การนำไบโอเมตริกส์มาใช้อย่างแพร่หลายในบราซิลในช่วงไม่กี่ปีที่ผ่านมา โดยชาวบราซิล 82% ใช้เทคโนโลยีไบโอเมตริกส์ในรูปแบบใดรูปแบบหนึ่งเพื่อการยืนยันตัวตน ซึ่งขับเคลื่อนด้วยความสะดวกสบายและการแสวงหาความปลอดภัยที่มากขึ้นในบริการดิจิทัล ไม่ว่าจะเป็นการเข้าถึงธนาคารผ่านระบบจดจำใบหน้าหรือการใช้ลายนิ้วมือเพื่ออนุมัติการชำระเงิน ไบโอเมตริกส์ได้กลายเป็น "CPF" (บัตรประจำตัวผู้เสียภาษีอากรของบราซิล) รูปแบบใหม่ในแง่ของการระบุตัวตนส่วนบุคคล ทำให้กระบวนการต่างๆ รวดเร็วและใช้งานง่ายยิ่งขึ้น
อย่างไรก็ตาม กระแสการฉ้อโกงที่เพิ่มมากขึ้นได้เผยให้เห็นข้อจำกัดของโซลูชันนี้ โดยในเดือนมกราคม 2568 เพียงปีเดียว มีการบันทึกการพยายามฉ้อโกง 1.24 ล้านครั้งในบราซิล ซึ่งเพิ่มขึ้น 41.6% เมื่อเทียบกับปีก่อนหน้า หรือคิดเป็นความพยายามหลอกลวง 1 ครั้งทุก 2.2 วินาที การโจมตีส่วนใหญ่มุ่งเป้าไปที่ระบบยืนยันตัวตนดิจิทัลโดยเฉพาะ ข้อมูลจาก Serasa Experian แสดงให้เห็นว่าในปี 2567 การพยายามฉ้อโกงธนาคารและบัตรเครดิตเพิ่มขึ้น 10.4% เมื่อเทียบกับปี 2566 คิดเป็น 53.4% ของการฉ้อโกงทั้งหมดที่บันทึกไว้ในปีนั้น
หากไม่สามารถป้องกันการทุจริตเหล่านี้ได้ ความเสียหายอาจสูงถึง 51.6 พันล้านเรียลบราซิล การเพิ่มขึ้นนี้สะท้อนให้เห็นถึงสถานการณ์ที่เปลี่ยนแปลงไป เหล่ามิจฉาชีพกำลังพัฒนากลยุทธ์อย่างรวดเร็วกว่าที่เคย จากผลสำรวจของ Serasa พบว่าชาวบราซิลครึ่งหนึ่ง (50.7%) ตกเป็นเหยื่อของการฉ้อโกงทางดิจิทัลในปี 2567 ซึ่งเพิ่มขึ้น 9 จุดเปอร์เซ็นต์เมื่อเทียบกับปีก่อนหน้า และ 54.2% ของเหยื่อเหล่านี้ประสบกับความสูญเสียทางการเงินโดยตรง
การวิเคราะห์อีกชิ้นหนึ่งชี้ว่าอาชญากรรมดิจิทัลในประเทศเพิ่มขึ้น 45% ในปี 2567 โดยครึ่งหนึ่งของเหยื่อถูกหลอกลวงด้วยกลโกงเหล่านี้ เมื่อพิจารณาจากตัวเลขเหล่านี้ ชุมชนด้านความปลอดภัยจึงตั้งคำถามว่า หากไบโอเมตริกซ์สัญญาว่าจะปกป้องผู้ใช้และสถาบันต่างๆ แล้ว เหตุใดผู้ฉ้อโกงจึงดูเหมือนจะก้าวล้ำหน้าอยู่เสมอ
การหลอกลวงเพื่อหลีกเลี่ยงการจดจำใบหน้าและลายนิ้วมือ
ส่วนหนึ่งของคำตอบอยู่ที่ความคิดสร้างสรรค์ที่แก๊งดิจิทัลใช้หลบเลี่ยงกลไกไบโอเมตริกซ์ ในช่วงไม่กี่เดือนที่ผ่านมา มีกรณีตัวอย่างที่เห็นได้ชัดเกิดขึ้น ที่ซานตาคาตารีนา กลุ่มมิจฉาชีพได้ฉ้อโกงประชาชนอย่างน้อย 50 คน ด้วยการแอบขโมยข้อมูลไบโอเมตริกซ์ใบหน้าจากลูกค้า โดยพนักงานโทรคมนาคมคนหนึ่งได้จำลองการขายโทรศัพท์เพื่อถ่ายภาพเซลฟี่และเอกสารจากลูกค้า แล้วนำข้อมูลนี้ไปใช้เปิดบัญชีธนาคารและกู้ยืมเงินในนามของเหยื่อในภายหลัง
ในรัฐมีนัสเชไรส์ อาชญากรยิ่งไปกว่านั้น พวกเขาปลอมตัวเป็นพนักงานส่งของไปรษณีย์เพื่อเก็บลายนิ้วมือและรูปถ่ายจากผู้อยู่อาศัย โดยมีจุดประสงค์เพื่อหลบเลี่ยงระบบรักษาความปลอดภัยของธนาคาร กล่าวอีกนัยหนึ่ง เหล่ามิจฉาชีพไม่เพียงแต่โจมตีเทคโนโลยีเท่านั้น แต่ยังใช้ประโยชน์จากกลวิธีทางสังคม ชักจูงให้ผู้คนเปิดเผยข้อมูลไบโอเมตริกซ์ของตนเองโดยไม่รู้ตัว ผู้เชี่ยวชาญเตือนว่าแม้แต่ระบบที่ถือว่าแข็งแกร่งก็อาจถูกหลอกได้
ปัญหาคือ การเผยแพร่ข้อมูลไบโอเมตริกส์ทำให้เกิดความรู้สึกปลอดภัยแบบผิดๆ กล่าวคือ ผู้ใช้มักคิดว่าการตรวจสอบความถูกต้องนั้นไม่มีข้อผิดพลาด เนื่องจากเป็นข้อมูลไบโอเมตริกส์
ในสถาบันที่มีมาตรการรักษาความปลอดภัยที่ไม่เข้มงวด เหล่ามิจฉาชีพมักจะประสบความสำเร็จด้วยการใช้วิธีการที่ค่อนข้างง่าย เช่น การใช้รูปถ่ายหรือแม่พิมพ์เพื่อเลียนแบบลักษณะทางกายภาพ ยกตัวอย่างเช่น กลโกงที่เรียกว่า "การหลอกลวงด้วยนิ้วซิลิโคน" ได้กลายเป็นที่รู้จักอย่างกว้างขวาง อาชญากรจะติดฟิล์มใสเข้ากับเครื่องอ่านลายนิ้วมือบนตู้เอทีเอ็มเพื่อขโมยลายนิ้วมือของลูกค้า จากนั้นจึงสร้างนิ้วซิลิโคนปลอมขึ้นมาจากลายนิ้วมือนั้น ทำให้เกิดการถอนเงินและโอนเงินโดยไม่ได้รับอนุญาต ธนาคารต่างๆ อ้างว่าได้ใช้มาตรการรับมืออยู่แล้ว นั่นคือเซ็นเซอร์ที่สามารถตรวจจับความร้อน ชีพจร และลักษณะอื่นๆ ของนิ้วมือที่มีชีวิต ทำให้แม่พิมพ์เทียมไร้ประโยชน์
อย่างไรก็ตาม กรณีที่เกิดขึ้นเป็นครั้งคราวของการหลอกลวงนี้แสดงให้เห็นว่าไม่มีอุปสรรคทางชีวมิติใดที่ปลอดภัยอย่างสมบูรณ์จากความพยายามหลีกเลี่ยง อีกปัจจัยที่น่ากังวลคือการใช้กลวิธีทางวิศวกรรมสังคมเพื่อขอรูปเซลฟี่หรือการสแกนใบหน้าจากลูกค้าเอง สหพันธ์ธนาคารแห่งบราซิล (Febraban) ได้ส่งสัญญาณเตือนภัยเกี่ยวกับการฉ้อโกงรูปแบบใหม่ที่มิจฉาชีพขอ "รูปเซลฟี่ยืนยันตัวตน" จากเหยื่อภายใต้การหลอกลวง ตัวอย่างเช่น การแอบอ้างเป็นพนักงานธนาคารหรือ INSS (สถาบันประกันสังคมแห่งบราซิล) พวกเขาขอรูปถ่ายใบหน้า "เพื่ออัปเดตการลงทะเบียน" หรือขอสวัสดิการที่ไม่มีอยู่จริง ซึ่งในความเป็นจริงแล้ว พวกเขาใช้รูปเซลฟี่นี้เพื่อปลอมตัวเป็นลูกค้าในระบบยืนยันใบหน้า
การละเลยเล็กๆ น้อยๆ เช่น การถ่ายรูปตามคำขอของผู้ส่งของหรือเจ้าหน้าที่สาธารณสุข อาจทำให้ผู้ร้ายสามารถเข้าถึง "กุญแจ" ไบโอเมตริกซ์ในการเข้าถึงบัญชีของบุคคลอื่นได้
Deepfakes และ AI: แนวหน้าใหม่ของการหลอกลวง
แม้ว่าการหลอกลวงผู้คนจะเป็นกลยุทธ์ที่ใช้กันอย่างแพร่หลายอยู่แล้ว แต่อาชญากรที่มีความซับซ้อนมากขึ้นก็กำลังหลอกลวงด้วยเครื่องจักรเช่นกัน นี่คือที่มาของภัยคุกคามจากดีปเฟก ซึ่งเป็นการดัดแปลงเสียงและภาพขั้นสูงด้วยปัญญาประดิษฐ์ และเทคนิคการปลอมแปลงดิจิทัลอื่นๆ ซึ่งเทคนิคเหล่านี้ได้พัฒนาอย่างก้าวกระโดดจากปี 2023 ถึงปี 2025
ยกตัวอย่างเช่น เมื่อเดือนพฤษภาคมที่ผ่านมา ตำรวจสหพันธรัฐได้เปิดปฏิบัติการ "Face Off" หลังจากตรวจพบแผนการฉ้อโกงบัญชีผู้ใช้ประมาณ 3,000 บัญชีบนพอร์ทัล Gov.br โดยใช้ข้อมูลไบโอเมตริกซ์ใบหน้าปลอม กลุ่มอาชญากรนี้ใช้เทคนิคที่ซับซ้อนมากเพื่อปลอมแปลงตัวตนเป็นผู้ใช้งานจริงบน gov.br ซึ่งรวมศูนย์การเข้าถึงบริการสาธารณะดิจิทัลหลายพันรายการ
นักสืบเปิดเผยว่ามิจฉาชีพใช้การผสมผสานระหว่างวิดีโอที่ถูกตัดต่อ ภาพที่ AI ปรับแต่ง และแม้แต่หน้ากากสามมิติที่สมจริงเกินจริง เพื่อหลอกลวงระบบจดจำใบหน้า กล่าวอีกนัยหนึ่ง พวกเขาจำลองใบหน้าของบุคคลภายนอก รวมถึงผู้เสียชีวิต เพื่อปลอมแปลงตัวตนและเข้าถึงสิทธิประโยชน์ทางการเงินที่เชื่อมโยงกับบัญชีเหล่านั้น ด้วยการเคลื่อนไหวเทียมที่สอดประสานกันอย่างสมบูรณ์แบบ เช่น การกระพริบตา การยิ้ม หรือการหันศีรษะ พวกเขายังสามารถหลบเลี่ยงฟังก์ชันการตรวจจับความมีชีวิต ซึ่งถูกพัฒนาขึ้นเพื่อตรวจจับว่ามีคนอยู่หน้ากล้องจริงหรือไม่
ผลที่ตามมาคือการเข้าถึงเงินทุนโดยไม่ได้รับอนุญาต ซึ่งควรจะต้องแลกรับเฉพาะผู้รับผลประโยชน์ที่ถูกต้องตามกฎหมายเท่านั้น รวมถึงการอนุมัติสินเชื่อเงินเดือนผ่านแอปพลิเคชัน Meu INSS อย่างผิดกฎหมายโดยใช้ข้อมูลปลอมเหล่านี้ กรณีนี้แสดงให้เห็นอย่างชัดเจนว่า เป็นไปได้ที่จะหลีกเลี่ยงการใช้ข้อมูลไบโอเมตริกซ์ใบหน้า แม้ในระบบขนาดใหญ่ที่มีความปลอดภัยในทางทฤษฎี หากมีเครื่องมือที่เหมาะสม
ในภาคเอกชน สถานการณ์ก็ไม่ต่างกัน ในเดือนตุลาคม 2567 ตำรวจพลเรือนประจำเขตปกครองกลางได้ดำเนินปฏิบัติการ "DeGenerative AI" เพื่อทลายแก๊งที่เชี่ยวชาญการแฮ็กบัญชีธนาคารดิจิทัลโดยใช้แอปพลิเคชันปัญญาประดิษฐ์ อาชญากรกลุ่มนี้ได้พยายามแฮ็กบัญชีธนาคารของลูกค้ามากกว่า 550 ครั้ง โดยใช้ข้อมูลส่วนบุคคลที่รั่วไหลและเทคนิค Deepfake เพื่อจำลองภาพของเจ้าของบัญชี และตรวจสอบขั้นตอนการเปิดบัญชีใหม่ในชื่อของเหยื่อและเปิดใช้งานอุปกรณ์มือถือราวกับว่าเป็นของเหยื่อเอง
คาดว่ากลุ่มดังกล่าวสามารถโอนเงินได้ราว 110 ล้านเรอัลบราซิลผ่านบัญชีของบุคคลและนิติบุคคล เพื่อฟอกเงินจากแหล่งต่างๆ ก่อนที่การฉ้อโกงส่วนใหญ่จะถูกหยุดโดยการตรวจสอบภายในของธนาคาร
เหนือกว่าไบโอเมตริกซ์
สำหรับภาคธนาคารของบราซิล การที่กลโกงทางเทคโนโลยีขั้นสูงเหล่านี้ทวีความรุนแรงขึ้นถือเป็นสัญญาณเตือนภัย ธนาคารต่างๆ ได้ลงทุนอย่างหนักในช่วงทศวรรษที่ผ่านมาเพื่อย้ายลูกค้าไปยังช่องทางดิจิทัลที่ปลอดภัย โดยนำข้อมูลไบโอเมตริกซ์ใบหน้าและลายนิ้วมือมาใช้เป็นเกราะป้องกันการทุจริต
อย่างไรก็ตาม กระแสการหลอกลวงที่เกิดขึ้นล่าสุดชี้ให้เห็นว่าการพึ่งพาข้อมูลชีวภาพเพียงอย่างเดียวอาจไม่เพียงพอ เหล่ามิจฉาชีพใช้ประโยชน์จากความผิดพลาดของมนุษย์และช่องโหว่ทางเทคโนโลยีเพื่อปลอมตัวเป็นผู้บริโภค ซึ่งทำให้ระบบรักษาความปลอดภัยต้องได้รับการออกแบบให้มีระดับและปัจจัยการยืนยันตัวตนที่หลากหลาย แทนที่จะพึ่งพาปัจจัย "วิเศษ" เพียงปัจจัยเดียวอีกต่อไป
ในสถานการณ์ที่ซับซ้อนเช่นนี้ ผู้เชี่ยวชาญเห็นพ้องต้องกันในคำแนะนำข้อหนึ่ง นั่นคือ การใช้การยืนยันตัวตนแบบหลายปัจจัยและวิธีการรักษาความปลอดภัยแบบหลายชั้น ซึ่งหมายถึงการผสมผสานเทคโนโลยีและวิธีการตรวจสอบที่แตกต่างกัน เพื่อป้องกันไม่ให้ปัจจัยหนึ่งล้มเหลวหรือถูกบุกรุก ปัจจัยอื่นๆ จะป้องกันการฉ้อโกงได้ ตัวไบโอเมตริกซ์เองยังคงเป็นองค์ประกอบสำคัญ เพราะเมื่อนำไปประยุกต์ใช้ควบคู่กับการตรวจสอบความมีชีวิตและการเข้ารหัสข้อมูล ไบโอเมตริกซ์จะช่วยป้องกันการโจมตีแบบฉวยโอกาสได้อย่างมาก
อย่างไรก็ตาม จะต้องทำงานร่วมกับการควบคุมอื่นๆ เช่น รหัสผ่านครั้งเดียวหรือ PIN ที่ส่งไปยังโทรศัพท์มือถือ การวิเคราะห์พฤติกรรมของผู้ใช้ ซึ่งเรียกว่าไบโอเมตริกส์เชิงพฤติกรรม ที่ระบุรูปแบบการพิมพ์ การใช้งานอุปกรณ์ และสามารถส่งเสียงเตือนเมื่อตรวจพบว่าลูกค้า "มีพฤติกรรมแตกต่างไปจากปกติ" และการตรวจสอบธุรกรรมอัจฉริยะ
เครื่องมือ AI ยังถูกนำมาใช้เพื่อช่วยเหลือธนาคารต่างๆ โดยระบุสัญญาณที่ละเอียดอ่อนของ deepfake ในวิดีโอหรือเสียง เช่น วิเคราะห์ความถี่เสียงเพื่อตรวจจับเสียงสังเคราะห์หรือมองหาการบิดเบือนภาพในเซลฟี่
ท้ายที่สุดแล้ว ข้อความสำหรับผู้บริหารธนาคารและผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลนั้นชัดเจน นั่นคือ ไม่มีทางลัดสู่ความสำเร็จ ไบโอเมตริกซ์ได้ยกระดับความปลอดภัยให้เหนือกว่ารหัสผ่านแบบเดิมมากเสียจนทำให้การหลอกลวงส่วนใหญ่หันไปหลอกลวงผู้คน แทนที่จะเจาะอัลกอริทึม
อย่างไรก็ตาม เหล่ามิจฉาชีพกำลังใช้ทุกช่องโหว่ ไม่ว่าจะเป็นช่องโหว่ของมนุษย์หรือเทคโนโลยี เพื่อขัดขวางระบบไบโอเมตริกซ์ การตอบสนองที่เหมาะสมคือการพัฒนาเทคโนโลยีล้ำสมัยอย่างต่อเนื่องและการตรวจสอบเชิงรุก เฉพาะผู้ที่สามารถพัฒนาระบบป้องกันได้รวดเร็วเท่าทันกับการหลอกลวงใหม่ๆ เท่านั้นที่จะสามารถปกป้องลูกค้าได้อย่างเต็มที่ในยุคแห่งปัญญาประดิษฐ์อันชั่วร้าย
โดย Sylvio Sobreira Vieira ซีอีโอและหัวหน้าฝ่ายที่ปรึกษาของ SVX Consultoria.
