Technológie na rozpoznávanie tváre sa v poslednom čase stávajú čoraz populárnejším nástrojom na bezpečnú autentifikáciu a sú oceňované pre svoju praktickosť. Keď technologickí giganti, ako je Apple, spopularizovali svoju technológiu Face ID na overovanie pomocou tváre, ktorá sa vo všeobecnosti nedá oklamať statickou fotografiou a šifruje údaje o tvári používateľov, obavy o bezpečnosť sa prirodzene zmenšili do takej miery, že aj banky a širší finančný sektor dnes používajú systémy na rozpoznávanie tváre ako formu autorizácie.
Takéto „dobré správy“ o technologickom pokroku však môžu zároveň vytvárať falošný obraz o biometrickom rozpoznávaní ako o dokonalom nástroji na bezpečnú autentifikáciu. Už žiadne heslá, žiadne podvody, nikto nemôže ukradnúť 3D obraz vašej tváre, no nie?
Čas ani prax v oblasti kybernetickej bezpečnosti nestoja na mieste, takže ak si myslíte, že samotná tvárová biometria zabráni podvodom alebo napadnutiu vášho zariadenia, čítajte ďalej, aby ste pochopili limity ochrany, ktorú vám môže poskytnúť. V najnovšej správe ESET o bezpečnostných hrozbách za prvý polrok 2024 výskumníci spoločnosti ESET opisujú, ako kybernetickí zločinci používajú falošné mobilné aplikácie na výmenu vlastných tvárí za tváre svojich obetí pomocou služieb s využitím umelej inteligencie. Túto metódu môžu použiť na získanie neoprávneného prístupu k účtom obetí.
Najsilnejšia ochrana spočíva vo využívaní kombinácie bezpečnostných prístupov – napríklad tvárovej biometrie s viacvrstvovými bezpečnostnými technológiami vrátane viacfaktorovej autentifikácie (MFA) vytvorenej s ohľadom na prevenciu, vďaka čomu je možné zabrániť útokom skôr, ako stihnú napáchať škody. ESET ponúka ochranu mobilných zariadení pre spotrebiteľov aj firemných zákazníkov, pričom v sebe kombinuje umelú inteligenciu, odborné znalosti a prístup zameraný na prevenciu.
Preferovaný druh bezpečnostného overovania
Biometrické overovanie si získalo popularitu medzi spotrebiteľmi aj podnikmi, najmä vďaka jednoduchému používaniu. V roku 2023 bolo biometrické overovanie, napríklad cez odtlačok prsta alebo skenovanie tváre, najpreferovanejšou metódou bezpečnostnej autentifikácie na prístup k online účtom, aplikáciám a inteligentným zariadeniam používateľov. Biometrické overovanie využívalo 27 percent respondentov spomedzi spotrebiteľov v rôznych krajinách.
Z ďalšieho prieskumu z roku 2023 vyplynulo, že takmer 60 % respondentov spomedzi vedúcich pracovníkov v oblasti IT bezpečnosti v Spojených štátoch uviedlo pri otázke, čím nahrádzajú alebo očakávajú, že nahradia heslá na pracovisku, práve biometriu.
Rozpoznávanie tváre, ktoré je jednou z biometrických metód, odráža dopyt verejnosti po tejto novej technológii. V roku 2022 bol trh odhadnutý na približne 5 miliárd USD a očakáva sa, že do roku 2032 vzrastie na 19,3 miliardy USD.
Od roku 2017, keď spoločnosť Apple predstavila 3D skenovanie tváre založené na využívaní kamery a laserov, ďalší významní hráči na trhu, napríklad Samsung, tiež zvažujú nové technológie. Patria medzi ne aj nástroje spoločnosti Metalenz, ktoré dokážu čítať polarizované fotóny a vytvoriť obraz konkrétnej tváre alebo dokonca zaznamenať krátke video vzoru pokožky.
ODPORÚČANÝ ČLÁNOK
Pozor na falošné nástroje umelej inteligencie. Tieto v sebe skrývajú malvér!
Nový vektor útoku
V súčasnosti niektoré finančné aplikácie vyžadujú, aby používatelia nahrali krátke video svojej tváre z rôznych uhlov pomocou prednej kamery mobilného zariadenia ako formu bezpečnej autentifikácie. Avšak to, čo malo pôvodne predstavovať dodatočnú úroveň ochrany na zabránenie krádeže identity a podvodných činností, sa nedávno stalo ďalším vektorom útoku pre kybernetických zločincov.
Jednotka Group-IB zameraná na informácie o hrozbách objavila doteraz neznámy trójsky kôň pre systém iOS, GoldPickaxe.iOS, ktorý napodobňuje legitímne thajské vládne aplikácie, ako napríklad Digital Pension for Thailand. Tieto škodlivé aplikácie zhromažďujú doklady totožnosti, SMS a dáta z rozpoznávania tváre. Rodina malvéru GoldPickaxe je navrhnutá tak, aby cielila na zariadenia so systémom iOS aj Android a maximalizovala množstvo osobných údajov, ktoré dokáže ukradnúť. Group-IB pripísala túto kampaň čínsky hovoriacej skupine kybernetických zločincov s názvom GoldFactory.
Túto rodinu malvéru detegujú aj bezpečnostné riešenia ESET.
Verzia GoldPickaxe pre Android je distribuovaná prostredníctvom webových stránok, ktoré sa vydávajú za oficiálny obchod Google Play. Na distribúciu verzie pre iOS používajú útočníci viacstupňovú schému sociálneho inžinierstva s cieľom presvedčiť obete, aby si nainštalovali profil správy mobilných zariadení (MDM), ktorý im umožňuje získať úplnú kontrolu nad zariadením obete.
Kybernetickí zločinci sa napríklad vydávali za úradníkov thajského ministerstva financií a oslovovali občanov s tvrdením, že ich starší príbuzní majú nárok na dodatočné dôchodkové dávky. Obete následne presvedčili, aby klikli na odkazy smerujúce na podvodné webové stránky a stiahli si MDM profil.
Útočníci takto dokážu získať prístup k dátam rozpoznávania tváre obetí bez toho, aby prelomili opatrenia spoločnosti Apple na ochranu súkromia, ako je napríklad Secure Enclave, hardvérová bezpečnostná funkcia určená na uchovávanie citlivých údajov používateľov.
ODPORÚČANÝ ČLÁNOK
Impersonifikácia má mnoho podôb. Odhaľte podvodníka skôr, ako vám narobí problémy
Vytváranie falošných deepfake videí
Po inštalácii GoldPickaxe vyzve obeť, aby vo falošnej aplikácii nahrala video ako metódu na potvrdenie svojej identity. Nahrané video je potom použité ako podklad na vytváranie deepfakov prostredníctvom AI služieb určených na výmenu tvárí.
To však nie je všetko, keďže falošné video by samo o sebe nestačilo na oklamanie bezpečnostných a overovacích systémov banky. Malvér takisto vyžaduje doklady totožnosti obete, zachytáva SMS a presmerováva komunikáciu cez proxy server.
GoldPickaxe nevykonáva neoprávnené transakcie z telefónu obete priamo. Namiesto toho zhromaždí všetky potrebné informácie, aby mohol samostatne pristupovať k jej bankovej aplikácii.
Výskumníci z Group-IB predpokladajú, že kybernetickí zločinci používajú na prihlasovanie do bankových účtov svoje vlastné zariadenia, čo potvrdila aj thajská polícia.
Dôležitosť prevencie
Vzhľadom na využívanie call centier, pokročilého malvéru a umelej inteligencie na tvorbu falošných videí je zrejmé, že kybernetickí zločinci do svojich útokov vkladajú určité úsilie. To však neznamená, že takéto hrozby nemožno zastaviť, najmä vďaka premyslenej prevencii.
Začnime so základnými princípmi povedomia o bezpečnosti:
- Vždy sa snažte overiť pravosť tvrdení o nároku na výhry, zľavy alebo, ako v prípade GoldPickaxe, dôchodkové bonusy. Ak niečo znie až príliš dobre na to, aby to bola pravda, pravdepodobne ide o podvod.
- Venujte pozornosť webovým stránkam, ktoré distribuujú mobilné aplikácie, a používajte len oficiálne obchody s aplikáciami.
- Nenechajte sa oklamať podvodnými webovými stránkami. Naučte sa rozpoznávať phishing.
- Zaznamenali ste podozrivú aktivitu na svojom smartfóne? Cez renomovanú bezpečnostnú aplikáciu spustite kontrolu zabezpečenia.
- Po objavení škodlivej aplikácie ju odstráňte a reštartujte telefón. Na zariadení Android môže byť potrebné obnoviť výrobné nastavenia.
Voči phishingu však nikto nie je stopercentne odolný a podvodníkom môžu naletieť dokonca aj IT špecialisti. Na ochranu svojho mobilného zariadenia potrebujete okrem iného aj spoľahlivé bezpečnostné riešenie.
ESET Mobile Security (EMS) využíva proaktívny prístup a dokáže odhaľovať a blokovať hrozby už počas procesu sťahovania, ešte pred samotnou inštaláciou. EMS kontroluje všetky súbory v priečinkoch so sťahovanými súbormi a možno ho použiť aj na skenovanie už existujúcich súborov. ESET Mobile Security Premium ponúka ešte vyššiu úroveň ochrany vďaka funkciám Anti-Phishing, Anti-Theft, Ochrana platieb a Zámok aplikácií.
Nezabudnite, že iba jedna pokročilá metóda overovania bez ohľadu na úroveň jej vyspelosti (dokonca ani v rámci systému iOS, čo je uzavretý systém so zabudovanými bezpečnostnými funkciami) nie je dostatočnou zárukou bezpečnosti. Kybernetickí zločinci sú kreatívni a je dôležité mať zavedené viacúrovňové zabezpečenie v prípadoch, keď sa niektoré vrstvy ochrany dajú obísť.
ODPORÚČANÝ ČLÁNOK
Ako zvýšiť zabezpečenie vášho zariadenia so systémom iOS (1.časť)
Ochrana firemného prostredia
Malvér GoldPickaxe sa doteraz zameriaval len na spotrebiteľov. Podobné hrozby zneužívajúce technológiu rozpoznávania tváre spolu s AI nástrojmi na jej výmenu by sa však mohli potenciálne použiť pri útokoch na finančné oddelenia spoločností alebo na obchodných manažérov.
Dôkazom sú už zaznamenané útoky zahŕňajúce deepfake videá s riadiacimi pracovníkmi, ktoré viedli k obrovským finančným stratám. Zo štúdie z roku 2023 od organizácií BlackCloak a Ponemon Institute vyplýva, že vedúci pracovníci firiem sú čoraz častejšie terčom sofistikovaných kybernetických útokov vrátane impersonifikácie.
Aj po dôkladnom školení o kybernetickej bezpečnosti stále existuje veľká pravdepodobnosť, že sa zamestnanci stanú obeťou premyslených útokov po kompromitácii firemných mobilných zariadení, čím si útočníci pripravia pôdu pre ďalšie útoky na spoločnosť. Ak sa chcete dozvedieť viac o tom, ako môžu mobilné zariadenia zamestnancov navyšovať možné miesta útokov vo firmách, prečítajte si tento článok.
V spoločnosti ESET sme si tejto hrozby vedomí, a preto sme v rámci svojho komplexného firemného riešenia ESET PROTECT predstavili nový modul ochrany pred mobilnými hrozbami. Úroveň Advanced a vyššie ponúkame za výhodné ceny. Používatelia ESET PROTECT Advanced a vyšších verzií si môžu bezplatne ochrániť jedno mobilné zariadenie ku každej platenej jednotke pokrývajúcej iný typ zariadenia.
Jeden nástroj nestačí
Vytváranie falošných videí s využitím umelej inteligencie znie desivo (existujú už aj trilery na podobnej báze), no výskum spoločnosti ESET jasne ukazuje, že aj týmto prepracovaným útokom sa dá predísť alebo ich zastaviť pomocou vhodných bezpečnostných riešení.
Je dôležité si uvedomiť, že žiadna technológia nie je ultimátnou odpoveďou na všetko, ako aj to, že spoľahlivé kybernetické zabezpečenie pozostáva z viacvrstvovej ochrany v kombinácii s prístupom kladúcim prevenciu na prvé miesto.
Spracoval: tím ESET
Zdroj: Roman Cuprík – How to protect your phone and data against face stealing scams
