W dzisiejszym świecie technologia biometryczna zdobywa coraz większą popularność. Wykorzystywana jest nie tylko do zabezpieczania urządzeń elektronicznych, ale także do autoryzacji płatności. Cechy biometryczne, takie jak odciski palców, skany tęczówki, nagrania głosu i rozpoznawanie twarzy, są unikalne dla każdego człowieka. Jednak ta unikalność nie gwarantuje absolutnego bezpieczeństwa. Eksperci z HackerU Polska podkreślają, że chociaż istnieją metody ochrony przed zagrożeniami, rzeczywista skala ryzyka związana z biometrią dopiero się ujawnia.

Biometryka stała się integralną częścią naszego codziennego życia. Skany tęczówki oka, nagrania głosu, kształt twarzy czy odciski palców są coraz częściej wykorzystywane do odblokowywania telefonów, uzyskiwania dostępu do biur i domów, a także do autoryzacji transakcji w sklepach i bankach. Choć te technologie wydają się być niezawodnymi metodami zabezpieczenia, cyberprzestępcy opracowali sposoby na ich obejście. Istnieją jednak skuteczne strategie ochrony przed takimi zagrożeniami.

 

Odcisk palca czy wzór tęczówki są absolutnie niepowtarzalne, co sprawia, że wydają się być idealnym zabezpieczeniem i metodą autoryzacji. Wielostopniowe metody, łączące skan tęczówki i rozpoznawanie twarzy, są coraz częściej stosowane jako metody płatności. Na przykład, jedna z największych sieci sprzedaży książek i wydawnictw muzycznych w Polsce, we współpracy z Mastercard i PayEye, rozpoczęła testy nowej metody płatności w kilku swoich salonach w czerwcu.

W 2023 roku globalny rynek rozwiązań w zakresie tożsamości cyfrowej, którego kluczowym elementem jest biometria, był wart 34,5 miliarda dolarów. Analitycy firmy Statista prognozują dynamiczny wzrost tego rynku w nadchodzących latach.

Biometryka ma długą historię. Odciski palców były stosowane jako metoda autoryzacji już setki lat temu. Na przykład, w czasach chińskiej dynastii Qiun (221 – 206 p.n.e.) autentyczność umów i dokumentów potwierdzano odciśniętymi śladami palców. Współcześnie jednak, według ekspertów z HackerU, hakowanie danych biometrycznych staje się coraz bardziej popularnym sposobem uzyskiwania dostępu do wrażliwych danych. Cyberprzestępcy, wykorzystując zaawansowane narzędzia i techniki, są w stanie obejść tradycyjne środki bezpieczeństwa, takie jak hasła i kody PIN, aby uzyskać dostęp do poufnych informacji.

Przykładem może być przypadek brytyjskiej firmy Arup, która straciła 25 milionów dolarów. Oszuści wykorzystali cyfrowo sklonowany wizerunek dyrektora finansowego, który podczas wideokonferencji zlecał przelewy. Hakerzy stworzyli zarówno przekaz wideo z wizerunkiem dyrektora, jak i idealnie skopiowali jego głos, co zmyliło pracowników autoryzujących przelew.

 

Metody hakowania biometrii

Istnieje ponad 20 różnych rodzajów danych biometrycznych, takich jak odciski palców (linie papilarne czy skan naczyń krwionośnych), twarz czy głos. Każdy z nich może zostać naruszony na różne sposoby. Nie ma czegoś takiego jak niezawodne bezpieczeństwo. Choć niektóre dane biometryczne, takie jak tęczówka lub siatkówka oka, są trudniejsze do złamania niż inne formy identyfikacji, takie jak hasło czy PIN, zdeterminowani hakerzy mogą znaleźć sposób na ominięcie również takich zabezpieczeń.

 

– Nie ma czegoś takiego jak niezawodne bezpieczeństwo. Choć niektóre dane biometryczne (np. tęczówka lub siatkówka oka) mogą być trudniejsze do złamania niż inne formy identyfikacji, takie jak hasło czy PIN, zdeterminowani hakerzy mogą znaleźć sposób na ominięcie również takich zabezpieczeń poprzez działania socjotechniczne (np. pobranie odcisków palców i zrobienie kopii czy użycie zdjęcia ofiary w kontekście przełamania zabezpieczeń opartych o rozpoznawanie twarzy) – mówi Maciej Cieśla, Szef Cyberbezpieczeństwa w HackerU Polska.

Jednym ze sposobów zdobycia danych biometrycznych jest użycie urządzenia zwanego skimmerem. Skimmer może być umieszczony w bankomatach lub innych skanerach linii papilarnych. Zbiera informacje ze skanu palca, a następnie tworzy fałszywy odcisk, za pomocą którego można uzyskać dostęp do danego urządzenia. Inną techniką hakowania danych biometrycznych jest fałszowanie. Technika ta polega na użyciu fałszywego odcisku palca lub tęczówki, który wygląda na tyle podobnie do prawdziwego, że można oszukać skaner. Atak ten może zostać przeprowadzony poprzez zrobienie zdjęcia palca lub tęczówki danej osoby albo wykonanie modelu palca. Kolejnym sposobem naruszenia bezpieczeństwa danych biometrycznych jest tzw. „atak polegający na powtórzeniu”. Polega on na przechwyceniu komunikacji klienta z bankiem i powtórzeniu takiego samego zlecenia na podstawie podanych już danych uwierzytelniających, ale na nowy przelew.

 

Wartość danych biometrycznych i ich wrażliwość

Dane biometryczne są cennym celem dla przestępców. W 2015 roku amerykańskie Biuro ds. Zarządzania Personelem padło ofiarą ataku, w wyniku którego przestępcy przejęli dane 5,6 miliona osób, co czyni to jednym z największych znanych naruszeń danych biometrycznych. Rok później, badacze z Michigan State University udowodnili, że możliwe jest stworzenie fałszywych odcisków palców, które mogą oszukać skanery linii papilarnych. Wykorzystali do tego cyfrowe skany odcisków oraz drukarki żelatynowe i atramentowe.

 

Wraz z rozwojem technologii deepfake, hakowanie biometryczne stało się bardziej wyrafinowane i dostępne dla cyberprzestępców. Technologia deepfake pozwala na tworzenie realistycznych obrazów i dźwięków, które mogą oszukać systemy biometryczne. Przestępcy mogą tworzyć wizerunki i głosy osób, wykorzystując ich zdjęcia i filmy zamieszczane w mediach społecznościowych. To sprawia, że hackowanie biometryczne staje się bardziej dostępne i niebezpieczne.

– Dane biometryczne służące do odblokowania urządzenia nie są łatwe do uzyskania, ponieważ zazwyczaj są przechowywane na urządzeniu w postaci zaszyfrowanego kodu binarnego. Jednak otwieranie aplikacji zawierających dane biometryczne lub umożliwianie im korzystania z nich nie zawsze jest odpowiednim rozwiązaniem. Czasami konsumenci przekazują swoje dane, nawet zupełnie nie wiedząc, kto stoi za aplikacją, która je otrzymuje. Co więcej tajemnicą są dalsze sposoby wykorzystywania zebranych danych – ostrzega Patryk Bogdan, konsultant ds. cyberbezpieczeństwa oraz trener w HackerU Polska.

Nawet jeśli dane biometryczne są przechowywane na serwerze lub w chmurze, mogą zostać wykradzione, co zdarza się nawet w przypadku zbiorów danych rządowych. Przejęcie danych może nastąpić również podczas transmisji między urządzeniem użytkownika a pamięcią masową. Aby zminimalizować ryzyko, dane biometryczne powinny być stosowane jako część uwierzytelniania wieloskładnikowego, które łączy różne metody autoryzacji.

– Biometria jest dobrym zabezpieczeniem, jednak naprawdę skuteczna będzie tylko wtedy, gdy jest stosowana jako część uwierzytelniania wieloskładnikowego, czyli korzysta się z więcej niż jednego sposobu uwierzytelniania – podsumowuje Maciej CieślaHackerU Polska.

Przyszłość biometrii w zabezpieczaniu danych jest obiecująca, ale wymaga ciągłego rozwoju i adaptacji do nowych zagrożeń. Organizacje muszą inwestować w najnowsze technologie i procedury bezpieczeństwa, aby chronić dane biometryczne swoich klientów. Wraz z rosnącą popularnością biometrii, edukacja na temat jej bezpiecznego wykorzystania staje się kluczowa, aby konsumenci byli świadomi zagrożeń i wiedzieli, jak się przed nimi chronić.

źródło: informacja prasowa
grafiki przygotowane przez DALL-E od ChatGPT