Կենսաչափական տվյալները բավարար չեն. ինչպես է առաջադեմ խարդախությունը մարտահրավեր նետում բանկերին։

Վերջին տարիներին Բրազիլիայում բիոմետրիկ տվյալների կիրառումը կտրուկ աճել է. բրազիլացիների 82%-ն արդեն իսկ օգտագործում է կենսաչափական տեխնոլոգիայի որևէ տեսակ՝ նույնականացման համար, ինչը պայմանավորված է հարմարությամբ և թվային ծառայություններում ավելի մեծ անվտանգության որոնումներով: Անկախ նրանից, թե դա բանկեր մուտք գործելն է դեմքի ճանաչման միջոցով, թե մատնահետքերի օգտագործումը վճարումները հաստատելու համար, կենսաչափական տվյալները դարձել են «նոր CPF» (բրազիլացի հարկ վճարողի նույնականացման համակարգ) անձնական նույնականացման առումով՝ գործընթացները դարձնելով ավելի արագ և ավելի ինտուիտիվ:  

Սակայն խարդախության աճող ալիքը բացահայտեց այս լուծման սահմանափակումները. միայն 2025 թվականի հունվարին Բրազիլիայում գրանցվել է 1.24 միլիոն խարդախության փորձ, ինչը 41.6%-ով ավելի է նախորդ տարվա համեմատ՝ համարժեք է յուրաքանչյուր 2.2 վայրկյանը մեկ խարդախության փորձի: Այս հարձակումների մեծ մասը հատկապես թիրախավորում է թվային նույնականացման համակարգերը: Serasa Experian-ի տվյալները ցույց են տալիս, որ 2024 թվականին բանկերի և վարկային քարտերի դեմ խարդախության փորձերը 2023 թվականի համեմատ աճել են 10.4%-ով՝ կազմելով այդ տարի գրանցված բոլոր խարդախությունների 53.4%-ը:  

Եթե ​​այս խարդախությունները չկանխվեին, դրանք կարող էին պատճառել մոտավորապես 51.6 միլիարդ ռեալ դոլարի վնաս։ Այս աճը արտացոլում է փոփոխվող միջավայրը. խարդախները զարգացնում են իրենց մարտավարությունը ավելի արագ, քան երբևէ։ Serasa-ի հարցման համաձայն՝ բրազիլացիների կեսը (50.7%) 2024 թվականին թվային խարդախության զոհ է դարձել, ինչը նախորդ տարվա համեմատ 9 տոկոսային կետով աճ է, և այդ զոհերի 54.2%-ը կրել է ուղղակի ֆինանսական կորուստ։  

Մեկ այլ վերլուծություն ցույց է տալիս, որ 2024 թվականին երկրում թվային հանցագործությունների 45%-ով աճ է գրանցվել, որի արդյունքում զոհերի կեսը իրականում խաբվել է խարդախությունների միջոցով։ Հաշվի առնելով այս թվերը՝ անվտանգության ոլորտի համայնքը հարց է բարձրացնում. եթե կենսաչափական տվյալները խոստանում են պաշտպանել օգտատերերին և հաստատություններին, ապա ինչո՞ւ են խարդախները միշտ թվում մեկ քայլ առաջ։

Խաբեությունները շրջանցում են դեմքի և մատնահետքերի ճանաչումը։

Պատասխանի մի մասը կայանում է այն ստեղծագործականության մեջ, որով թվային խմբավորումները շրջանցում են կենսաչափական մեխանիզմները: Վերջին ամիսներին ի հայտ են եկել խորհրդանշական դեպքեր: Սանտա Կատարինայում խարդախ խումբը խաբել է առնվազն 50 մարդու՝ գաղտնի կերպով հաճախորդներից դեմքի կենսաչափական տվյալներ ստանալով. հեռահաղորդակցության աշխատակիցը մոդելավորել է հեռախոսագծերի վաճառքը՝ հաճախորդներից սելֆիներ և փաստաթղթեր ստանալու համար, ապա այդ տվյալներն օգտագործել է զոհերի անուններով բանկային հաշիվներ բացելու և վարկեր վերցնելու համար:  

Մինաս Ժերայսում հանցագործները գնացին ավելի հեռու. նրանք ձևանում էին, թե փոստային առաքման աշխատակիցներ են՝ բնակիչներից մատնահետքեր և լուսանկարներ հավաքելու համար՝ բանկային անվտանգությունը շրջանցելու հստակ նպատակով: Այլ կերպ ասած, խաբեբաները ոչ միայն հարձակվում են տեխնոլոգիայի վրա, այլև շահագործում են սոցիալական ինժեներիան՝ մարդկանց դրդելով հանձնել իրենց սեփական կենսաչափական տվյալները՝ առանց դա գիտակցելու: Մասնագետները զգուշացնում են, որ նույնիսկ հուսալի համարվող համակարգերը կարող են խաբվել:  

Խնդիրն այն է, որ կենսաչափական տվյալների տարածումը ստեղծել է կեղծ անվտանգության զգացում. օգտատերերը ենթադրում են, որ քանի որ այն կենսաչափական է, նույնականացումը անսխալական է։  

Ավելի քիչ խիստ անվտանգության միջոցառումներ ունեցող հաստատություններում խարդախները հաջողության են հասնում համեմատաբար պարզ մեթոդների, ինչպիսիք են լուսանկարները կամ կաղապարները՝ ֆիզիկական բնութագրերը ընդօրինակելու համար: Օրինակ՝ հայտնի է դարձել այսպես կոչված «սիլիկոնային մատի խաբեությունը». հանցագործները թափանցիկ թաղանթներ են կպցնում բանկոմատների մատնահետքերը կարդացող սարքերին՝ հաճախորդի մատնահետքը գողանալու համար, այնուհետև այդ մատնահետքով ստեղծում են կեղծ սիլիկոնե մատ՝ կատարելով չարտոնված կանխիկացումներ և փոխանցումներ: Բանկերը պնդում են, որ արդեն իսկ կիրառում են հակազդեցության միջոցներ՝ սենսորներ, որոնք կարող են հայտնաբերել կենդանի մատի ջերմությունը, զարկերակը և այլ բնութագրեր՝ արհեստական ​​կաղապարները դարձնելով անօգուտ:  

Այնուամենայնիվ, այս խարդախության առանձին դեպքերը ցույց են տալիս, որ ոչ մի կենսաչափական խոչընդոտ լիովին ապահովագրված չէ այն շրջանցելու փորձերից: Մեկ այլ մտահոգիչ գործոն է սոցիալական ինժեներիայի հնարքների կիրառումը՝ հաճախորդներից սելֆիներ կամ դեմքի սկանավորումներ ստանալու համար: Բրազիլիայի բանկերի ֆեդերացիան (Febraban) ահազանգ է հնչեցրել խարդախության նոր տեսակի մասին, որի դեպքում խարդախները կեղծ պատրվակով զոհերից պահանջում են «հաստատման սելֆիներ»: Օրինակ՝ ձևանալով բանկի կամ INSS-ի (Բրազիլիայի սոցիալական ապահովագրության ինստիտուտ) աշխատակիցներ, նրանք խնդրում են դեմքի լուսանկար՝ «գրանցումը թարմացնելու» կամ գոյություն չունեցող նպաստը ազատելու համար. իրականում նրանք օգտագործում են այս սելֆին՝ դեմքի ստուգման համակարգերում հաճախորդին կեղծելու համար:  

Պարզ անփութությունը, ինչպիսին է ենթադրյալ առաքիչի կամ առողջապահության աշխատողի խնդրանքով լուսանկարելը, կարող է հանցագործներին տրամադրել կենսաչափական «բանալի»՝ այլ մարդկանց հաշիվներին մուտք գործելու համար։  

Դիփֆեյքեր և արհեստական ​​բանականություն. խաբեությունների նոր սահմանը

Մինչ մարդկանց խաբելն արդեն լայնորեն կիրառվող ռազմավարություն է, ավելի բարդ հանցագործներն այժմ նույնպես խաբում են մեքենաներին։ Ահա թե որտեղ են ի հայտ գալիս խորը կեղծիքի՝ արհեստական ​​բանականության կողմից ձայնի և պատկերի առաջադեմ մանիպուլյացիայի և թվային կեղծման այլ տեխնիկաների սպառնալիքները, տեխնիկաներ, որոնք 2023-ից 2025 թվականներին կատարելագործման թռիչք են ապրել։  

Օրինակ՝ անցյալ տարվա մայիսին Դաշնային ոստիկանությունը սկսեց «Դեմ առ դեմ» գործողությունը՝ բացահայտելով մի սխեմա, որը խաբեության էր ենթարկել Gov.br պորտալի մոտ 3000 հաշիվ՝ կեղծ դեմքի կենսաչափական տվյալների միջոցով։ Հանցագործ խումբը կիրառել է բարձրակարգ տեխնիկա՝ gov.br , որը կենտրոնացնում է հազարավոր թվային հանրային ծառայություններին հասանելիությունը։

Հետաքննիչները բացահայտել են, որ խաբեբաները դեմքի ճանաչման մեխանիզմը խաբելու համար օգտագործել են մանիպուլացված տեսանյութերի, արհեստական ​​բանականության կողմից փոփոխված պատկերների և նույնիսկ գերիրատեսական 3D դիմակների համադրություն։ Այլ կերպ ասած, նրանք մոդելավորել են երրորդ կողմերի, այդ թվում՝ մահացած անձանց դեմքի գծերը՝ ինքնություն ենթադրելու և այդ հաշիվների հետ կապված ֆինանսական օգուտներին մուտք գործելու համար։ Աչքերը թարթելու, ժպտալու կամ գլուխները շրջելու կատարյալ համաժամեցված արհեստական ​​շարժումներով նրանք նույնիսկ կարողացել են շրջանցել կենդանի լինելու հայտնաբերման գործառույթը, որը մշակվել է հենց տեսախցիկի առջև իրական մարդ հայտնաբերելու համար։  

Արդյունքը եղավ այնպիսի միջոցների չարտոնված մուտքը, որոնք պետք է օգտագործվեին միայն օրինական շահառուների կողմից, ինչպես նաև Meu INSS հավելվածում աշխատավարձային վարկերի անօրինական հաստատումը՝ օգտագործելով այդ կեղծ ինքնությունները: Այս դեպքը հստակ ցույց տվեց, որ այո, հնարավոր է շրջանցել դեմքի կենսաչափական տվյալները՝ նույնիսկ մեծ և տեսականորեն անվտանգ համակարգերում՝ երբ հասանելի են համապատասխան գործիքները:  

Մասնավոր հատվածում իրավիճակը նույնն է։ 2024 թվականի հոկտեմբերին Դաշնային շրջանի քաղաքացիական ոստիկանությունը իրականացրեց «DeGenerative AI» գործողությունը՝ վերացնելով արհեստական ​​բանականության հավելվածների միջոցով թվային բանկային հաշիվներ կոտրելու մեջ մասնագիտացած մի խումբ։ Հանցագործները ավելի քան 550 փորձ են կատարել կոտրելու հաճախորդների բանկային հաշիվները՝ օգտագործելով արտահոսած անձնական տվյալներ և խորը կեղծ տեխնիկա՝ հաշիվների տերերի պատկերները վերարտադրելու և այդպիսով զոհերի անուններով նոր հաշիվներ բացելու ընթացակարգերը վավերացնելու և բջջային սարքերը ակտիվացնելու համար, կարծես դրանք իրենց պատկանեին։  

Հաշվարկվում է, որ խումբը կարողացել է տեղափոխել մոտ 110 միլիոն ռեալ դոլար ֆիզիկական և իրավաբանական անձանց պատկանող հաշիվների միջոցով՝ լվանալով տարբեր աղբյուրներից ստացված փողերը, նախքան խարդախության մեծ մասը կասեցվել է ներքին բանկային աուդիտների միջոցով։  

Բիոմետրիկ տվյալներից այն կողմ

Բրազիլիայի բանկային ոլորտի համար այս բարձր տեխնոլոգիական խարդախությունների աճը կարմիր դրոշ է բարձրացնում։ Վերջին տասնամյակում բանկերը մեծ ներդրումներ են կատարել հաճախորդներին անվտանգ թվային ալիքներ տեղափոխելու համար՝ դեմքի և մատնահետքերի կենսաչափական տվյալները որպես խարդախության դեմ խոչընդոտներ ընդունելով։  

Սակայն, վերջին խարդախությունների ալիքը ենթադրում է, որ միայն կենսաչափական տվյալներին հույսը դնելը կարող է բավարար չլինել։ Խաբեբաները օգտագործում են մարդկային սխալը և տեխնոլոգիական բացթողումները՝ սպառողներին կեղծելու համար, և սա պահանջում է, որ անվտանգությունը նախագծվի բազմաթիվ մակարդակներով և նույնականացման գործոններով, այլ ոչ թե հույսը դնի մեկ «կախարդական» գործոնի վրա։

Հաշվի առնելով այս բարդ իրավիճակը, փորձագետները համաձայն են մեկ առաջարկության շուրջ. կիրառել բազմագործոն նույնականացման և բազմաշերտ անվտանգության մոտեցումներ: Սա նշանակում է տարբեր տեխնոլոգիաների և ստուգման մեթոդների համատեղում, որպեսզի եթե մեկ գործոնը խափանվի կամ վտանգվի, մյուսները կանխեն խարդախությունը: Կենսաչափական տվյալներն ինքնին մնում են կարևոր տարր. ի վերջո, երբ դրանք լավ են իրականացվում ակտիվության ստուգման և կոդավորման հետ, դրանք մեծապես խոչընդոտում են օպորտունիստական ​​հարձակումներին:  

Այնուամենայնիվ, այն պետք է աշխատի այլ կառավարման համակարգերի հետ համատեղ՝ բջջային հեռախոսին ուղարկվող միանգամյա գաղտնաբառերի կամ PIN կոդերի, օգտատիրոջ վարքագծի վերլուծության՝ այսպես կոչված վարքային կենսաչափության, որը նույնականացնում է մուտքագրման օրինաչափությունները, սարքի օգտագործումը և կարող է ազդանշան տալ, երբ նկատում է, որ հաճախորդը «սովորականից տարբեր կերպ է գործում», և ինտելեկտուալ գործարքների մոնիթորինգի հետ միասին։  

Արհեստական ​​բանականության գործիքները նույնպես օգտագործվում են բանկերին օգնելու համար՝ տեսանյութերում կամ ձայներում խորը ֆեյքի աննշան նշանները նույնականացնելով, օրինակ՝ վերլուծելով աուդիո հաճախականությունները՝ սինթետիկ ձայները հայտնաբերելու կամ սելֆիներում տեսողական աղավաղումներ փնտրելու համար։  

Վերջին հաշվով, բանկային մենեջերների և տեղեկատվական անվտանգության մասնագետների համար ուղերձը հստակ է. չկա որևէ լուծում։ Կենսաչափական տվյալները ապահովել են անվտանգության ավելի բարձր մակարդակ՝ համեմատած ավանդական գաղտնաբառերի հետ, այնքանով, որ խարդախությունները հիմնականում կենտրոնացել են մարդկանց խաբելու, այլ ոչ թե ալգորիթմները կոտրելու վրա։  

Այնուամենայնիվ, խարդախները շահագործում են յուրաքանչյուր բացթողում՝ լինի դա մարդկային, թե տեխնոլոգիական, կենսաչափական համակարգերը խափանելու համար: Համապատասխան արձագանքը ներառում է անընդհատ թարմացվող առաջադեմ տեխնոլոգիաներ և նախաձեռնողական մոնիթորինգ: Միայն նրանք, ովքեր կարող են զարգացնել իրենց պաշտպանությունը նույն արագությամբ, ինչ նոր խարդախությունները ի հայտ են գալիս, կկարողանան լիովին պաշտպանել իրենց հաճախորդներին չարամիտ արհեստական ​​բանականության դարաշրջանում:

Սիլվիո Սոբրեյրա Վիեյրայի կողմից, SVX Consultoria-ի գործադիր տնօրեն և խորհրդատվական բաժնի ղեկավար.