Biometria nie taka bezpieczna. Twoją twarz można zamienić!

Biometria nie taka bezpieczna. Twoją twarz można zamienić!Indywidualne dane biometryczne jak rysy twarzy, linie papilarne, głos czy siatkówka oka miały być antidotum na łatwiejsze do zhakowania loginy i hasła. Jednak już stosowane technologie sprawiają, że można je obejść. Przestępstwa te na razie mają niewielki udział w ogólnej liczbie prób przejęcia tożsamości, ale rosną w trzycyfrowym tempie.

Kradzież tożsamości staje się coraz poważniejszym problemem

Przestępstwa polegające na przejęciu tożsamości są coraz poważniejszym problemem pociągającym za sobą ogromne koszty finansowe. Według danych firmy Javelin Strategy and Research w samych Stanach Zjednoczonych wyniosły one w 2021 roku 24 miliardy dolarów i dotyczyły 15 mln klientów, różnych instytucji, głównie finansowych. To prawie o 80 proc. więcej niż w roku poprzednim, a sprzyjała im pandemia, bo znacznie więcej klientów korzystało z transakcji online. Dodać do tego trzeba 24 mld dolarów, które stały się łupem przestępców wskutek oszustw polegających na przejęciu danych osobistych i haseł od nieostrożnych klientów. W sumie więc ofiarami powyższych przestępstw było 42 mln Amerykanów.

Na polu biometrycznej autentykacji najszybciej rosną przestępstwa polegające na zamianie twarzy (face swap attack). W drugiej połowie zeszłego roku ich liczba była o 295 proc. wyższa niż w pierwszej, podaje specjalizująca się w zwalczaniu przestępstw biometrycznych brytyjska firma iProov. W darknecie są już dostępne niedrogie aplikacje (10 dol.) to umożliwiające i nie wymagające specjalnych umiejętności, co oznacza możliwość ich szybkiego rozpowszechnienia. Najprostsze działanie polega na manualnym podłożeniu przed kamerę laptopa lub smarfona innego obrazu twarzy lub jej maski, a program przejmuje i zamienia strumień danych wysyłanych po zrobieniu zdjęcia. Ataki te można jednak wykrywać i zwalczać za pomocą narzędzi weryfikujących oryginalność tożsamości – Presentation Attack Detection (PAD).

Bardziej wyrafinowanym sposobem jest metoda cyfrowego zastrzyku (digital injection) – to wyrafinowane, wysoce skalowalne i powtarzalne cyberataki, które omijają kamerę urządzenia lub są wprowadzane do strumienia danych i dotyczą obrazów 2D, video i kreowania obrazu poprzez deepfake. Ataki te zazwyczaj wykorzystują tzw. emulatory do naśladowania urządzenia użytkownika, takiego jak telefon komórkowy, a także fałszowania metadanych w celu ukrycia źródła ataku. Metoda ta jest już używana nawet pięć razy częściej niż zamiana twarzy.

Technologia deepfake, która także oferowana jest w modelu „as a service” umożliwia obejście takich dodatkowych zabezpieczeń jak wykonywane na żądanie ruchy głowy, mrugnięcie okiem czy uśmiech (tzw. liveness checks). Dzięki temu przestępcy mogą podszywać się pod użytkownika działającego w dobrej wierze i uzyskać nieautoryzowany dostęp do systemów, kont lub założyć nowe. Zaletą tej technologii dla przestępców jest brak konieczności wyrabiania fałszywych dokumentów, bo mogą wykorzystać te przejęte i poddać je video obróbce, w trakcie której można zaprogramować twarzy niektóre ruchy mimiczne, co umożliwia obejście systemów weryfikacji.

Ataki tego typu mają charakter masowy, kiedy przestępcy podejmują od 100 do 200 prób podłożenia fałszywego obrazu twarzy wielu użytkownikom, jednocześnie w różnych geografiach. Dotyczy to zarówno systemów stacjonarnych i mobilnych. Atakowane firmy nie są wybierane przypadkowo, a atak poprzedzony jest weryfikacją podatności firmy i jej zabezpieczeń. Na razie to mniej niż 1 procent wszystkich prób uwierzytelnienia biometrycznego, ale dynamika wzrostu tych przestępstw jest duża i pojawiają się nowe ich wersje polegające na nakładaniu fałszywego obrazu na twarz rzeczywistego użytkownika. Wiele ich przykładów z wykorzystaniem technologii deepfake przedstawia raport Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol) z zeszłego roku pod tytułem Facing New Reality – Law Enforcement and the Challenge of Deepfakes.

Niestety większość osób korzystających z cyfrowego uwierzytelnienia nie ma świadomości dotyczącej istnienia i sposobu funkcjonowania technologii deepfake. Nawet w Wielkiej Brytanii to ponad dwie trzecie. A przestępcy będą coraz bardziej wyrafinowani wykorzystując ją do innych, niż biometryczne działań jak umieszczanie syntetycznych obrazów znanych osób w przestrzeni publicznej i prywatnej w kompromitujących okolicznościach jak sceny pornograficzne, co służyć może szantażowi lub publicznemu wykluczeniu.

Przypadki takie już się zdarzały, a ofiarom tych napaści czasem długo przychodzić pozbyć się infamii. Znany jest nieudany fake prezydenta Żeleńskiego deklarującego kapitulację Ukrainy krótko po rosyjskiej inwazji. Deepfake staje się więc coraz bardziej również orężem politycznym, czy wręcz militarnym, bo można kreować syntetyczne obrazy dowódców wydających fałszywe rozkazy lub wkładać w usta politykom treści, których nigdy nie wypowiedzieli. To także droga do politycznej i społecznej polaryzacji. Analizę tego typu przypadków można znaleźć w raporcie Brookings Institution i Northwestern University pod tytułem Deepfakes and International Conflict. Trzeba jednak zauważyć że deepfake znajduje również mniej inwazyjne zastosowanie w filmach, mediach społecznościowych i metaversie.

Przeciwwagą rozwoju przestępczego wykorzystywania technologii biometrycznych jest ekspansja startupowej branży idtech. W zeszłym roku takich młodych podmiotów zidentyfikowano na świecie ponad 700, a wartość rynku firma Transparency Market Research oszacowała na 44 mld dolarów. Ma on dynamicznie się rozwijać osiągając do roku 2031 średnioroczne tempo wzrostu na poziomie 20 procent. Startupy oferują nie tylko weryfikację autentyczności tożsamości osób w wielu miejscach jak np. lotniska (Clear Secure, Airside), cyfrowe dokumenty (Merit), ale także autentykację dzieł sztuki, a nawet pomiar reakcji publiczności na różnego rodzaju wydarzeniach. Nie brakuje też polskich startupów. Należy do nich Digital Fingerprints specjalizujący się w biometrii behawioralnej, w który zainwestowała Grupa BIK.

Related articles

Mirosław Ciesielski
Mirosław Ciesielski
Wieloletni menedżer sektora bankowego (m.in. GE Capital i GE Money Bank; Bank BPH). Doktor nauk ekonomicznych, wykładowca akademicki – Wyższa Szkoła Bankowa w Gdańsku, Uniwersytet Gdański. Ekspert Związku Przedsiębiorstw Finansowych w Polsce. Publicysta ekonomiczny (obserwatorfinansowy.pl; forsal.pl; interia.pl.; fintek.pl).

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj