Kradzież twarzy w sieci przez cyberprzestępców. Czy jest to możliwe?

Technologie rozpoznawania twarzy stają się coraz bardziej popularnym, chwalonym za wygodę zamiennikiem haseł. Niestety cyberprzestępcy potrafią już kraść dane biometryczne i wykorzystywać sztuczną inteligencję do tworzenia materiałów typu deep fake, aby logować się do naszych kont.

Od kiedy technologiczni giganci, tacy jak np. Apple, spopularyzowali uwierzytelniającą technologię Face ID, której zasadniczo nie można oszukać statycznymi zdjęciami i która szyfruje dane twarzy użytkowników, obawy dotyczące bezpieczeństwa zmalały do tego stopnia, że obecnie nawet niektóre banki używają systemów rozpoznawania twarzy jako formy autoryzacji.

- Nie powinniśmy jednak ulegać złudnemu poczuciu bezpieczeństwa. Rozwój metod cyberprzestępców biegnie równolegle do powstawania nowych metod zabezpieczających. Jak pokazuje najnowszy Raport ESET, cyberprzestępcy potrafią już podszywać się pod nasze twarze. Korzystając ze sztucznej inteligencji, są w stanie na potrzeby zalogowania się zastąpić w aplikacji własną twarz, twarzą swojej ofiary. Dlatego właśnie najsilniejsza ochrona polega na wykorzystaniu kombinacji kilku zabezpieczeń, tj. uwierzytelnienia wieloskładnikowego - ostrzega Kamil Sadkowski, analityk laboratorium antywirusowego ESET.

Łatwo nie znaczy skutecznie

Zabezpieczenia biometryczne zyskały popularność zarówno wśród konsumentów, jak i firm, głównie ze względu na łatwość użytkowania. W 2023 roku metody uwierzytelnienia biometrycznego takie jak skanowanie odcisku palca czy twarzy, były najchętniej wybierane przez użytkowników kont online, aplikacji i urządzeń inteligentnych. Stosowało je 27% respondentów z różnych krajów .

Inne badanie z 2023 roku wykazało, że niemal 60% specjalistów IT i cyberbezpieczeństwa w Stanach Zjednoczonych wymieniło biometrię jako jedną z metod, którą mogliby zastąpić hasła w swoim miejscu pracy . 

Zapotrzebowanie na tego rodzaju usługi jest też widoczne na rynku. W 2022 roku rynek usług rozpoznawania twarzy został oszacowany na około 5 miliardów dolarów i przewiduje się, że będzie rósł, osiągając 19,3 miliarda dolarów do 2032 roku.

Kradzież danych biometrycznych

Niektóre aplikacje finansowe wymagają do bezpiecznego logowania, aby użytkownicy, za pomocą przedniej kamery urządzenia mobilnego, zeskanowali swoją twarz pod różnymi kątami. Jednak to, co miało być dodatkowym zabezpieczeniem przed kradzieżą tożsamości, stało się ostatnio kolejną furtką dla cyberprzestępców.

Dział Threat Intelligence firmy Group-IB odkrył nieznanego wcześniej wirusa (trojan GoldPickaxe.iOS) dla systemu iOS, który imituje legalne tajskie aplikacje rządowe. Te złośliwe aplikacje zbierają dokumenty tożsamości, SMS-y i dane rozpoznawania twarzy.

Wersja wirusa atakująca urządzenia z systemem Android jest dystrybuowana za pośrednictwem stron internetowych podszywających się pod oficjalny sklep Google Play. Aby rozpowszechniać wersję dla iOS, cyberprzestępcy stosują wieloetapowy schemat socjotechniczny, w którym przekonują ofiarę do zainstalowania tzw. profilu MDM, do zarządzania urządzeniami mobilnymi (profil MDM – ang. Mobile Device Management, służy do zarządzania urządzeniami mobilnymi, wykorzystywanymi przez użytkowników i bywa stosowany przez organizacje do monitorowania aktywności i ustawień pracowników). To pozwala imprzejąć kontrolę nad urządzeniem ofiary.

Jakiś czas temu przestępcy podszywali się też pod urzędników z tajskiego Ministerstwa Finansów, zwracając się do obywateli z informacją, że ich starsi krewni kwalifikują się do dodatkowych świadczeń emerytalnych. Ofiary były następnie przekonywane do klikania w linki prowadzące do stron przestępców, aby pobrać profil MDM. Uspokajać nie powinien fakt, że działanie przestępców zostało wykryte tysiące km od Polski, ponieważ dla wirtualnych oszustów i grup cyberprzestępczych internet nie ma granic. 

Tworzenie deep fake'ów

Po zainstalowaniu, GoldPickaxe nakłania ofiarę do nagrania wideo, udając, że jest to konieczne do weryfikacji. Nagranie jest następnie wykorzystywane jako materiał do tworzenia deep fake'ów za pomocą AI.

Samo fałszywe wideo nie wystarczyłoby jednak do oszukania systemów bezpieczeństwa banku. Złośliwe oprogramowanie żąda od ofiary również dokumentów tożsamości i przechwytuje SMS-y. W ten sposób przestępcy zbierają wszystkie niezbędne informacje od ofiary, aby uzyskać dostęp do jej aplikacji bankowej, a następnie z własnych urządzeń logować się na jej konta bankowe i wykradać środki.

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"