Việc áp dụng sinh trắc học đã bùng nổ ở Brazil trong những năm gần đây 82% của người Brazil đã sử dụng một số công nghệ sinh trắc học để xác thực, được thúc đẩy bởi sự tiện lợi và tìm kiếm bảo mật hơn trong các dịch vụ kỹ thuật số. cho dù trong việc truy cập vào ngân hàng thông qua nhận dạng khuôn mặt hay sử dụng dấu vân tay để cho phép thanh toán, sinh trắc học đã trở thành “CPF mới” về nhận dạng cá nhân, làm cho các quy trình nhanh hơn và trực quan hơn.
Tuy nhiên, làn sóng gian lận ngày càng tăng đã phơi bày những giới hạn của giải pháp này: chỉ trong tháng 1 năm 2025,1,24 triệu nỗ lực gian lận đã được đăng ký ở Brazil, tăng 41,6% so với năm trước 10,4% tương đương với một nỗ lực đảo chính cứ sau 2,2 giây.Một phần lớn các cuộc tấn công này nhắm vào các hệ thống xác thực kỹ thuật số. dữ liệu của Serasa Experian cho thấy rằng vào năm 2024 các nỗ lực gian lận chống lại ngân hàng và thẻ đã tăng 10,4% so với năm 2023, đại diện cho 53,4% của tất cả các gian lận được đăng ký trong năm.
Nếu họ không tránh được, những gian lận này có thể đã gây ra tổn thất ước tính trong R$ 51,6 tỷ. mức tăng này phản ánh sự thay đổi của khung cảnh: những kẻ lừa đảo đang phát triển chiến thuật của họ nhanh hơn bao giờ hết.Theo một khảo sát của Serasa, một nửa số người Brazil (50.7%) là nạn nhân của gian lận kỹ thuật số vào năm 2024, tăng 9 điểm phần trăm so với năm trước và 54.2% trong số những nạn nhân này bị thiệt hại tài chính trực tiếp.
Một phân tích khác chỉ ra sự gia tăng 45% trong tội phạm kỹ thuật số vào năm 2024 ở nước này, với một nửa số nạn nhân bị lừa dối một cách hiệu quả bởi những trò gian lận.Đối mặt với những con số này, cộng đồng bảo mật đặt câu hỏi: nếu sinh trắc học hứa hẹn sẽ bảo vệ người dùng và tổ chức, tại sao những kẻ lừa đảo dường như luôn đi trước một bước?
Lừa đảo lừa đảo nhận dạng khuôn mặt và kỹ thuật số
Một phần của câu trả lời nằm ở sự sáng tạo mà các băng nhóm kỹ thuật số phá vỡ cơ chế sinh trắc học.Trong những tháng gần đây, các trường hợp biểu tượng đã xuất hiện.Ở Santa Catarina, một nhóm lừa đảo đã làm bị thương ít nhất 50 người bằng cách bí mật lấy dữ liệu sinh trắc học khuôn mặt từ khách hàng (một nhân viên viễn thông mô phỏng bán hàng qua đường dây điện thoại để chụp ảnh tự sướng và tài liệu của khách hàng, sau đó sử dụng dữ liệu này để mở tài khoản ngân hàng và vay thay mặt nạn nhân.
Trong Minas Gerais, bọn tội phạm còn đi xa hơn: giả làm người đưa thư để thu thập dấu vân tay và ảnh của cư dân, với mục tiêu rõ ràng là phá vỡ an ninh của các ngân hàng. nghĩa là, những kẻ lừa đảo không chỉ tấn công chính công nghệ, mà còn khai thác kỹ thuật xã hội 'bằng cách xúi giục mọi người giao dữ liệu sinh trắc học của riêng họ mà không nhận ra.Các chuyên gia cảnh báo rằng ngay cả những hệ thống được coi là mạnh mẽ cũng có thể bị lừa.
Vấn đề là việc phổ biến sinh trắc học đã tạo ra cảm giác an toàn sai lầm: người dùng cho rằng, vì nó là sinh trắc học nên việc xác thực là không thể sai lầm.
Trong các tổ chức có rào cản ít nghiêm ngặt hơn, những kẻ lừa đảo thành công bằng cách sử dụng các phương tiện tương đối đơn giản, chẳng hạn như ảnh hoặc khuôn để bắt chước các đặc điểm vật lý.Cái gọi là “tát ngón tay hilicone, ví dụ, đã được biết đến: tội phạm dán phim trong suốt vào đầu đọc dấu vân tay hộp điện tử để đánh cắp bản in của khách hàng và sau đó tạo ra một ngón tay silicon giả với ngón tay đó, thực hiện cướp bóc và chuyển giao không đúng cách. Các ngân hàng tuyên bố đã sử dụng các biện pháp đối phó (cảm biến có khả năng phát hiện nhiệt, xung và các đặc điểm khác của ngón tay sống, khiến khuôn nhân tạo trở nên vô dụng.
Tuy nhiên, các trường hợp riêng biệt của trò lừa đảo này cho thấy không có rào cản sinh trắc học nào là hoàn toàn an toàn trước những nỗ lực vượt qua. Một vectơ đáng lo ngại khác là việc sử dụng các thiết bị kỹ thuật xã hội để có được ảnh tự chụp hoặc khám khuôn mặt từ chính khách hàng. Liên đoàn Ngân hàng Brazil (Febraban) đã gióng lên hồi chuông cảnh báo về một loại gian lận mới trong đó những kẻ lừa đảo yêu cầu “xác nhận ảnh tự chụp từ nạn nhân với lý do sai trái. Ví dụ: giả làm nhân viên ngân hàng hoặc INSS, họ yêu cầu chụp ảnh khuôn mặt “để cập nhật” đăng ký hoặc phát hành lợi ích khách hàng không tồn tại (thực tế, hãy sử dụng ảnh tự chụp này để đi qua hệ thống khuôn mặt trong xác minh khuôn mặt.
Một sự giám sát đơn giản như chụp ảnh theo yêu cầu của người giao hàng bị cáo buộc hoặc nhân viên chăm sóc sức khỏe có thể cung cấp cho tội phạm một sinh trắc học” “chìa khóa để truy cập vào tài khoản của người khác.
Deepfakes và AI: biên giới mới của lừa đảo
Nếu lừa dối mọi người đã là một chiến lược được sử dụng rộng rãi, những tên tội phạm tiên tiến nhất cũng đang lừa dối máy móc. ở đây nhập các mối đe dọa của deepfake 2023 đến 2025 thao tác tiên tiến của giọng nói và hình ảnh bằng trí tuệ nhân tạo & kỹ thuật làm giả kỹ thuật số khác.
Tháng 5 năm ngoái, chẳng hạn, Cảnh sát Liên bang đã phát động chiến dịch “Face Off” sau khi xác định một kế hoạch lừa đảo khoảng 3 nghìn tài khoản của cổng thông tin Gov.br bằng cách sử dụng sinh trắc học khuôn mặt giả.Nhóm tội phạm đã áp dụng các kỹ thuật rất tinh vi để mạo danh người dùng hợp pháp trên nền tảng chính phủ.br, tập trung quyền truy cập vào hàng nghìn dịch vụ công kỹ thuật số.
Các nhà điều tra tiết lộ rằng những kẻ lừa đảo đã sử dụng kết hợp các video bị thao túng, hình ảnh thay đổi AI và thậm chí cả mặt nạ 3D siêu thực để lừa công cụ nhận dạng khuôn mặt. Nói cách khác, chúng mô phỏng các đặc điểm khuôn mặt của bên thứ ba bao gồm cả những người đã chết 'để giả định danh tính và truy cập lợi ích tài chính được liên kết với những tài khoản đó.Với việc chớp mắt nhân tạo, mỉm cười hoặc quay đầu được đồng bộ hóa hoàn hảo, chúng thậm chí còn tìm cách phá vỡ chức năng phát hiện sự sống, được phát triển chính xác để phát hiện xem có người thật trước máy ảnh hay không.
Kết quả là truy cập không đúng vào số tiền chỉ nên được mua lại bởi những người thụ hưởng thực sự, ngoài việc phê duyệt bất hợp pháp các khoản vay phải trả trong ứng dụng My INSS bằng cách sử dụng các danh tính giả này. trường hợp này đã mạnh mẽ phơi bày rằng có, có thể phá vỡ sinh trắc học khuôn mặt (ngay cả trong các hệ thống lớn và an toàn về mặt lý thuyết 'Khi bạn có các công cụ phù hợp.
Vào tháng 10 năm 2024, Cảnh sát Dân sự Quận Liên bang đã tiến hành hoạt động “DeGenerative AI”, giải tán một băng nhóm chuyên hack tài khoản ngân hàng kỹ thuật số thông qua ứng dụng trí tuệ nhân tạo. Bọn tội phạm đã thực hiện hơn 550 nỗ lực hack tài khoản ngân hàng của khách hàng, sử dụng dữ liệu cá nhân bị rò rỉ và kỹ thuật deepfake để tái tạo hình ảnh của chủ tài khoản và do đó xác thực các thủ tục mở tài khoản mới thay mặt nạn nhân và kích hoạt các thiết bị di động như thể chúng là của riêng họ.
Người ta ước tính rằng nhóm đã xoay sở để di chuyển khoảng 110 triệu R$ trong các tài khoản cá nhân và pháp lý, rửa tiền từ nhiều nguồn khác nhau, trước khi hầu hết các gian lận bị cấm bởi kiểm toán ngân hàng nội b.
Ngoài sinh trắc học
Đối với ngành ngân hàng Brazil, sự leo thang của những trò gian lận công nghệ cao này đã khơi dậy một tín hiệu cảnh báo. Các ngân hàng đã đầu tư rất nhiều trong thập kỷ qua để di chuyển khách hàng sang các kênh kỹ thuật số an toàn, áp dụng sinh trắc học khuôn mặt và kỹ thuật số làm rào cản chống gian lận.
Tuy nhiên, làn sóng lừa đảo gần đây cho thấy rằng chỉ dựa vào sinh trắc học có thể là không đủ. những kẻ lừa đảo khai thác các lỗ hổng của con người và lỗ hổng công nghệ để mạo danh người tiêu dùng, và điều này đòi hỏi phải nghĩ đến bảo mật ở nhiều cấp độ và các yếu tố xác thực, không còn là một yếu tố “ma thuật” duy nhất.
Trong kịch bản phức tạp này, các chuyên gia hội tụ về một khuyến nghị: áp dụng các phương pháp xác thực đa yếu tố và bảo mật đa lớp.Điều này có nghĩa là kết hợp các công nghệ và phương pháp xác minh khác nhau, để nếu một yếu tố thất bại hoặc bị xâm phạm, những yếu tố khác ngăn chặn gian lận.Bản thân sinh trắc học vẫn là một phần quan trọng (sau tất cả, khi được thực hiện tốt với xác minh cuộc sống (sống) và mã hóa, nó cản trở rất nhiều các cuộc tấn công cơ hội.
Tuy nhiên, nó phải hành động cùng với các điều khiển khác: mật khẩu hoặc mã PIN để sử dụng một lần được gửi đến điện thoại di động, phân tích hành vi của người dùng 'SO-gọi là sinh trắc học hành vi, trong đó xác định các mẫu gõ, sử dụng thiết bị và có thể âm thanh báo động khi bạn nhận thấy một khách hàng “agindo khác với bình thường” & giám sát thông minh của các giao dịch.
Các công cụ AI cũng đang được sử dụng để hỗ trợ các ngân hàng, xác định các tín hiệu deepfake tinh tế trong video hoặc giọng nói - ví dụ: phân tích tần số âm thanh để phát hiện giọng nói tổng hợp hoặc tìm kiếm sự biến dạng hình ảnh trong ảnh tự chụp.
Cuối cùng, thông điệp còn lại cho các nhà quản lý ngân hàng và các chuyên gia bảo mật thông tin là rõ ràng: không có viên đạn bạc. sinh trắc học mang lại một mức độ bảo mật cao hơn so với mật khẩu truyền thống SO nhiều đến nỗi lừa đảo di chuyển phần lớn để lừa dối mọi người, không còn phá vỡ các thuật toán.
Tuy nhiên, những kẻ lừa đảo đang khai thác mọi vi phạm, dù là con người hay công nghệ, để ngăn chặn các hệ thống sinh trắc học.Phản ứng thích hợp liên quan đến công nghệ tiên tiến trong việc cập nhật liên tục và giám sát chủ động.Chỉ những người có thể phát triển khả năng phòng thủ của họ với tốc độ tương tự như các trò gian lận mới xuất hiện mới có thể bảo vệ đầy đủ khách hàng của họ trong thời đại trí tuệ nhân tạo độc hại.
Bởi Sylvio Sobreira Vieira, Giám đốc điều hành & Tư vấn trưởng của SVX Consultoria.
