การนำไบโอเมตริกซ์มาใช้ในบราซิลในช่วงไม่กี่ปีที่ผ่านมา – 82% ของชาวบราซิลใช้เทคโนโลยีไบโอเมตริกซ์สำหรับการรับรองความถูกต้องแล้ว โดยได้รับแรงหนุนจากความสะดวกสบายและการค้นหาความปลอดภัยมากขึ้นในบริการดิจิทัล ไม่ว่าจะในการเข้าถึงธนาคารผ่านการจดจำใบหน้าหรือการใช้ลายนิ้วมือเพื่ออนุมัติการชำระเงิน ไบโอเมตริกซ์ก็กลายเป็น “CPF ใหม่” ในแง่ของการระบุตัวตน ทำให้กระบวนการเร็วขึ้นและใช้งานง่ายขึ้น.
อย่างไรก็ตาม กระแสการฉ้อโกงที่เพิ่มขึ้นได้เปิดเผยขีดจำกัดของโซลูชันนี้: ในเดือนมกราคม 2025 เพียงปีเดียว มีการบันทึกความพยายามฉ้อโกง 1.24 ล้านครั้งในบราซิล เพิ่มขึ้น 41.6% เมื่อเทียบกับปีที่แล้ว เทียบเท่ากับความพยายามทำรัฐประหารทุกๆ 2.2 วินาที การโจมตีเหล่านี้ส่วนใหญ่เป็นระบบการตรวจสอบสิทธิ์แบบดิจิทัลอย่างแม่นยำ ข้อมูล SERASA EXPERian แสดงให้เห็นว่าในปี 2024 ความพยายามในการพยายามฉ้อโกงธนาคารและการฉ้อโกงบัตรเพิ่มขึ้น 10.4% เมื่อเทียบกับปี 2023 คิดเป็น 53.4% ของการฉ้อโกงทั้งหมดที่บันทึกไว้ในปีนั้น.
หากไม่หลีกเลี่ยง การฉ้อโกงเหล่านี้อาจทำให้สูญเสีย R$ 51.6 พันล้านโดยประมาณ การเพิ่มขึ้นนี้สะท้อนถึงการเปลี่ยนแปลงของทิวทัศน์: นักต้มตุ๋นกำลังพัฒนากลยุทธ์ของพวกเขาเร็วกว่าที่เคย จากการสำรวจของ Serasa ชาวบราซิลครึ่งหนึ่ง (50.7%) ตกเป็นเหยื่อของการฉ้อโกงทางดิจิทัลในปี 2024 เพิ่มขึ้น 9 เปอร์เซ็นต์เมื่อเทียบกับปีที่แล้ว และ 54.2% ของเหยื่อเหล่านี้ได้รับความเสียหายทางการเงินโดยตรง.
การวิเคราะห์อีกประการหนึ่งชี้ให้เห็นถึงการเพิ่มขึ้น 45% ในอาชญากรรมดิจิทัลในปี 2567 ในประเทศ โดยครึ่งหนึ่งของเหยื่อถูกหลอกลวงอย่างมีประสิทธิภาพ เมื่อต้องเผชิญกับตัวเลขเหล่านี้ คำถามของชุมชนความปลอดภัย: หากไบโอเมตริกซ์สัญญาว่าจะปกป้องผู้ใช้และสถาบัน เหตุใดผู้ฉ้อโกงจึงดูเหมือนก้าวไปข้างหน้าเสมอไปหนึ่งก้าว
ตีลูกและจดจำดิจิตอล
ส่วนหนึ่งของคำตอบอยู่ที่ความคิดสร้างสรรค์ที่แก๊งดิจิทัลหลีกเลี่ยงกลไกทางชีวมิติ ในช่วงไม่กี่เดือนที่ผ่านมา มีกรณีที่เป็นสัญลักษณ์ ในซานตา คาตารินา กลุ่มฉ้อโกงได้รับบาดเจ็บอย่างน้อย 50 คน โดยได้รับข้อมูลลับจากไบโอเมตริกซ์บนใบหน้าของลูกค้า ซึ่งเป็นพนักงานโทรคมนาคมจำลองการขายสายโทรศัพท์เพื่อจับภาพเซลฟี่และเอกสารจากลูกค้า โดยใช้ข้อมูลนี้ในภายหลังเพื่อเปิดบัญชีธนาคารและยืมเงินในนามของเหยื่อ.
ใน Minas Gerais อาชญากรยังดำเนินต่อไป: พวกเขาแสร้งทำเป็นเป็นผู้ส่งเอกสารเพื่อรวบรวมลายนิ้วมือและรูปถ่ายของผู้อยู่อาศัย โดยมีวัตถุประสงค์โดยชัดแจ้งในการหลีกเลี่ยงความปลอดภัยของธนาคาร กล่าวคือ นักต้มตุ๋นไม่เพียงแต่โจมตีเทคโนโลยีเท่านั้น แต่ยังใช้ประโยชน์จากวิศวกรรมสังคมด้วย – ชักจูงให้ผู้คนส่งข้อมูลไบโอเมตริกซ์ของตนเองโดยไม่รู้ตัว ผู้เชี่ยวชาญเตือนว่าแม้แต่ระบบที่ถือว่าแข็งแกร่งก็สามารถถูกหลอกได้.
ปัญหาคือความนิยมของไบโอเมตริกซ์ทำให้เกิดความรู้สึกผิดต่อความปลอดภัย: ผู้ใช้สันนิษฐานว่าเนื่องจากเป็นไบโอเมตริกซ์ การตรวจสอบสิทธิ์นั้นไม่มีข้อผิดพลาด.
ในสถาบันที่มีอุปสรรคที่เข้มงวดน้อยกว่า นักต้มตุ๋นจะประสบความสำเร็จโดยใช้วิธีการที่ค่อนข้างง่าย เช่น ภาพถ่ายหรือแม่พิมพ์เพื่อเลียนแบบลักษณะทางกายภาพ ตัวอย่างเช่น “การทำรัฐประหารด้วยซิลิโคน” กลายเป็นที่รู้จัก: อาชญากรกาวฟิล์มโปร่งใสกับเครื่องอ่านลายนิ้วมือของ ATM เพื่อขโมยความประทับใจของลูกค้าและสร้างนิ้วปลอมด้วยลายนิ้วมือนั้นทำการถอนและถ่ายโอน ธนาคารอ้างว่าใช้มาตรการตอบโต้อยู่แล้ว – เซ็นเซอร์ที่สามารถตรวจจับความร้อน พัลส์ และลักษณะอื่นๆ ของนิ้วที่มีชีวิต ทำให้แม่พิมพ์เทียมที่ไร้ประโยชน์.
ถึงกระนั้น กรณีที่แยกได้ของการรัฐประหารนี้แสดงให้เห็นว่าไม่มีสิ่งกีดขวางทางชีวมิติใดที่ปลอดภัยโดยสิ้นเชิงจากการพยายามหลีกเลี่ยง เวกเตอร์ที่น่ากังวลอีกประการหนึ่งคือการใช้เหล็กไนทางวิศวกรรมเพื่อขอเซลฟี่หรือการตรวจใบหน้าจากลูกค้าเอง สหพันธ์ธนาคารแห่งบราซิล (FEBRABAN) ส่งเสียงเตือนสำหรับการฉ้อโกงรูปแบบใหม่ที่ผู้หลอกลวงขอ “การยืนยันการยืนยัน” แก่ผู้ที่ตกเป็นเหยื่อโดยอ้างว่าเป็นเท็จ ตัวอย่างเช่น การแสร้งทำเป็นเป็นพนักงานธนาคารหรือพนักงานของ INSS พวกเขาขอรูปถ่ายของใบหน้า “เพื่ออัปเดตการลงทะเบียน” หรือปล่อยผลประโยชน์ที่ไม่มีอยู่จริง - ที่จริงแล้วพวกเขาใช้ภาพเซลฟี่นี้เพื่อแอบอ้างเป็นลูกค้าในระบบการตรวจสอบใบหน้า.
ความประมาทธรรมดา เช่น การถ่ายภาพตามคำร้องขอของพนักงานส่งของหรือตัวแทนด้านสุขภาพ อาจทำให้อาชญากรมี “คีย์” ไบโอเมตริกซ์เพื่อเข้าถึงบัญชีของผู้อื่น.
Deepfakes และ AI: พรมแดนใหม่แห่งการระเบิด
หากการหลอกลวงผู้คนเป็นกลยุทธ์ที่ใช้กันอย่างแพร่หลายอยู่แล้ว อาชญากรที่ก้าวหน้าที่สุดก็หลอกลวงเครื่องจักรเช่นกัน ภัยคุกคามของ Deepfake มาถึงแล้ว - การจัดการเสียงและภาพขั้นสูงโดยปัญญาประดิษฐ์ - และเทคนิคการปลอมแปลงดิจิทัลอื่น ๆ ที่มีความซับซ้อนอย่างก้าวกระโดดตั้งแต่ปี 2023 ถึง 2025.
ตัวอย่างเช่น เมื่อเดือนพฤษภาคมที่ผ่านมา ตำรวจสหพันธรัฐได้เปิดตัวปฏิบัติการ “เผชิญหน้า” หลังจากระบุโครงการที่หลอกลวงบัญชีประมาณ 3,000 บัญชีจากพอร์ทัล Gov.BR โดยใช้ไบโอเมตริกซ์บนใบหน้าที่ผิดพลาด กลุ่มอาชญากรใช้เทคนิคที่ซับซ้อนสูงเพื่อวางตัวเป็นผู้ใช้ที่ถูกต้องตามกฎหมายบนแพลตฟอร์ม Please provide the text from gov.br that you would like translated. "gov.br" is just a domain name, not a piece of text., ซึ่งเน้นการเข้าถึงบริการสาธารณะดิจิทัลหลายพันรายการ.
ผู้วิจัยเปิดเผยว่านักต้มตุ๋นใช้วิดีโอที่ดัดแปลงร่วมกัน รูปภาพที่แก้ไขโดย AI และแม้แต่มาสก์ 3 มิติที่สมจริงแบบไฮเปอร์เพื่อหลอกกลไกการจดจำใบหน้า กล่าวอีกนัยหนึ่ง พวกเขาจำลองลักษณะใบหน้าของบุคคลที่สาม รวมถึงผู้เสียชีวิต เพื่อสมมติตัวตนและเข้าถึงผลประโยชน์ทางการเงินที่เชื่อมโยงกับบัญชีเหล่านั้น ด้วยการเคลื่อนไหวที่กะพริบเทียม การยิ้มหรือหมุนหัวให้ตรงกันอย่างสมบูรณ์ พวกเขายังสามารถเลี้ยงฟังก์ชันการตรวจจับความมีชีวิตชีวาได้ ซึ่งได้รับการพัฒนาขึ้นเพื่อตรวจจับว่ามีบุคคลจริงอยู่หน้ากล้องหรือไม่.
ผลลัพธ์ที่ได้คือการเข้าถึงจำนวนเงินที่ควรแลกโดยผู้รับผลประโยชน์ที่แท้จริงเท่านั้น นอกเหนือจากการอนุมัติเงินกู้ที่ผิดกฎหมายซึ่งฝากไว้ในแอป MEU Inss โดยใช้ข้อมูลประจำตัวเท็จเหล่านี้ กรณีนี้แสดงให้เห็นอย่างชัดเจนว่าใช่ เป็นไปได้ที่จะหลีกเลี่ยงไบโอเมตริกซ์บนใบหน้า แม้แต่ในระบบขนาดใหญ่และปลอดภัยในทางทฤษฎี เมื่อมีเครื่องมือที่เหมาะสม.
ในภาคเอกชนสถานการณ์ไม่ต่างกัน ในเดือนตุลาคม 2024 ตำรวจพลเรือนของเขตสหพันธรัฐได้ดำเนินการปฏิบัติการ “Degenerative AI” โดยรื้อแก๊งที่เชี่ยวชาญในการบุกรุกบัญชีธนาคารดิจิทัลผ่านแอปปัญญาประดิษฐ์ อาชญากรพยายามบุกรุกบัญชีธนาคารของลูกค้ามากกว่า 550 ครั้ง โดยใช้ข้อมูลส่วนบุคคลที่รั่วไหลและเทคนิคการปลอมแปลงเพื่อสร้างภาพลักษณ์ของผู้ถือบัญชี และตรวจสอบขั้นตอนในการเปิดบัญชีใหม่ในนามของเหยื่อและเปิดใช้งานอุปกรณ์เคลื่อนที่ราวกับว่าเป็นของพวกเขา.
คาดว่ากลุ่มบริษัทสามารถย้าย R$ ได้ประมาณ 110 ล้าน R$ ในบัญชีของบุคคลและนิติบุคคล โดยฟอกเงินจากแหล่งต่างๆ ก่อนที่การฉ้อโกงส่วนใหญ่จะถูกห้ามโดยการตรวจสอบภายในของธนาคาร.
นอกจากไบโอเมตริกซ์แล้ว
สำหรับภาคการธนาคารของบราซิล การเพิ่มขึ้นอย่างรวดเร็วของการโจมตีด้วยเทคโนโลยีขั้นสูงเหล่านี้ทำให้เกิดสัญญาณเตือน ธนาคารได้ลงทุนอย่างหนักในช่วงทศวรรษที่ผ่านมาเพื่อย้ายลูกค้าเพื่อรักษาช่องทางดิจิทัล โดยนำไบโอเมตริกซ์บนใบหน้าและดิจิทัลมาใช้เป็นอุปสรรคต่อการฉ้อโกง.
อย่างไรก็ตาม คลื่นของการระเบิดครั้งล่าสุดแสดงให้เห็นว่าการพึ่งพาไบโอเมตริกเพียงอย่างเดียวอาจไม่เพียงพอ นักต้มตุ๋นใช้ประโยชน์จากความล้มเหลวของมนุษย์และช่องว่างทางเทคโนโลยีเพื่อแอบอ้างเป็นผู้บริโภค และสิ่งนี้ต้องการให้มีการคำนึงถึงความปลอดภัยในหลายระดับและปัจจัยของการรับรองความถูกต้อง ไม่ใช่ปัจจัย “มหัศจรรย์” เพียงประการเดียวอีกต่อไป.
เมื่อต้องเผชิญกับสถานการณ์ที่ซับซ้อนนี้ ผู้เชี่ยวชาญจะมาบรรจบกันตามคำแนะนำ: การนำการรับรองความถูกต้องแบบหลายปัจจัยและวิธีการรักษาความปลอดภัยแบบหลายชั้นมาใช้ นี่หมายถึงการรวมเทคโนโลยีและวิธีการตรวจสอบต่างๆ เข้าด้วยกัน เพื่อที่ว่าหากปัจจัยหนึ่งล้มเหลวหรือถูกบุกรุก ปัจจัยอื่นๆ จะป้องกันการฉ้อโกง ไบโอเมตริกซ์เองยังคงเป็นส่วนสำคัญ เพราะเมื่อใช้งานอย่างดีกับ Life Check (Liveness) และการเข้ารหัส มันทำให้การโจมตีที่ฉวยโอกาสเป็นเรื่องยากมาก.
อย่างไรก็ตาม จะต้องทำงานร่วมกับการควบคุมอื่นๆ: รหัสผ่านหรือ PIN แบบใช้ครั้งเดียวที่ส่งไปยังโทรศัพท์มือถือ การวิเคราะห์พฤติกรรมของผู้ใช้ - ไบโอเมตริกเชิงพฤติกรรมที่เรียกว่า ซึ่งระบุรูปแบบการพิมพ์ การใช้อุปกรณ์ และอาจส่งเสียงเตือนโดยสังเกตเห็นลูกค้า “ทำหน้าที่แตกต่างจากปกติ” และการตรวจสอบธุรกรรมอัจฉริยะ.
เครื่องมือ AI ยังถูกใช้เพื่อสนับสนุนธนาคาร โดยระบุสัญญาณ deepfake ที่ละเอียดอ่อนในวิดีโอหรือเสียง ตัวอย่างเช่น การวิเคราะห์ความถี่เสียงเพื่อตรวจจับเสียงสังเคราะห์หรือมองหาการบิดเบือนภาพในภาพเซลฟี่.
ในท้ายที่สุด ข้อความที่ยังคงอยู่สำหรับผู้จัดการธนาคารและผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลนั้นชัดเจน: ไม่มีกระสุนเงิน ไบโอเมตริกซ์นำความปลอดภัยในระดับที่เหนือกว่าเมื่อเทียบกับรหัสผ่านแบบเดิม มากเสียจนการระเบิดที่อพยพไปส่วนใหญ่เพื่อหลอกลวงผู้คน ไม่ทำลายอัลกอริธึมอีกต่อไป.
อย่างไรก็ตาม ผู้ฉ้อโกงกำลังสำรวจทุกการละเมิด ไม่ว่าจะเป็นมนุษย์หรือเทคโนโลยี เพื่อขัดขวางระบบไบโอเมตริกซ์ การตอบสนองที่เหมาะสมเกี่ยวข้องกับเทคโนโลยีที่ทันสมัยในการอัปเดตและการตรวจสอบเชิงรุกอย่างต่อเนื่อง เฉพาะผู้ที่จัดการเพื่อพัฒนาการป้องกันของพวกเขาด้วยความเร็วเท่าๆ กับการโจมตีครั้งใหม่เท่านั้นที่จะสามารถปกป้องลูกค้าของตนได้อย่างเต็มที่ในยุคของปัญญาประดิษฐ์ที่เป็นอันตราย.
By Sylvio Sobreira Vieira, CEO & Head Consulting at SVX Consultoria.
