近年来,巴西的生物识别技术采用激增——82%的巴西人已经使用某种生物识别技术进行身份验证,这一趋势由便利性和对数字服务更高安全性的追求推动。 无论是通过面部识别进行银行访问,还是使用指纹授权支付,生物识别已成为“新身份证”,使流程更快捷、更直观。
然而,日益增长的欺诈浪潮暴露了这一解决方案的局限性:仅在2025年1月,巴西就记录了124万起欺诈尝试,比前一年增长了41.6%——相当于每2.2秒就有一次诈骗尝试。 大部分这些攻击正针对数字认证系统。 Serasa Experian的数据表明,2024年针对银行和信用卡的欺诈尝试比2023年增长了10.4%,占全年所有登记欺诈的53.4%。
如果没有被避免,这些欺诈行为可能造成约516亿雷亚尔的损失。 这种增加反映了局势的变化:骗子们的策略比以往任何时候都在快速演变。 根据Serasa的一项调查,2024年,巴西一半(50.7%)的人遭遇过数字欺诈,比前一年增加了9个百分点,其中54.2%的受害者遭受了直接的经济损失。
另一项分析显示,2024年该国数字犯罪增加了45%,其中一半的受害者实际上被诈骗所欺骗。 面对这些数字,安全界质疑:如果生物识别技术承诺保护用户和机构,为什么欺诈者似乎总是领先一步?
击打绕过面部和指纹识别
部分答案在于数字黑帮如何巧妙绕过生物识别机制的创造力。 在过去的几个月里,出现了具有代表性的案例。 在圣卡塔琳娜,一个欺诈团伙至少欺骗了50人,非法获取客户的面部生物识别数据——一名电信公司员工伪装成销售电话线,捕获客户的自拍和文件,然后用这些数据为受害者开设银行账户和申请贷款。
在米纳斯吉拉斯,罪犯们更进一步:假扮邮政快递员,收集居民的指纹和照片,旨在欺骗银行的安全措施。 也就是说,骗子不仅攻击技术本身,还利用社会工程学——诱导人们在不知不觉中交出自己的生物识别数据。 专家警告,即使被认为强大的系统也可能被欺骗。
问题在于,生物识别技术的普及产生了一种虚假的安全感:用户认为,由于是生物识别,验证是万无一失的。
在障碍较少的机构中,骗子能够利用相对简单的方法取得成功,例如照片或模具来模仿身体特征。 例如,被称为“硅胶手指骗局”的手法变得众所周知:犯罪分子在自动取款机的指纹读取器上粘贴透明薄膜,以窃取客户的指纹,然后用该指纹制作假硅胶手指,进行非法取款和转账。 银行声称已经采用了对策——能够检测热量、脉搏和其他活体指纹特征的传感器,从而使人工模具失效。
然而,个别案例显示,没有任何生物识别屏障能完全避免被试图绕过。 另一个令人担忧的手段是使用社会工程学的策略来获取客户的自拍照或面部扫描。 巴西银行联合会(Febraban)发出了警报,警示一种新型诈骗手法,骗子以虚假借口向受害者索要“确认自拍照”。 例如,他们假扮成银行或社会保险局的工作人员,要求提供一张面部照片“以更新资料”或释放不存在的福利——实际上,他们利用这张自拍照在面部识别系统中冒充客户。
一个简单的疏忽——比如应一个所谓的快递员或卫生人员的要求拍照——可能会为犯罪分子提供访问他人账户的“生物识别钥匙”。
Deepfakes 和人工智能:诈骗的新前沿
欺骗人们已经是一种广泛使用的策略,最先进的犯罪分子也在欺骗机器。 这里包括深度伪造的威胁——由人工智能进行的高级语音和图像操控——以及其他数字伪造技术,从2023年到2025年,其复杂程度显著提升。
例如,去年五月,联邦警察启动了“Face Off”行动,发现一个利用假面部识别技术欺诈约3000个Gov.br门户网站账户的骗局。 犯罪集团采用高度复杂的技术伪装成平台上的合法用户政府网集中访问数千个数字公共服务。
研究人员揭示,骗子们使用了经过操控的视频、由人工智能修改的图像,甚至还使用了超逼真的3D面具,以欺骗面部识别系统。 换句话说,他们模拟第三方的面部特征——包括已故人士的面孔——以假冒身份并获取与那些账户相关的财务利益。 通过人工控制的眨眼、微笑或转头动作的完美同步,甚至能够绕过专门为检测是否有真实人在摄像头前而开发的活体检测功能。
结果是未经授权访问了本应仅由真正受益人提取的资金,以及通过这些虚假身份在“Meu INSS”应用程序中非法批准了代扣贷款。 这个案例明确地表明,确实可以绕过面部识别技术——即使是在大型且理论上安全的系统中——只要拥有合适的工具。
在私营部门,情况也没有不同。 2024年10月,联邦区民事警察局开展了“DeGenerative AI”行动,破获了一伙专门通过人工智能应用程序入侵数字银行账户的犯罪团伙。 犯罪分子进行了超过550次入侵客户银行账户的尝试,利用泄露的个人数据和深度伪造技术复制存款人的形象,从而验证以受害者名义开设新账户的程序,并将移动设备激活为其使用。
估计该集团已成功洗钱约1.1亿雷亚尔,涉及个人和企业账户,洗净来自各种来源的资金,在大部分欺诈行为被银行内部审计阻止之前。
除了生物识别技术之外
对于巴西银行业来说,这些高科技诈骗的升级发出了警示信号。 银行在过去十年中投入大量资金,将客户迁移到安全的数字渠道,采用面部和指纹生物识别作为防止欺诈的屏障。
然而,最近的诈骗潮表明,仅依赖生物识别可能并不够。 骗子利用人类的漏洞和技术的缺口冒充消费者,这就要求安全措施必须在多个层面和多重认证因素上考虑,而不再依赖单一的“神奇”因素。
面对这种复杂的局面,专家们一致建议:采用多因素认证和多层次安全措施。 这意味着结合不同的技术和验证方法,以便如果某个因素失败或受到威胁,其他措施可以防止欺诈。 生物识别技术本身仍然是一个重要环节——毕竟,当结合活体检测(liveness)和加密技术得当实施时,可以大大减少 opportunistic 攻击。
然而,必须与其他控制措施配合使用:发送到手机的一次性密码或PIN码、用户行为分析——即所谓的行为生物识别,识别打字模式、设备使用情况,并在发现客户“行为异常”时发出警报——以及智能交易监控。
人工智能工具也被银行用来识别深度伪造的细微迹象,例如分析音频频率以检测合成声音,或在自拍照中寻找视觉扭曲。
归根结底,留给银行管理者和信息安全专业人士的讯息很明确:没有灵丹妙药。 生物识别技术在安全性方面优于传统密码——甚至大部分欺诈行为已经转向欺骗用户,而不再是破解算法。
然而,欺诈者正在利用每一个漏洞,无论是人为的还是技术的,以破坏生物识别系统。 适当的回应涉及不断更新的尖端技术和主动监控。 只有能够以同样的速度提升防御能力,才能在恶意人工智能时代全面保护客户。
由SVX咨询公司首席执行官兼咨询主管Sylvio Sobreira Vieira提供.
