ग्राहकांना सुरक्षित डिजिटल चॅनेलकडे स्थलांतरित करण्यासाठी मोठ्या प्रमाणात गुंतवणूक केली आहे, फसवणुकीविरुद्ध अडथळे म्हणून चेहर्याचे आणि फिंगरप्रिंट बायोमेट्रिक्सचा अवलंब केला आहे.
तथापि, घोटाळ्यांच्या अलिकडच्या लाटेवरून असे दिसून येते की केवळ बायोमेट्रिक्सवर अवलंबून राहणे पुरेसे नाही. घोटाळेबाज ग्राहकांची नक्कल करण्यासाठी मानवी चुका आणि तांत्रिक त्रुटींचा फायदा घेतात आणि यासाठी सुरक्षा अनेक स्तरांवर आणि प्रमाणीकरण घटकांसह डिझाइन करण्याची आवश्यकता आहे, आता एकाच "जादू" घटकावर अवलंबून नाही.
या गुंतागुंतीच्या परिस्थितीला पाहता, तज्ञ एका शिफारशीवर सहमत आहेत: बहु-घटक प्रमाणीकरण आणि बहु-स्तरीय सुरक्षा दृष्टिकोन स्वीकारा. याचा अर्थ वेगवेगळ्या तंत्रज्ञान आणि पडताळणी पद्धती एकत्र करणे जेणेकरून जर एक घटक अयशस्वी झाला किंवा तडजोड झाली तर इतर फसवणूक टाळता येईल. बायोमेट्रिक्स स्वतःच एक महत्त्वाचा घटक राहतो - शेवटी, जेव्हा लाईव्हनेस पडताळणी आणि एन्क्रिप्शनसह चांगले अंमलात आणले जाते तेव्हा ते संधीसाधू हल्ल्यांना मोठ्या प्रमाणात प्रतिबंधित करते.
तथापि, ते इतर नियंत्रणांसह एकत्रितपणे कार्य केले पाहिजे: मोबाइल फोनवर पाठवलेले एक-वेळचे पासवर्ड किंवा पिन, वापरकर्त्याच्या वर्तनाचे विश्लेषण - तथाकथित वर्तनात्मक बायोमेट्रिक्स, जे टायपिंग पॅटर्न, डिव्हाइस वापर ओळखते आणि जेव्हा ग्राहक "सामान्यपेक्षा वेगळ्या पद्धतीने वागतो" तेव्हा तो अलार्म वाजवू शकतो - आणि बुद्धिमान व्यवहार देखरेख.
बँकांना मदत करण्यासाठी एआय टूल्सचा वापर केला जात आहे, ज्यामध्ये व्हिडिओ किंवा आवाजांमध्ये डीपफेकची सूक्ष्म चिन्हे ओळखली जात आहेत - उदाहरणार्थ, कृत्रिम आवाज शोधण्यासाठी ऑडिओ फ्रिक्वेन्सीचे विश्लेषण करणे किंवा सेल्फीमध्ये दृश्य विकृती शोधणे.
शेवटी, बँक व्यवस्थापक आणि माहिती सुरक्षा व्यावसायिकांसाठी संदेश स्पष्ट आहे: कोणताही फायदा नाही. पारंपारिक पासवर्डच्या तुलनेत बायोमेट्रिक्सने उच्च पातळीची सुरक्षितता आणली आहे - इतकी की घोटाळे मोठ्या प्रमाणात अल्गोरिदम तोडण्याऐवजी लोकांना फसवण्याकडे वळले आहेत.
तथापि, फसवणूक करणारे बायोमेट्रिक प्रणालींना अडथळा आणण्यासाठी मानवी असो वा तांत्रिक, प्रत्येक पळवाटांचा फायदा घेत आहेत. योग्य प्रतिसादात सतत अद्ययावत अत्याधुनिक तंत्रज्ञान आणि सक्रिय देखरेख यांचा समावेश आहे. जे लोक नवीन घोटाळे समोर येत असताना त्याच वेगाने त्यांचे संरक्षण विकसित करू शकतात तेच दुर्भावनापूर्ण कृत्रिम बुद्धिमत्तेच्या युगात त्यांच्या क्लायंटचे पूर्णपणे संरक्षण करू शकतील.
सिल्वियो सोब्रेरा व्हिएरा, सीईओ आणि एसव्हीएक्स कन्सल्टोरियाचे सल्लागार प्रमुख.
