Përvetësimi i biometrikës ka shpërthyer në Brazil vitet e fundit - 82% e brazilianëve tashmë përdorin një formë të teknologjisë biometrike për autentifikim, të nxitur nga komoditeti dhe kërkimi për siguri më të madhe në shërbimet dixhitale. Qoftë duke hyrë në banka nëpërmjet njohjes së fytyrës apo duke përdorur gjurmët e gishtërinjve për të autorizuar pagesat, biometrika është bërë "CPF-ja e re" (ID e tatimpaguesit brazilian) për sa i përket identifikimit personal, duke i bërë proceset më të shpejta dhe më intuitive.
Megjithatë, një valë në rritje mashtrimesh ka ekspozuar kufizimet e kësaj zgjidhjeje: vetëm në janar 2025, në Brazil u regjistruan 1.24 milion përpjekje për mashtrim, një rritje prej 41.6% krahasuar me vitin e kaluar - ekuivalente me një përpjekje për mashtrim çdo 2.2 sekonda. Një pjesë e madhe e këtyre sulmeve synojnë posaçërisht sistemet e vërtetimit dixhital. Të dhënat nga Serasa Experian tregojnë se në vitin 2024, përpjekjet për mashtrime kundër bankave dhe kartave të kreditit u rritën me 10.4% krahasuar me vitin 2023, duke përfaqësuar 53.4% të të gjitha mashtrimeve të regjistruara atë vit.
Nëse këto mashtrime nuk do të ishin parandaluar, ato mund të kishin shkaktuar një humbje të vlerësuar prej 51.6 miliardë dollarësh rand. Kjo rritje pasqyron një peizazh në ndryshim: mashtruesit po i zhvillojnë taktikat e tyre më shpejt se kurrë më parë. Sipas një ankete nga Serasa, gjysma e brazilianëve (50.7%) ishin viktima të mashtrimit dixhital në vitin 2024, një rritje prej 9 pikësh përqindjeje krahasuar me vitin e kaluar, dhe 54.2% e këtyre viktimave pësuan humbje të drejtpërdrejta financiare.
Një analizë tjetër tregon një rritje prej 45% të krimeve dixhitale në vend në vitin 2024, me gjysmën e viktimave që janë mashtruar në të vërtetë nga mashtrimet. Duke pasur parasysh këto shifra, komuniteti i sigurisë po pyet: nëse biometrika premton të mbrojë përdoruesit dhe institucionet, pse mashtruesit duket se janë gjithmonë një hap përpara?
Mashtrimet anashkalojnë njohjen e fytyrës dhe të gjurmëve të gishtave.
Një pjesë e përgjigjes qëndron në kreativitetin me të cilin bandat dixhitale anashkalojnë mekanizmat biometrikë. Në muajt e fundit, kanë dalë në pah raste emblematike. Në Santa Catarina, një grup mashtrues mashtroi të paktën 50 persona duke marrë në mënyrë klandestine të dhëna biometrike të fytyrës nga klientët - një punonjës i telekomunikacionit simuloi shitjet e linjave telefonike për të kapur selfie dhe dokumente nga klientët, duke i përdorur më vonë këto të dhëna për të hapur llogari bankare dhe për të marrë kredi në emër të viktimave.
Në Minas Gerais, kriminelët shkuan edhe më tej: ata u shtirën si punonjës të shpërndarjes postare për të mbledhur gjurmë gishtash dhe foto nga banorët, me qëllimin e qartë për të anashkaluar sigurinë bankare. Me fjalë të tjera, mashtruesit jo vetëm që sulmojnë vetë teknologjinë, por shfrytëzojnë edhe inxhinierinë sociale - duke i nxitur njerëzit të dorëzojnë të dhënat e tyre biometrike pa e kuptuar. Ekspertët paralajmërojnë se edhe sistemet që konsiderohen të fuqishme mund të mashtrohen.
Problemi është se popullarizimi i biometrikës ka krijuar një ndjenjë të rreme sigurie: përdoruesit supozojnë se, për shkak se është biometrike, autentifikimi është i pagabueshëm.
Në institucionet me masa sigurie më pak të rrepta, mashtruesit ia dalin mbanë duke përdorur metoda relativisht të thjeshta, të tilla si fotot ose format për të imituar karakteristikat fizike. E ashtuquajtura "mashtrim me gisht silikoni", për shembull, është bërë e njohur: kriminelët ngjisin filma transparentë në lexuesit e gjurmëve të gishtave në bankomate për të vjedhur gjurmën e gishtit të klientit dhe më pas krijojnë një gisht silikoni të rremë me atë gjurmë gishti, duke bërë tërheqje dhe transferta të paautorizuara. Bankat pretendojnë se tashmë përdorin kundërmasa - sensorë të aftë për të zbuluar nxehtësinë, pulsin dhe karakteristika të tjera të një gishti të gjallë, duke i bërë format artificiale të padobishme.
Megjithatë, raste të izoluara të këtij mashtrimi tregojnë se asnjë barrierë biometrike nuk është plotësisht e sigurt nga përpjekjet për ta anashkaluar atë. Një faktor tjetër shqetësues është përdorimi i trukeve të inxhinierisë sociale për të marrë selfie ose skanime të fytyrës nga vetë klientët. Federata Braziliane e Bankave (Febraban) ka dhënë alarmin për një lloj të ri mashtrimi në të cilin mashtruesit kërkojnë "selfie konfirmimi" nga viktimat me pretekste të rreme. Për shembull, duke u shtirur si punonjës të bankës ose të INSS (Instituti Brazilian i Sigurimeve Shoqërore), ata kërkojnë një foto të fytyrës "për të përditësuar regjistrimin" ose për të liruar një përfitim joekzistent - në realitet, ata e përdorin këtë selfie për të ushtruar rolin e klientit në sistemet e verifikimit të fytyrës.
Një mbikëqyrje e thjeshtë – siç është bërja e një fotoje me kërkesë të një personi të supozuar të dorëzimit ose punonjësi shëndetësor – mund t’u ofrojë kriminelëve “çelësin” biometrik për të hyrë në llogaritë e personave të tjerë.
Deepfakes dhe AI: kufiri i ri i mashtrimeve
Ndërkohë që mashtrimi i njerëzve është tashmë një strategji e përdorur gjerësisht, kriminelët më të sofistikuar tani po mashtrojnë edhe makina. Këtu hyjnë në lojë kërcënimet e deepfake - manipulimi i avancuar i zërit dhe imazhit nga inteligjenca artificiale - dhe teknikat e tjera të falsifikimit dixhital, teknika që kanë parë një rritje të sofistikimit nga viti 2023 deri në vitin 2025.
Majin e kaluar, për shembull, Policia Federale nisi Operacionin "Face Off" pasi identifikoi një skemë që mashtroi afërsisht 3,000 llogari në portalin Gov.br duke përdorur biometrikë të rreme të fytyrës. Grupi kriminal përdori teknika shumë të sofistikuara për të imituar përdoruesit legjitimë në gov.br , e cila centralizon aksesin në mijëra shërbime publike dixhitale.
Hetuesit zbuluan se mashtruesit përdorën një kombinim videosh të manipuluara, imazhesh të ndryshuara nga inteligjenca artificiale dhe madje edhe maska 3D hiperrealiste për të mashtruar mekanizmin e njohjes së fytyrës. Me fjalë të tjera, ata simuluan tiparet e fytyrës së palëve të treta - përfshirë individë të vdekur - për të supozuar identitete dhe për të aksesuar përfitime financiare të lidhura me ato llogari. Me lëvizje artificiale të sinkronizuara në mënyrë të përsosur si mbyllja e syve, buzëqeshja ose kthimi i kokës, ata madje arritën të anashkalonin funksionalitetin e zbulimit të gjallërisë, i cili u zhvillua pikërisht për të zbuluar nëse ka një person të vërtetë para kamerës.
Rezultati ishte qasja e paautorizuar në fonde që duhet të shpengohen vetëm nga përfituesit e ligjshëm, si dhe miratimi i paligjshëm i kredive të pagave në aplikacionin Meu INSS duke përdorur këto identitete të rreme. Ky rast demonstroi me forcë se po, është e mundur të anashkalohen biometrikët e fytyrës - madje edhe në sisteme të mëdha dhe teorikisht të sigurta - kur janë në dispozicion mjetet e duhura.
Në sektorin privat, situata nuk është ndryshe. Në tetor 2024, Policia Civile e Distriktit Federal kreu Operacionin "AI DeGenerative", duke çmontuar një bandë të specializuar në hakimin e llogarive bankare dixhitale duke përdorur aplikacione të inteligjencës artificiale. Kriminelët bënë mbi 550 përpjekje për të hakuar llogaritë bankare të klientëve, duke përdorur të dhëna personale të rrjedhura dhe teknika të falsifikimit të thellë për të riprodhuar imazhet e mbajtësve të llogarive dhe kështu të validonin procedurat për hapjen e llogarive të reja në emrat e viktimave dhe të aktivizonin pajisjet mobile sikur të ishin të tyre.
Është vlerësuar se grupi arriti të lëvizë rreth 110 milionë dollarë rand përmes llogarive që u përkisnin individëve dhe personave juridikë, duke pastruar para nga burime të ndryshme, përpara se pjesa më e madhe e mashtrimit të ndalohej nga auditimet e brendshme bankare.
Përtej biometrikës
Për sektorin bankar brazilian, përshkallëzimi i këtyre mashtrimeve me teknologji të lartë ngre një sinjal alarmi. Bankat kanë investuar shumë në dekadën e fundit për të migruar klientët në kanale të sigurta dixhitale, duke përdorur biometrikën e fytyrës dhe të gjurmëve të gishtave si barriera kundër mashtrimit.
Megjithatë, vala e fundit e mashtrimeve sugjeron se mbështetja vetëm te të dhënat biometrike mund të mos jetë e mjaftueshme. Mashtruesit shfrytëzojnë gabimet njerëzore dhe boshllëqet teknologjike për të imituar konsumatorët, dhe kjo kërkon që siguria të projektohet me nivele dhe faktorë të shumëfishtë vërtetimi, duke mos u mbështetur më në një faktor të vetëm "magjik".
Duke pasur parasysh këtë skenar kompleks, ekspertët bien dakord për një rekomandim: të miratohet autentifikimi shumëfaktorësh dhe qasje sigurie shumështresore. Kjo do të thotë kombinimi i teknologjive dhe metodave të ndryshme të verifikimit në mënyrë që nëse një faktor dështon ose kompromentohet, të tjerët të parandalojnë mashtrimin. Biometria në vetvete mbetet një element i rëndësishëm - në fund të fundit, kur zbatohet mirë me verifikimin e gjallërisë dhe enkriptimin, ajo pengon shumë sulmet oportuniste.
Megjithatë, duhet të funksionojë së bashku me kontrolle të tjera: fjalëkalime ose PIN-e njëpërdorimëshe të dërguara në telefonin celular, analizën e sjelljes së përdoruesit - të ashtuquajturat biometrikë sjelljeje, të cilat identifikojnë modelet e shkrimit, përdorimin e pajisjes dhe mund të japin alarm kur vënë re një klient që "vepron ndryshe nga normalja" - dhe monitorimin inteligjent të transaksioneve.
Mjetet e inteligjencës artificiale po përdoren gjithashtu për të ndihmuar bankat, duke identifikuar shenja delikate të deepfake në video ose zëra - për shembull, duke analizuar frekuencat audio për të zbuluar zëra sintetikë ose duke kërkuar shtrembërime vizuale në selfie.
Në fund të fundit, mesazhi për menaxherët e bankave dhe profesionistët e sigurisë së informacionit është i qartë: nuk ka zgjidhje të sigurt. Biometria ka sjellë një nivel superior sigurie krahasuar me fjalëkalimet tradicionale - aq shumë sa mashtrimet janë zhvendosur kryesisht në mashtrimin e njerëzve, në vend që të prishin algoritmet.
Megjithatë, mashtruesit po shfrytëzojnë çdo boshllëk ligjor, qoftë njerëzor apo teknologjik, për të penguar sistemet biometrike. Përgjigja e duhur përfshin teknologji të përparuar që përditësohet vazhdimisht dhe monitorim proaktiv. Vetëm ata që mund të zhvillojnë mbrojtjet e tyre me të njëjtën shpejtësi me shfaqjen e mashtrimeve të reja do të jenë në gjendje t'i mbrojnë plotësisht klientët e tyre në epokën e inteligjencës artificiale dashakeqe.
Nga Sylvio Sobreira Vieira, CEO & Shef i Konsulencës në SVX Consultoria.
