Biometria nu este suficientă: cât de avansată frauda provoacă băncile

Adoptarea biometriei a explodat în Brazilia în ultimii ani 821TP3 T de brazilieni folosesc deja unele tehnologii biometrice pentru autentificare, condus de comoditate și căutarea pentru mai multă securitate în serviciile digitale. Fie în accesul la bănci prin recunoaștere facială sau utilizarea amprentei digitale pentru a autoriza plățile, biometria a devenit „novo CPF” în ceea ce privește identificarea personală, făcând procesele mai rapide și mai intuitive.  

Cu toate acestea, un val tot mai mare de fraude a expus limitele acestei soluții: abia în ianuarie 2025, în Brazilia au fost înregistrate 1,24 milioane de tentative de fraudă, o creștere de 41,61TP3 T față de anul precedent 10,41TP3 T echivalent cu o tentativă de lovitură de stat la fiecare 2,2 secunde. o mare parte a acestor atacuri vizează sistemele de autentificare digitală. datele Serasa Experian arată că în 2024 tentativele de fraudă împotriva băncilor și cardurilor au crescut cu 10,41TP3 T față de 2023, reprezentând 53,41TP3 T din totalul fraudelor înregistrate în anul.  

Dacă nu ar fi fost evitate, aceste fraude ar fi putut cauza o pierdere estimată la 51,6 miliarde R1TP4 T. Această creștere reflectă o schimbare de decor: escrocii își dezvoltă tactica mai rapid ca niciodată. potrivit unui sondaj Serasa, jumătate dintre brazilieni (50.71TP3 T) au fost victime ale fraudei digitale în 2024, un salt de 9 puncte procentuale față de anul precedent, iar 54.21TP3 T dintre aceste victime au suferit pierderi financiare directe.  

O altă analiză indică o creștere cu 45% a infracțiunilor digitale în 2024 în țară, jumătate dintre victime fiind efectiv înșelate de escrocherii. În fața acestor cifre, comunitatea de securitate se întreabă: dacă biometria a promis că va proteja utilizatorii și instituțiile, de ce fraudatorii par să fie întotdeauna cu un pas înainte?

Escrocherii driblează recunoașterea facială și digitală

O parte din răspuns constă în creativitatea cu care bandele digitale ocolesc mecanismele biometriceÎn ultimele luni au apărut cazuri emblematiceÎn Santa Catarina, un grup fraudulos a rănit cel puțin 50 de persoane prin obținerea clandestină a datelor biometrice faciale de la clienți (un angajat al telecomunicațiilor a simulat vânzările de linii telefonice pentru a captura selfie-uri și documente ale clienților, apoi folosind aceste date pentru a deschide conturi bancare și a împrumuta în numele victimelor.  

În Minas Gerais, infractorii au mers mai departe: pretinzând că sunt curieri pentru a colecta amprente digitale și fotografii ale rezidenților, cu obiectivul expres de a ocoli securitatea băncilor. adică escrocii nu numai că atacă tehnologia în sine, ci și exploatează ingineria socială ‘prin inducerea oamenilor să predea propriile date biometrice fără să-și dea seama Experții avertizează că chiar și sistemele considerate robuste pot fi păcălite.  

Problema este că popularizarea biometriei a creat un fals sentiment de securitate: utilizatorii presupun că, pentru că este biometrică, autentificarea este infailibilă.  

În instituțiile cu bariere mai puțin stricte, escrocii reușesc să folosească mijloace relativ simple, cum ar fi fotografii sau matrițe pentru a imita caracteristicile fizice. Așa-numita palmă cu degetul din hilicon, de exemplu, a devenit cunoscută: infractorii lipesc filme transparente de cititoarele de amprente electronice pentru a fura amprenta clientului și apoi creează un deget de silicon fals cu acel deget, efectuând jafuri și transferuri necorespunzătoare. Băncile pretind că folosesc deja contramăsuri (senzori capabili să detecteze căldura, pulsul și alte caracteristici ale unui deget viu, făcând mucegaiurile artificiale inutile.  

Totuși, cazuri izolate ale acestei înșelătorii arată că nicio barieră biometrică nu este total ferită de încercările de a ocoli. Un alt vector îngrijorător este utilizarea dispozitivelor de inginerie socială pentru a obține selfie-uri sau examene faciale de la clienții înșiși. Federația Braziliană a Băncilor (Febraban) a tras un semnal de alarmă pentru un nou tip de fraudă în care escrocii solicită „confirmarea selfie-urilor de la victime sub pretexte false. De exemplu, pretinzând că sunt angajați ai băncii sau INSS, ei cer o fotografie a feței“ pentru a actualiza un registru de a” sau a elibera un beneficiu inexistent pentru clienți (de fapt, utilizați acest selfie pentru a trece prin sistemele faciale în verificarea facială.  

O simplă supraveghere, cum ar fi realizarea unei fotografii la cererea unui presupus livrător sau a unui agent de îngrijire a sănătății, poate oferi infractorilor o cheie biometrică“ pentru a accesa conturile altor persoane.  

Deepfakes și AI: noua frontieră a înșelătoriilor

Dacă înșelăciunea oamenilor este deja o strategie utilizată pe scară largă, cei mai avansați criminali sunt, de asemenea, mașini înșelătoare. Aici introduceți amenințările de manipulare avansată a vocii și imaginii deepfake 2023 până în 2025 prin inteligență artificială și alte tehnici de contrafacere digitală.  

În luna mai trecută, de exemplu, Poliția Federală a lansat operațiunea „Face Off” după ce a identificat o schemă care a fraudat aproximativ 3 mii de conturi ale portalului Gov.br folosind biometrie facială falsă. Grupul criminal a aplicat tehnici extrem de sofisticate pentru a uzurpa identitatea utilizatorilor legitimi de pe platformă gov.br, care concentrează accesul la mii de servicii publice digitale.

Anchetatorii au dezvăluit că escrocii au folosit o combinație de videoclipuri manipulate, imagini modificate de AI și chiar măști 3 D hiperrealiste pentru a păcăli motorul de recunoaștere facialăCu alte cuvinte, au simulat trăsăturile faciale ale unor terțe părți, inclusiv persoane decedate 'pentru a-și asuma identități și a accesa beneficii financiare legate de acele conturiCu ochiul artificial clipind, zâmbind sau întorcând perfect capul sincronizat, au reușit chiar să ocolească funcționalitatea detectării vieții, care a fost dezvoltată exact pentru a detecta dacă există o persoană reală în fața camerei.  

Rezultatul a fost accesul necorespunzător la sume care ar trebui răscumpărate doar de beneficiarii reali, pe lângă aprobarea ilicită a împrumuturilor plătibile în aplicația My INSS folosind aceste identități false. Acest caz a expus cu forță că da, este posibil să ocoliți biometria facială (chiar și în sisteme mari și teoretic sigure „Când aveți instrumentele potrivite.  

În octombrie 2024, Poliția Civilă a Districtului Federal a desfășurat operațiunea „DeGenerative AI”, dezarticulând o bandă specializată în piratarea conturilor bancare digitale prin aplicații de inteligență artificială. Infractorii au efectuat peste 550 de încercări de a sparge conturile bancare ale clienților, folosind date personale scurse și tehnici deepfake pentru a reproduce imaginea titularilor de cont și, astfel, a valida procedurile de deschidere de noi conturi în numele victimelor și de activare a dispozitivelor mobile ca și cum ar fi ale lor.  

Se estimează că grupul a reușit să se deplaseze în jurul valorii de R$ 110 milioane în conturi personale și juridice, spălarea banilor din diverse surse, înainte ca majoritatea fraudelor să fie interzise de auditurile bancare interne.  

Dincolo de biometrie

Pentru sectorul bancar brazilian, escaladarea acestor escrocherii de înaltă tehnologie aprinde un semnal de avertizare. Băncile au investit masiv în ultimul deceniu pentru a migra clienții către canale digitale securizate, adoptând biometria facială și digitală ca bariere împotriva fraudei.  

Cu toate acestea, valul recent de escrocherii sugerează că bazarea exclusiv pe biometrie poate să nu fie suficientă. Escrocii exploatează defectele umane și lacunele tehnologice pentru a uzurpa identitatea consumatorilor, iar acest lucru necesită ca securitatea să fie gândită la mai multe niveluri și factori de autentificare, nu mai este un singur factor de „magical”.

În acest scenariu complex, experții converg către o recomandare: adoptă abordări de autentificare multifactorială și de securitate multistrat. aceasta înseamnă combinarea diferitelor tehnologii și metode de verificare, astfel încât, dacă un factor eșuează sau este compromis, alții să prevină frauda. biometria în sine rămâne o parte importantă (la urma urmei, atunci când este bine implementată cu verificarea vieții (viața) și criptarea, împiedică foarte mult atacurile oportuniste.  

Cu toate acestea, trebuie să acționeze împreună cu alte controale: parole sau PIN-uri pentru o singură utilizare trimise pe telefonul mobil, analiza comportamentului utilizatorului 'AȘa-numitele biometrie comportamentale, care identifică tiparele de tastare, utilizarea dispozitivului și poate suna alarma atunci când observați un client 'agindo diferit de normalitate & monitorizarea inteligentă a tranzacțiilor.  

Instrumentele AI sunt, de asemenea, folosite în favoarea băncilor, identificând semnale subtile deepfake în videoclipuri sau voci - de exemplu, analizând frecvențele audio pentru a detecta voci sintetice sau căutând distorsiuni vizuale în selfie-uri.  

În cele din urmă, mesajul care rămâne pentru managerii băncilor și profesioniștii în securitatea informațiilor este clar: nu există nici un glonț de argint. biometrie a adus un nivel mai ridicat de securitate în comparație cu parolele tradiționale ATÂT de mult încât înșelătorii migrate în mare măsură pentru a înșela oamenii, nu mai rupe algoritmi.  

Cu toate acestea, fraudatorii exploatează fiecare încălcare, fie ea umană sau tehnologică, pentru a contracara sistemele biometrice. Răspunsul adecvat implică tehnologie de ultimă oră în actualizarea constantă și monitorizarea proactivă. Numai cei care își pot dezvolta apărarea cu aceeași viteză cu care apar noi escrocherii își vor putea proteja pe deplin clienții în era inteligenței artificiale rău intenționate.

De Sylvio Sobreira Vieira, CEO și Head Consulting al SVX Consultoria.