生物辨識技術還不夠:先進的詐欺對銀行的挑戰有多大

近年來,巴西生物辨識技術的採用呈爆炸式增長,在便利性和尋求數位服務更安全的推動下,82% 的巴西人已經使用一些生物辨識技術進行身份驗證。無論是透過臉部辨識存取銀行還是使用指紋授權付款,生物辨識技術在個人識別方面已成為"novo CPF",使流程更快、更直觀。  

然而,越來越多的詐欺浪潮暴露了這個解決方案的局限性:僅在2025年1月,巴西就登記了124萬起詐欺企圖,比前一年的10.4%增加了41.6%,相當於每2.2秒發生一次政變企圖。這些攻擊的很大一部分針對數位身分驗證系統。 Serasa Experian 數據顯示,2024 年針對銀行和卡片的詐欺企圖比 2023 年增加了 10.4%,佔當年登記的所有詐欺行為的 53.4%。  

如果無法避免,這些詐欺行為可能會造成估計 516 億蘭特 $ 的損失。這一增長反映了情況的變化:詐騙者比以往任何時候都更快地發展他們的策略。根據Serasa的一項調查,2024年,一半的巴西人(50.7%)成為數位詐欺的受害者,比前一年增加了9個百分點,其中54.2%遭受了直接經濟損失。  

另一項分析指出,到2024 年,該國的數位犯罪數量將增加45%,一半的受害者實際上被詐騙所欺騙。面對這些數字,安全界問道:如果生物識別技術承諾保護用戶和機構,為什麼詐欺者似乎總是領先一步?

詐騙運球臉部和數位辨識

部分答案在於數位幫派規避生物辨識機制的創造力。近幾個月來,出現了標誌性案例。在聖卡塔琳娜州,一個詐欺組織透過秘密從客戶那裡獲取臉部生物辨識資料(一名電信員工模擬電話線銷售以捕捉自拍照和客戶文件,然後使用這些資料開設銀行帳戶並代表受害者借款),造成至少50 人受傷。  

在米納斯吉拉斯州,犯罪分子走得更遠:假裝是信使來收集居民的指紋和照片,其明確目的是規避銀行的安全。也就是說,詐騙者不僅攻擊技術本身,而且還利用社會工程「誘使人們在不知不覺中交出自己的生物辨識資料」。專家警告說,即使是被認為強大的系統也可能被愚弄。  

問題是生物辨識技術的普及造成了一種錯誤的安全感:使用者認為,由於它是生物辨識技術,因此身分驗證是絕對正確的。  

在障礙不太嚴格的機構中,詐騙者成功地使用相對簡單的方式,例如照片或模具來模仿身體特徵。例如,所謂的「辣椒手指拍打」已經眾所周知:犯罪分子將透明薄膜粘在電子盒指紋讀取器上以竊取客戶的印刷品,然後用該手指製作假矽膠手指,進行搶劫和不當轉移。班克斯聲稱已經採取了對策(能夠檢測活手指的熱量、脈衝和其他特徵的感測器,使人造模具變得毫無用處)。  

儘管如此,這種騙局的孤立案例表明,沒有任何生物識別屏障可以完全安全地避免試圖規避。另一個令人擔憂的媒介是使用社會工程設備從客戶自己那裡獲取自拍照或臉部檢查。巴西銀行聯合會(Febraban)對一種新型詐欺行為發出了警報,詐騙者以虛假藉口要求受害者進行「自拍確認」。例如,他們假裝是銀行或 INSS 員工,要求提供臉部照片「“更新”註冊或釋放不存在的客戶利益(實際上,在臉部驗證中使用這張自拍照通過臉部系統)。  

一個簡單的疏忽,例如應所謂的送貨員或醫療保健代理人的要求拍照,可以為犯罪分子提供生物識別金鑰來存取他人的帳戶。  

Deepfakes 和人工智慧:詐騙的新領域

如果說欺騙人已經是一種廣泛使用的策略,那麼最先進的犯罪分子也是欺騙機器。這裡進入了深度偽造的威脅,2023 年至 2025 年人工智慧和其他數位偽造技術對語音和影像的先進操縱。  

例如,去年5 月,聯邦警察在發現一項計劃後發起了「Face Off」行動,該計劃使用虛假的面部生物識別技術詐騙了門戶網站Gov。br 的約3000 個帳戶。該犯罪集團應用高度複雜的技術來冒充該平台上的合法用戶 gov。br,集中存取數千種數位公共服務。

調查人員透露,詐騙者結合使用經過操縱的影片、人工智慧修改的圖像,甚至超現實的3D 面具來欺騙臉部辨識引擎。換句話說,他們模擬了包括死者在內的第三方的臉部特徵,「以承擔身份和身份」。透過人工眨眼、微笑或轉動頭部完美同步,他們甚至成功規避了活力檢測的功能,該功能的開發正是為了檢測鏡頭前是否有真人。  

結果是,除了使用這些虛假身份非法批准 My INSS 應用程式中應付的貸款之外,還不當獲取只能由真正受益人贖回的金額。此案有力地暴露了,是的,規避臉部生物辨識技術是可能的(即使在大型且理論上安全的系統中「當你擁有正確的工具時」。  

2024 年10 月,聯邦區民警開展了「去生成人工智慧」行動,瓦解了一個專門透過人工智慧應用程式駭客入侵數位銀行帳戶的團夥。犯罪分子利用洩漏的個人資料和數據,進行了550 多次駭客攻擊客戶銀行帳戶的嘗試。深度偽造技術可以複製帳戶持有人的形象,從而驗證代表受害者開設新帳戶的程序,並使行動裝置像屬於自己的裝置一樣啟用。  

據估計,在大多數詐欺行為被銀行內部審計禁止之前,該集團已成功透過個人和合法帳戶轉移了約 1.1 億蘭特(4.1 億蘭特),從各種來源洗錢。  

超越生物辨識

對巴西銀行業來說,這些高科技詐騙的升級引發了警訊。過去十年,銀行投入大量資金,將客戶遷移到安全數位管道,採用臉部和數位生物辨識技術作為防止詐欺的障礙。  

然而,最近的一波詐騙表明,僅僅依賴生物識別技術可能還不夠。詐騙者利用人類缺陷和技術漏洞來冒充消費者,這要求在多個層面和身份驗證因素上考慮安全性,而不再是單一的「神奇」因素。

在這種複雜的情況下,專家們一致認為:採用多因素身份驗證和多層安全方法。這意味著結合不同的技術和驗證方法,這樣,如果一個因素失敗或受到損害,其他因素就會防止詐欺。生物辨識技術本身仍然是一個重要組成部分(畢竟,如果透過生命驗證(livenity)和加密很好地實施,它會極大地阻礙機會主義攻擊。  

但是,它必須與其他控制項一起運作:發送到手機的一次性密碼或 PIN、用戶行為分析「所謂的行為生物識別技術,可識別打字模式、設備使用情況,並在您注意到客戶時發出警報」與正常情況不同」和交易的智慧監控。  

人工智慧工具也被用於支持銀行,識別視訊或聲音中微妙的深度偽造訊號 - 例如,分析音訊以檢測合成聲音或尋找自拍中的視覺失真。  

最後,銀行經理和資訊安全專業人員留下的訊息很明確:沒有靈丹妙藥。與傳統密碼相比,生物辨識技術帶來了更高水準的安全性,以至於詐騙主要是為了欺騙人們,而不再破壞演算法。  

然而,詐欺者正在利用每一次違規行為,無論是人為的還是技術上的,來阻止生物辨識系統。正確的應對措施涉及不斷更新和主動監控的尖端技術。只有那些能夠在新詐騙出現時以相同速度發展防禦能力的人才能在惡意人工智慧時代充分保護其客戶。

作者:Sylvio Sobreira Vieira,SVX Consultoria 執行長兼首席顧問.