Технологія біометричного шахрайства загрожує банківським системам безпеки

Технологія штучного інтелекту використовується.

У нещодавно викритому в Тай Бінь багатомільярдному гральному угрупованні зловмисники використовували технологію штучного інтелекту (ШІ) для створення фальшивих відео з обличчями, тим самим обходячи біометричну автентифікацію в банківських додатках без безпосередньої участі власника рахунку. Ця витончена тактика викликає тривожне питання: як технології можуть бути використані для обходу, здавалося б, непроникних бар'єрів безпеки?

Згідно з інформацією Управління кримінальних розслідувань поліції провінції Тай Бінь, підрозділ щойно порушив кримінальну справу та висунув звинувачення 21 підсудному, пов'язаним з азартними іграми та відмиванням грошей. Це шокуючий випадок, оскільки це перший випадок у В'єтнамі, коли злочинці використовували штучний інтелект для сприяння незаконній діяльності.

Окрім організації азартних ігор, підозрювані також відмивали гроші, наймаючи людей для відкриття банківських рахунків на свої імена, щоб гравці могли вносити на них гроші. З Тайваню (Китай) вони дистанційно керували комп'ютерами, підключеними до телефонів із попередньо встановленими банківськими програмами у В'єтнамі. Потім гроші переказувалися через кілька рахунків, щоб приховати їх незаконне походження.

Зокрема, для здійснення великих транзакцій на суму 10 мільйонів донгів або більше, які вимагають біометричної автентифікації, ця група використовувала відеозаписи облич власників фальшивих рахунків, згенеровані за допомогою штучного інтелекту, легко обходячи системи безпеки без співпраці зі справжньою людиною.

З'явилася нова шахрайська схема, яка обходить біометричну автентифікацію банків.

Щодо тактики використання технології штучного інтелекту для створення фальшивих відео з обличчями, щоб обійти біометричну автентифікацію в банківських додатках без безпосередньої участі власника рахунку, пан Ву Нгок Сон, керівник технологічного відділу Національної асоціації кібербезпеки, заявив, що справу розслідують правоохоронні органи, і офіційна інформація буде оприлюднена найближчим часом.

З технічної точки зору, пан Сон вважає, що група, найімовірніше, використовувала телефон Android з root-доступом, тобто вони глибоко втрутилися в операційну систему, щоб отримати доступ верхнього рівня до пристрою. Це привілей, який виробники зазвичай блокують для забезпечення безпеки даних і системи. Однак з деякими моделями телефонів, особливо коли вони потрапляють до рук злочинців, root-доступ не є надто складним.

Отримавши контроль над пристроєм, зловмисники можуть встановити віртуальну камеру – програмне забезпечення, яке імітує справжню камеру. Замість запису зображень з фізичної камери, програма отримує сигнали з вже існуючого відеокліпу, який може бути створений за допомогою технології штучного інтелекту. Цей метод може обманом змусити банківські програми повірити, що власник рахунку проходить біометричну автентифікацію, хоча насправді зображення є підробленим.

Що можуть зробити користувачі, щоб захистити себе?

За словами пана Сона, це яскравий приклад того, що сучасна боротьба з шахрайством — це не просто технологічні перегони, а й битва розуму між людьми. Тому, окрім посилення технічних рішень, вкрай важливо, щоб користувачі залишалися пильними та уважними. Він також наголосив, що не всі банківські додатки легко обійти, оскільки багато установ додали розширені рівні захисту для запобігання біометричному спуфінгу. Людям не слід надмірно панікувати, але й не варто розслаблятися.

У розмові з репортером газети «Tri Thuc va Cuoc Song» адвокат Нгуєн Нгок Хунг, голова юридичної фірми Ket Noi (Асоціація адвокатів Ханоя ), заявив, що наразі злочинці використовують багато технологічних хитрощів для фальсифікації біометричних даних, таких як збір зображень обличчя жертв з фотографій, відео або витоків персональних даних в Інтернеті, а потім використання технології deepfake для створення копії обличчя. Вони використовують цю копію, щоб обдурити систему біометричної автентифікації банків на пристрої жертви або імітованому пристрої, а потім викрасти активи.

Використання шахрайських біометричних технологій для обходу систем автентифікації банківських додатків та крадіжки грошей є високотехнологічним шахрайством, яке може бути переслідувано згідно з в'єтнамським законодавством.

Відповідно, залежно від суми розкрадених коштів, пом'якшувальних та обтяжуючих обставин, а також інших факторів, що впливають на кожну особу та справу, цим особам може загрожувати кримінальне покарання до 20 років позбавлення волі або довічне ув'язнення за злочин «Шахрайське привласнення майна», як це передбачено статтею 174 Кримінального кодексу.

Банки мають чіткий обов'язок створювати та підтримувати достатньо надійні системи безпеки для забезпечення безпеки рахунків клієнтів, особливо під час використання технології біометричної автентифікації. Якщо система атакується або обходиться шахрайською технологією без своєчасного виявлення або механізмів попередження, банк може нести відповідальність за пов'язані з цим збитки, такі як компенсація, якщо можна довести, що вина полягала в технічній організації, процедурах внутрішнього контролю або неналежному попередженні клієнта.

Банки також повинні дотримуватися правових норм щодо кібербезпеки, захисту персональних даних та правил Державного банку В'єтнаму щодо надання послуг електронного банкінгу. Невиконання цих вимог може призвести до адміністративної або навіть цивільної відповідальності потерпілої сторони.

Щоб захистити свої законні права та інтереси й уникнути шахрайства, громадяни також несуть відповідальність за проактивний захист своїх облікових записів, утримуючись від введення особистої чи біометричної інформації в додатки невідомого походження. Вони не повинні надавати доступ до повідомлень, екранів чи налаштувань з невідомих джерел.

Не поширюйте чіткі зображення відбитків пальців, обличчя чи відео в соціальних мережах. Обмежте використання розпізнавання відбитків пальців/облич у громадських місцях, якщо підозрюєте, що хтось спостерігає за вами або записує ваші дані. Завжди ретельно перевіряйте, коли хтось просить вас відкрити банківський додаток та відсканувати відбиток пальця або обличчя. Якщо ви отримаєте запит на оновлення банківського додатка, перевірте це безпосередньо на офіційному вебсайті банку. Не підтверджуйте транзакції, якщо причина не зрозуміла; ви можете зателефонувати безпосередньо до банку, щоб перевірити ці запити на автентифікацію.

Помітивши ознаки шахрайства, люди повинні повідомляти про це правоохоронним органам та місцевій поліції, щоб винних можна було знайти та вчасно зупинити шахрайство.