Biometria não é suficiente: como fraudes avançadas estão desafiando os bancos

Впровадження біометричних даних у Бразилії вибухнуло в останні роки – 82% бразильців вже використовують біометричні технології для аутентифікації, керовані зручністю та пошуком більшої безпеки в цифрових послугах. Чи то в доступі до банків через розпізнавання облич, чи у використанні відбитків пальців для дозволу платежів, біометричні дані стали “новим CPF” з точки зору особистої ідентифікації, що робить процеси швидшими та інтуїтивно зрозумілішими.  

Однак зростаюча хвиля шахрайства виявила межі цього рішення: лише в січні 2025 року в Бразилії було зафіксовано 1,24 мільйона спроб шахрайства, що на 41,61 т.п.3 т порівняно з попереднім роком – еквівалентно спробі державного перевороту кожні 2,2 секунди. Більшість із цих атак є саме системами цифрової аутентифікації. Дані Serasa Experian показують, що в 2024 році спроби шахрайства з банками та картками зросли на 10,41 тп3Т порівняно з 2023 роком, що становить 53,41 т.п.3т усіх шахрайств, зафіксованих за рік.  

Якби їх не уникнути, ці шахрайства могли б спричинити збитки в розмірі 51,6 мільярдів рупій. Це збільшення відображає зміну обстановки: шахраї розвивають свою тактику швидше, ніж будь-коли. Згідно з опитуванням, проведеним Serasa, половина бразильців (50,7%) стали жертвами цифрового шахрайства в 2024 році, що на 9 процентних пунктів порівняно з попереднім роком, і 54,21 т.п.3Т цих жертв зазнали прямої фінансової шкоди.  

Інший аналіз вказує на збільшення на 45% у цифрових злочинах у 2024 році в країні, причому половина жертв фактично обдурена шахрайством. Зіткнувшись із цими цифрами, спільнота безпеки запитує: якщо біометричні дані обіцяють захистити користувачів та установи, чому шахраї завжди здаються на крок попереду?

Strikes Dribble Facial і Digital Reco

Частина відповіді полягає в творчості, з якою цифрові банди обходять біометричні механізми. За останні місяці з'явилися символічні випадки. У Санта-Катаріні шахрайська група поранила щонайменше 50 осіб, отримавши таємні дані з біометричних даних клієнтів – співробітник телекомунікацій імітував продаж телефонних ліній для фіксації селфі та документів від клієнтів, пізніше за допомогою цих даних відкривав банківські рахунки та позичав позики від імені потерпілих.  

У Мінас-Жерай злочинці пішли далі: вони прикидалися кур’єрами, щоб збирати відбитки пальців і фотографії мешканців, з чіткою метою обійти безпеку банків. Тобто шахраї не тільки атакують саму технологію, але й використовують соціальну інженерію, спонукаючи людей доставити власні біометричні дані, не усвідомлюючи цього. Експерти попереджають, що навіть системи, які вважаються надійними, можна обдурити.  

Проблема в тому, що популяризація біометричних даних створила хибне відчуття безпеки: користувачі припускають, що, оскільки вона біометрична, аутентифікація непогрішна.  

В установах з менш суворими бар’єрами шахраї досягають успіху, використовуючи відносно прості засоби, такі як фотографії або форми, щоб імітувати фізичні характеристики. Так званий “кремній переворот пальця”, наприклад, став відомий: злочинці приклеюють прозорі плівки до зчитувачів відбитків пальців банкоматів, щоб вкрасти враження клієнта, а потім створити підроблений силіконовий палець цим відбитком пальця, виконуючи необґрунтовані зняття та перекази. Банки стверджують, що вже використовують контрзаходи – датчики, здатні виявляти тепло, імпульс та інші характеристики живого пальця, створюючи марні штучні форми.  

Незважаючи на це, поодинокі випадки цього перевороту показують, що жоден біометричний бар’єр не є повністю захищеним від спроби обійти. Ще одним тривожним вектором є використання укусів соціальної інженерії для отримання селфі або оглядів на обличчя від самих клієнтів. Бразильська федерація банків (Febraban) забила тривогу щодо нового типу шахрайства, під час якого шахраї просять “селфі-підтвердження” жертвам під фальшивим приводом. Наприклад, прикидаючись співробітниками банку чи INSSS, вони просять сфотографувати обличчя “щоб оновити реєстрацію” або видати неіснуючу вигоду – насправді вони використовують це селфі, щоб видати себе за клієнта в системах перевірки обличчя.  

Проста недбалість – наприклад, фотографування на прохання передбачуваного куратора або медичного агента – може надати злочинцям біометричний “ключ” для доступу до рахунків інших людей.  

DeepFakes і AI: новий кордон ударів

Якщо обман людей вже є широко використовуваною стратегією, найрозвиненіші злочинці також обманюють машини. Ось і загрози DeepFake – розширеного маніпулювання голосом та іміджем за допомогою штучного інтелекту – та інших методів цифрової підробки, які мали стрибок витонченості з 2023 по 2025 рік.  

Наприклад, у травні минулого року федеральна поліція розпочала операцію “Face Off” після виявлення схеми, яка обдурила близько 3000 облікових записів з порталу Gov.BR за допомогою False Biometric. Злочинна група застосувала дуже складні методи, щоб видати себе за законних користувачів на платформі уряд.бр, який концентрує доступ до тисяч цифрових державних послуг.

Дослідники виявили, що шахраї використовували комбінацію відео, якими маніпулюють, зображення, змінених ШІ, і навіть гіперреалістичних 3D-масків, щоб обдурити механізм розпізнавання обличчя. Іншими словами, вони моделювали риси обличчя третіх сторін, включаючи померлих, щоб припустити, що особа та доступ до фінансових вигод, пов’язаних із цими обліковими записами. За допомогою штучних миготливих рухів, усміхненої або крутої синхронізованої голови їм вдалося навіть вести дриблінг функціональності виявлення живості, розробленого саме для виявлення, чи є реальна людина перед камерою.  

Результатом став неналежний доступ до сум, які повинні бути викуплені лише реальними бенефіціарами, на додаток до незаконного схвалення позик, наданих у додатку MEU INSS, з використанням цих неправдивих ідентифікаційних даних. Цей випадок чітко показав, що так, можна обійти біометричні дані для обличчя – навіть у великих і теоретично безпечних системах – коли доступні правильні інструменти.  

У приватному секторі ситуація нічим не відрізняється. У жовтні 2024 року цивільна поліція Федерального округу провела операцію “дегенеративного ШІ”, демонтувавши банду, яка спеціалізується на вторгненнях у цифрові банківські рахунки через програми штучного інтелекту. Злочинці зробили понад 550 спроб вторгнення в банківські рахунки клієнтів, використовуючи витік персональних даних і методи DeepFake, щоб відтворити імідж власників рахунків і таким чином підтвердити процедури відкриття нових рахунків від імені жертв і увімкнення мобільних пристроїв, як на їхні.  

Підраховано, що Групі вдалося перемістити близько 110 мільйонів рупій на рахунки фізичних та юридичних осіб, відмиваючи гроші з різних джерел, до того, як більшість шахрайств було заборонено внутрішніми аудитами банків.  

Крім біометричних даних

Для бразильського банківського сектору ескалація цих високотехнологічних ударів викликає попереджувальний сигнал. Протягом останнього десятиліття банки інвестували значні кошти, щоб перемістити клієнтів, щоб захистити цифрові канали, використовуючи біометричні дані для обличчя та цифрових як перешкоди до шахрайства.  

Однак нещодавня хвиля ударів свідчить про те, що покладатися виключно на біометричні дані може бути недостатньо. Шахраї використовують людські невдачі та технологічні прогалини, щоб видавати себе за споживачів, і це вимагає, щоб безпека розглядалася на різних рівнях і факторах аутентифікації, більше не є єдиним “магічним” фактором.

Зіткнувшись із цим складним сценарієм, експерти зближуються з рекомендацією: запровадження багатофакторної аутентифікації та багаторівневих підходів безпеки. Це означає поєднання різних технологій і методів перевірки, щоб, якщо один фактор не вдається або порушений, інші запобігають шахрайству. Сама біометрія залишається важливою частиною – зрештою, коли вона добре реалізована з перевіркою життя (живість) і криптографією, це дуже ускладнює опортуністичні атаки.  

Однак він повинен працювати разом з іншими елементами керування: паролями або одноразовими PIN-кодами, надісланими на мобільний телефон, аналізом поведінки користувачів – так звані поведінкові біометричні дані, які ідентифікують шаблони введення, використання пристрою та можуть бити на сполох, помічаючи, що клієнт “діє інакше, ніж звичайний” – і інтелектуальний моніторинг транзакцій.  

Інструменти AI також використовуються на користь банків, які визначають тонкі сигнали DeepFake у відео чи голосах – наприклад, аналізують звукові частоти для виявлення синтетичних голосів або шукають візуальні спотворення на селфі.  

Зрештою, повідомлення, яке залишається для менеджерів банку та спеціалістів з інформаційної безпеки, зрозумілий: немає срібної кулі. Біометрія принесла кращий рівень безпеки в порівнянні з традиційними паролями – настільки, що удари перейшли в основному, щоб обдурити людей, а не порушувати алгоритми.  

Однак шахраї досліджують кожне порушення, людське чи технологічне, щоб перешкодити біометричним системам. Правильна реакція передбачає передові технології для постійного оновлення та активного моніторингу. Тільки ті, кому вдається розвивати свій захист з тією ж швидкістю, коли з’являються нові удари, зможуть повністю захистити своїх клієнтів в епоху зловмисного штучного інтелекту.

Сільвіо Собрайра Вієйра, генеральний директор та керівник консультування SVX Consulting.