Kupitishwa kwa bayometriki kumelipuka nchini Brazili katika miaka ya hivi karibuni - 82% ya Wabrazili tayari wanatumia aina fulani ya teknolojia ya kibayometriki kwa uthibitishaji, kwa kuendeshwa na urahisi na utafutaji wa usalama zaidi katika huduma za kidijitali. Iwe unafikia benki kupitia utambuzi wa uso au kwa kutumia alama za vidole kuidhinisha malipo, bayometriki zimekuwa "CPF mpya" (Kitambulisho cha mlipakodi wa Brazili) kulingana na utambulisho wa kibinafsi, na kufanya michakato iwe haraka na rahisi zaidi.
Hata hivyo, wimbi linaloongezeka la ulaghai limefichua vikwazo vya suluhisho hili: Januari 2025 pekee, majaribio ya ulaghai milioni 1.24 yalirekodiwa nchini Brazili, ongezeko la 41.6% ikilinganishwa na mwaka uliopita - sawa na jaribio moja la ulaghai kila baada ya sekunde 2.2. Sehemu kubwa ya mashambulizi haya yanalenga mifumo ya uthibitishaji wa kidijitali. Takwimu kutoka kwa Serasa Experian zinaonyesha kuwa mnamo 2024, majaribio ya ulaghai dhidi ya benki na kadi za mkopo ilikua kwa 10.4% ikilinganishwa na 2023, ikiwakilisha 53.4% ya ulaghai wote uliorekodiwa mwaka huo.
Kama ulaghai huu haungezuiwa, ungeweza kusababisha hasara inayokadiriwa ya R$ 51.6 bilioni. Ongezeko hili linaonyesha mabadiliko ya mazingira: walaghai wanaendeleza mbinu zao haraka zaidi kuliko hapo awali. Kulingana na utafiti wa Serasa, nusu ya Wabrazili (50.7%) walikuwa waathiriwa wa ulaghai wa kidijitali mwaka wa 2024, ongezeko la asilimia 9 ikilinganishwa na mwaka uliopita, na 54.2% ya waathiriwa hawa walipata hasara ya moja kwa moja ya kifedha.
Uchambuzi mwingine unaonyesha ongezeko la 45% la uhalifu wa kidijitali nchini mnamo 2024, huku nusu ya waathiriwa wakidanganywa na ulaghai huo. Kwa kuzingatia nambari hizi, jumuiya ya usalama inahoji: ikiwa bayometriki ziliahidi kuwalinda watumiaji na taasisi, kwa nini walaghai daima wanaonekana kuwa hatua moja mbele?
Ulaghai hukwepa utambuzi wa alama za uso na vidole.
Sehemu ya jibu iko katika ubunifu ambao magenge ya dijiti hukwepa mifumo ya kibayometriki. Katika miezi ya hivi karibuni, kesi za mfano zimeibuka. Huko Santa Catarina, kikundi cha ulaghai kiliwalaghai angalau watu 50 kwa kupata data ya kibayometriki ya usoni kutoka kwa wateja kwa siri - mfanyakazi wa mawasiliano aliiga mauzo ya laini za simu ili kupiga picha za selfie na hati kutoka kwa wateja, baadaye akitumia data hii kufungua akaunti za benki na kuchukua mikopo kwa majina ya waathiriwa.
Huko Minas Gerais, wahalifu walienda mbali zaidi: walijifanya kuwa wahudumu wa posta ili kukusanya alama za vidole na picha kutoka kwa wakazi, kwa madhumuni ya wazi ya kukwepa usalama wa benki. Kwa maneno mengine, walaghai hawashambulii teknolojia yenyewe tu, bali pia hutumia uhandisi wa kijamii - wakiwashawishi watu kukabidhi data zao za kibayometriki bila kujua. Wataalamu wanaonya kwamba hata mifumo inayozingatiwa kuwa thabiti inaweza kudanganywa.
Tatizo ni kwamba umaarufu wa biometriska umeunda hisia ya uongo ya usalama: watumiaji wanadhani kwamba, kwa sababu ni biometriska, uthibitishaji hauwezi kushindwa.
Katika taasisi zilizo na hatua kali za usalama, walaghai hufaulu kutumia mbinu rahisi, kama vile picha au viunzi ili kuiga sifa za kimaumbile. Kinachojulikana kama "kashfa ya vidole vya silicone," kwa mfano, imejulikana sana: wahalifu huweka filamu za uwazi kwa visoma vidole kwenye ATM ili kuiba alama za vidole vya mteja na kisha kuunda kidole bandia cha silicone kwa alama hiyo ya vidole, na kufanya uondoaji usioidhinishwa na uhamisho. Benki zinadai kuwa tayari hutumia hatua za kupinga - sensorer zinazoweza kutambua joto, pigo, na sifa nyingine za kidole kilicho hai, na kufanya molds bandia kuwa haina maana.
Bado, visa vilivyotengwa vya ulaghai huu vinaonyesha kuwa hakuna kizuizi cha kibayometriki ambacho ni salama kabisa kutokana na majaribio ya kukikwepa. Jambo lingine linalotia wasiwasi ni matumizi ya mbinu za uhandisi wa kijamii ili kupata selfies au scans za usoni kutoka kwa wateja wenyewe. Shirikisho la Benki nchini Brazili (Febraban) limetoa tahadhari kuhusu aina mpya ya ulaghai ambapo walaghai huomba "selfies ya uthibitisho" kutoka kwa waathiriwa kwa kisingizio cha uongo. Kwa mfano, wanaojifanya kuwa wafanyakazi wa benki au INSS (Taasisi ya Usalama wa Jamii ya Brazili), wanaomba picha ya uso "ili kusasisha usajili" au kutoa manufaa ambayo hayapo - kwa kweli, wanatumia selfie hii kuiga mteja katika mifumo ya uthibitishaji wa uso.
Uangalizi rahisi - kama vile kupiga picha kwa ombi la mtu anayetarajiwa kujifungua au mfanyakazi wa afya - kunaweza kuwapa wahalifu "ufunguo" wa kibayometriki ili kufikia akaunti za watu wengine.
Deepfakes na AI: mpaka mpya wa ulaghai
Ingawa kudanganya watu tayari ni mkakati unaotumika sana, wahalifu waliobobea zaidi sasa pia ni mashine za kuhadaa. Hapa ndipo vitisho vya uwongo wa kina - udanganyifu wa hali ya juu wa sauti na picha kwa kutumia akili ya bandia - na mbinu zingine za kughushi za kidijitali zinapokuja, mbinu ambazo zimeongezeka kwa kasi kutoka 2023 hadi 2025.
Mei mwaka jana, kwa mfano, Polisi wa Shirikisho walianzisha Operesheni "Face Off" baada ya kubainisha mpango uliolaghai takriban akaunti 3,000 kwenye tovuti ya Gov.br kwa kutumia bayometriki bandia za usoni. Kikundi cha wahalifu kilitumia mbinu za hali ya juu kuiga watumiaji halali kwenye gov.br , ambalo huweka kati ufikiaji wa maelfu ya huduma za umma za kidijitali.
Wachunguzi walifichua kuwa walaghai hao walitumia mchanganyiko wa video zilizodanganywa, picha zilizobadilishwa AI, na hata vinyago vya 3D vya uhalisia kupita kiasi ili kudanganya utaratibu wa utambuzi wa uso. Kwa maneno mengine, waliiga sura za watu wengine - ikiwa ni pamoja na watu waliofariki - kuchukua vitambulisho na kufikia manufaa ya kifedha yanayounganishwa na akaunti hizo. Kwa mienendo ya bandia iliyosawazishwa kikamilifu ya kufumba, kutabasamu, au kugeuza vichwa vyao, waliweza hata kukwepa utendaji wa ugunduzi wa uhai, ambao ulitengenezwa kwa usahihi kutambua ikiwa kuna mtu halisi mbele ya kamera.
Matokeo yalikuwa ufikiaji usioidhinishwa wa pesa ambazo zinapaswa kukombolewa na walengwa halali pekee, pamoja na kuidhinishwa haramu kwa mikopo ya malipo kwenye programu ya Meu INSS kwa kutumia vitambulisho hivi vya uwongo. Kesi hii ilionyesha kwa nguvu kwamba ndiyo, inawezekana kukwepa bayometriki za uso - hata katika mifumo mikubwa na ya kinadharia iliyo salama - wakati zana zinazofaa zinapatikana.
Katika sekta binafsi, hali si tofauti. Mnamo Oktoba 2024, Polisi wa Kiraia wa Wilaya ya Shirikisho waliendesha Operesheni "DeGenerative AI," na kusambaratisha genge lililobobea katika udukuzi katika akaunti za benki za kidijitali kwa kutumia programu za kijasusi bandia. Wahalifu hao walifanya majaribio zaidi ya 550 ya kuvamia akaunti za benki za wateja, kwa kutumia data binafsi iliyovuja na mbinu za kina za uwongo kutoa picha za wenye akaunti na hivyo kuthibitisha taratibu za kufungua akaunti mpya kwa majina ya wahasiriwa na kuwasha vifaa vya mkononi kana kwamba ni vyao.
Inakadiriwa kuwa kundi hilo lilifanikiwa kuingiza kiasi cha dola milioni 110 kupitia akaunti za watu binafsi na vyombo vya kisheria, kwa kutakatisha fedha kutoka vyanzo mbalimbali, kabla ya udanganyifu mwingi kuzuiwa na ukaguzi wa ndani wa benki.
Zaidi ya biometriska
Kwa sekta ya benki ya Brazili, kuongezeka kwa ulaghai huu wa hali ya juu kunaleta alama nyekundu. Benki zimewekeza fedha nyingi katika mwongo uliopita ili kuhamisha wateja ili kupata njia za kidijitali, zikitumia alama za bayometriki za usoni na vidole kama vizuizi dhidi ya ulaghai.
Hata hivyo, wimbi la hivi majuzi la ulaghai linapendekeza kuwa kutegemea bayometriki pekee kunaweza kusitoshe. Walaghai hutumia hitilafu za kibinadamu na mianya ya kiteknolojia kuiga watumiaji, na hii inadai kwamba usalama ubuniwe kwa viwango vingi na vipengele vya uthibitishaji, bila kutegemea tena kipengele kimoja cha "uchawi".
Kwa kuzingatia hali hii tata, wataalam wanakubaliana juu ya pendekezo moja: kupitisha uthibitishaji wa mambo mengi na mbinu za usalama za tabaka nyingi. Hii inamaanisha kuchanganya teknolojia tofauti na mbinu za uthibitishaji ili kipengele kimoja kikishindwa au kuathiriwa, vingine vizuie ulaghai. Biometriska yenyewe inabakia kuwa kipengele muhimu - baada ya yote, inapotekelezwa vyema na uthibitishaji wa uhai na usimbaji fiche, inazuia sana mashambulizi nyemelezi.
Hata hivyo, ni lazima ifanye kazi pamoja na vidhibiti vingine: manenosiri ya mara moja au PIN zinazotumwa kwa simu ya mkononi, uchanganuzi wa tabia ya mtumiaji - kinachojulikana kama bayometriki ya kitabia, ambayo hubainisha mifumo ya uchapaji, matumizi ya kifaa, na inaweza kupiga kengele inapotambua mteja "akitenda tofauti na kawaida" - na ufuatiliaji wa busara wa shughuli.
Zana za AI pia zinatumiwa kusaidia benki, kutambua ishara fiche za uwongo wa kina katika video au sauti - kwa mfano, kuchanganua masafa ya sauti ili kugundua sauti za sintetiki au kutafuta upotoshaji wa picha kwenye selfies.
Hatimaye, ujumbe kwa wasimamizi wa benki na wataalamu wa usalama wa habari uko wazi: hakuna risasi ya fedha. Biometriska umeleta kiwango cha juu zaidi cha usalama ikilinganishwa na manenosiri ya kawaida - kiasi kwamba ulaghai umehamia kwa kuwahadaa watu, badala ya kuvunja kanuni.
Hata hivyo, walaghai wanatumia kila mwanya, iwe wa kibinadamu au wa kiteknolojia, kuzuia mifumo ya kibayometriki. Jibu linalofaa linahusisha teknolojia ya kisasa iliyosasishwa kila mara na ufuatiliaji makini. Ni wale tu wanaoweza kuboresha ulinzi wao kwa kasi sawa na ulaghai mpya unapoibuka wataweza kuwalinda wateja wao kikamilifu katika enzi hii ya akili za bandia.
Na Sylvio Sobreira Vieira, Mkurugenzi Mtendaji & Mkuu wa Ushauri katika SVX Consultoria.
