Απάτες και μέσω συστημάτων αναγνώρισης προσώπου

Απάτες και μέσω συστημάτων αναγνώρισης προσώπου
62 / 100

Οι τεχνολογίες αναγνώρισης προσώπου έχουν γίνει δημοφιλές εργαλείο για ασφαλή έλεγχο ταυτότητας. Όταν τεχνολογικοί γίγαντες όπως η Apple διέδωσαν την τεχνολογία Face ID για έλεγχο ταυτότητας, η οποία, σε γενικές γραμμές, δεν μπορεί να ξεγελαστεί από φωτογραφίες και κρυπτογραφεί τα δεδομένα των λεπτομερειών του προσώπου των χρηστών, οι ανησυχίες για την ασφάλεια μειώθηκαν σε σημείο που ακόμη και οι τράπεζες και ο ευρύτερος χρηματοπιστωτικός τομέας χρησιμοποιούν πλέον συστήματα αναγνώρισης προσώπου για έλεγχο ταυτότητας.

Ωστόσο, αυτά τα “καλά νέα” σχετικά με την τεχνολογική πρόοδο μπορεί επίσης να δημιουργήσουν τη λανθασμένη εικόνα ότι η τεχνολογία αναγνώρισης προσώπου και ο βιομετρικός έλεγχος ταυτότητας είναι το απόλυτο εργαλείο. Τέρμα οι κωδικοί πρόσβασης, τέρμα οι απάτες, κανείς δεν μπορεί να κλέψει μια τρισδιάστατη εικόνα του προσώπου σας, σωστά;

Στον τομέα της κυβερνοασφάλειας όμως οι εξελίξεις τρέχουν, οπότε αν νομίζετε ότι η τεχνολογία αναγνώρισης προσώπου από μόνη της θα αποτρέψει την εξαπάτηση ή την παραβίαση της συσκευής σας, διαβάστε παρακάτω για να κατανοήσετε τα όρια της και την ασφάλεια που μπορεί να προσφέρει.

Στην τελευταία έκθεση απειλών για το πρώτο εξάμηνο του 2024, οι ερευνητές της παγκόσμιας εταιρίας ψηφιακής ασφάλειας ESET περιγράφουν πώς οι κυβερνοεγκληματίες χρησιμοποιούν ψεύτικες εφαρμογές για κινητά για να αντικαταστήσουν τα δικά τους πρόσωπα με εκείνα των θυμάτων τους, χρησιμοποιώντας υπηρεσίες AI. Η μέθοδος αυτή μπορεί να χρησιμοποιηθεί για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς χρηστών.

Η ισχυρότερη προστασία έγκειται στη χρήση συνδυασμών πολιτικών ασφαλείας – για παράδειγμα, αξιοποιώντας τον έλεγχο ταυτότητας προσώπου με πολυεπίπεδες τεχνολογίες κυβερνοασφάλειας, συμπεριλαμβανομένου του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) που έχει δημιουργηθεί με γνώμονα την πρόληψη, ώστε να αποφεύγονται οι επιθέσεις πριν προλάβουν να προκαλέσουν ζημιά.

Προτιμώμενος τρόπος ελέγχου ταυτότητας
O βιομετρικός έλεγχος ταυτότητας έχει κερδίσει δημοτικότητα τόσο μεταξύ των καταναλωτών όσο και των επιχειρήσεων, κυρίως λόγω της ευκολίας χρήσης. Το 2023, τα βιομετρικά στοιχεία, όπως το δακτυλικό αποτύπωμα ή η σάρωση προσώπου, ήταν οι προτιμώμενες μέθοδοι ελέγχου ταυτότητας ασφαλείας για την πρόσβαση στους online λογαριασμούς, τις εφαρμογές και τις έξυπνες συσκευές των χρηστών. Ο βιομετρικός έλεγχος ταυτότητας χρησιμοποιήθηκε από το 27% των ερωτηθέντων μεταξύ των καταναλωτών σε διάφορες χώρες.

Μια άλλη έρευνα για το 2023 διαπίστωσε ότι σχεδόν το 60% των ερωτηθέντων μεταξύ των ηγετών πληροφορικής και κυβερνοασφάλειας στις Ηνωμένες Πολιτείες ανέφεραν τα βιομετρικά στοιχεία όταν ρωτήθηκαν με τι αντικαθιστούν ή αναμένουν να αντικαταστήσουν τους κωδικούς πρόσβασης στο χώρο εργασίας.

Το 2022, η αγορά για τεχνολογίες αναγνώρισης προσώπου έφτανε τα περίπου 5 δισεκατομμύρια δολάρια και αναμένεται να αυξηθεί, φτάνοντας τα 19,3 δισεκατομμύρια δολάρια μέχρι το 2032.

Από το 2017 που παρουσιάστηκε η τρισδιάστατη χαρτογράφηση προσώπου με κάμερα και λέιζερ της Apple, μεγάλοι παίκτες της αγοράς, όπως η Samsung, εξετάζουν επίσης νέες τεχνολογίες, όπως τα εργαλεία της Metalenz που μπορούν να διαβάσουν πολωμένα φωτόνια και να δημιουργήσουν μια εικόνα ενός προσώπου.

Νέος παράγοντας επίθεσης
Σήμερα, ορισμένες εφαρμογές οικονομικού περιεχομένου απαιτούν από τους χρήστες να καταγράφουν ένα σύντομο βίντεο του προσώπου τους από διάφορες γωνίες χρησιμοποιώντας την μπροστινή κάμερα της κινητής συσκευής τους ως μια μορφή ασφαλούς ταυτοποίησης. Ωστόσο, αυτό που προοριζόταν ως ένα επιπλέον επίπεδο ασφάλειας για την αποτροπή κλοπής ταυτότητας και δόλιων δραστηριοτήτων έγινε πρόσφατα ένας ακόμη τρόπος επίθεσης για τους κυβερνοεγκληματίες.

Η μονάδα Threat Intelligence της Group-IB εντόπισε ένα άγνωστο μέχρι πρότινος trojan iOS GoldPickaxe.iOS, μια απομίμηση νόμιμων εφαρμογών της κυβέρνησης της Ταϊλάνδης, όπως η Digital Pension for Thailand. Αυτές οι κακόβουλες εφαρμογές συλλέγουν έγγραφα ταυτότητας, SMS και δεδομένα αναγνώρισης προσώπου. Πιθανότατα για να εξασφαλιστεί η μεγαλύτερη δυνατή αλίευση προσωπικών δεδομένων, το κακόβουλο λογισμικού GoldPickaxe είναι διαθέσιμο τόσο για πλατφόρμες iOS όσο και για Android. Η Group-IB απέδωσε την εκστρατεία σε μια ομάδα ηλεκτρονικού εγκλήματος με την ονομασία GoldFactory η οποία έχει σχέση με την Κίνα.

Η έκδοση GoldPickaxe για Android διανέμεται μέσω ιστόσελίδων που παριστάνουν το επίσημο κατάστημα Google Play. Για τη διανομή της έκδοσης iOS, οι φορείς απειλών χρησιμοποιούν ένα σύστημα κοινωνικής μηχανικής πολλαπλών σταδίων για να πείσουν τα θύματα να εγκαταστήσουν ένα προφίλ διαχείρισης κινητών συσκευών (MDM), το οποίο επιτρέπει στους κυβερνοεγκληματίες να αποκτήσουν πλήρη έλεγχο της συσκευής iOS του θύματος.

Για παράδειγμα, οι επιτιθέμενοι προσποιήθηκαν ότι είναι υπάλληλοι του Υπουργείου Οικονομικών της Ταϊλάνδης και προσέγγισαν πολίτες ισχυριζόμενοι ότι οι ηλικιωμένοι συγγενείς τους μπορούσαν να λάβουν πρόσθετες συνταξιοδοτικές παροχές. Στη συνέχεια, τα θύματα πείστηκαν να κάνουν κλικ σε συνδέσμους προς τις ιστοσελίδες των κυβερνοεγκληματιών για να κατεβάσουν ένα προφίλ MDM.

Με αυτόν τον τρόπο, οι επιτιθέμενοι μπορούν να έχουν πρόσβαση στα δεδομένα αναγνώρισης προσώπου των θυμάτων χωρίς να παραβιάζουν τα μέτρα προστασίας της ιδιωτικής ζωής της Apple, όπως το Secure Enclave, ένα ασφαλές περιβάλλον που έχει σχεδιαστεί για τη φύλαξη ευαίσθητων δεδομένων των χρηστών.

ΠΗΓΗ-ΑΝΑΛΥΤΙΚΑ