Cyberprzestępcy mogą ukraść Twoją twarz. Tak łamane są nowoczesne zabezpieczenia
Przyzwyczailiśmy się już, że biometria - wzory linii papilarnych, a coraz częściej twarz - stały się zabezpieczeniem dla najbardziej wrażliwych danych. Nie tylko odblokowujemy z jej użyciem smartfony, ale też tak ważne aplikacje, jak bankowość mobilną. Z czasem producenci wprowadzili innowacje, dzięki którym biometrię trudniej jest oszukać, ale gdzie pojawia się udoskonalenie, tam pojawia się nowy pomysł cyberprzestępców. Tym razem analitycy ostrzegają przed nową metodą wykorzystującą mechanizmy deep fake, którymi skutecznie można ominąć zabezpieczenia sporej części smartfonów.
Cyberprzestępcy mogą ukraść Ci twarz
Firma ESET zwraca uwagę, że coraz częściej mechanizmy weryfikacji biometrycznej można skutecznie oszukać z użyciem mechanizmów deep fake. Chodzi zwłaszcza o funkcję odblokowywania lub potwierdzania tożsamości dzięki skanowaniu twarzy. Kamil Sadkowski, analityk ESET, zwraca uwagę, że biometria może dawać nam złudne poczucie bezpieczeństwa . W praktyce okazuje się jednak, że cyberprzestępcy ochoczo korzystają z relatywnie nowych osiągnięć techniki, jak deep fake , do skutecznego łamania zabezpieczeń:
Nie powinniśmy jednak ulegać złudnemu poczuciu bezpieczeństwa. Rozwój metod cyberprzestępców biegnie równolegle do powstawania nowych metod zabezpieczających. Jak pokazuje najnowszy Raport ESET, cyberprzestępcy potrafią już podszywać się pod nasze twarze. Korzystając ze sztucznej inteligencji, są w stanie na potrzeby zalogowania się zastąpić w aplikacji własną twarz, twarzą swojej ofiary.
Tak naprawdę cyberprzestępcom może wystarczyć wysokiej rozdzielczości zdjęcie twarzy ofiary pozyskane w m ediach społecznościowych . Następnie, z użyciem ogólnodostępnych i tanich, gotowych narzędzi nakładają je oni na własną twarz, a oprogramowanie robi resztę - pozycjonuje fotografię tak, że statyczna fotografia wprawiana jest w ruch odpowiadający mimice cyberprzestępcy.
Biometria biometrii nierówna
Należy tutaj zwrócić uwagę na konieczność rozróżnienia tego, jak działa biometria twarzy. W tańszych urządzeniach mamy niestety do czynienia z prostym porównaniem obrazu z przedniej kamery z wcześniejszym wzorcem, statycznym zdjęciem. Porównuje się więc dwa dwuwymiarowe obrazy na podstawie rozpoznanych charakterystycznych punktów, np. rozstawu oczu itd. Niestety takie mechanizmy biometryczne w praktyce nie oferują żadnej ochrony. Nie trzeba nawet zaawansowanych deep fake’ów, by je ominąć - wystarczy wydrukować zdjęcie.
Zobacz: Nowe odcinkowe pomiary prędkości. Kierowcy powinni mieć się na baczności
Zupełnie inaczej sprawy mają się, jeśli mamy do czynienia z poprawnie wdrożonymi rozpoznawaniem twarzy, np. z FaceID w smartfonach Apple. Tam bowiem nie tylko wykorzystywany jest obraz z kamery, ale też emitowane są fale podczerwone , z użyciem których urządzenie rozpoznaje, czy ma do czynienia z obiektem trójwymiarowym. Żeby oszukać takich mechanizm, konieczna byłaby maska wiernie odwzorowująca twarz właściciela. Na nic - przynajmniej w teorii - zdadzą się deep fake’i.
Skradzione palce Ursuli von der Leyen
Przed rozpoczęciem skorzystania z ochrony biometrycznej, warto się więc upewnić, w jaki sposób została zaimplementowana. Zwłaszcza że skanowanie twarzy znacznie łatwiej jest oszukać niż np. czytniki linii papilarnych . To drugie oczywiście także jest możliwe - podczas jednej z edycji Chaos Conference udało się na podstawie ogólnodostępnego zdjęcia dłoni Ursuli von der Leyen, wówczas szefowej niemieckiego MON-u, wydrukować w 3D wierną kopię jej palca, którym można było odblokować urządzenie. Jest to jednak trudniejsze i bardzo czasochłonne niż wydrukowanie zdjęcia czy stworzenie deep fake’a.
Ważne jest, by pamiętać, że w cyberbezpieczeństwie żadna ochrona nigdy nie będzie stuprocentowo skuteczna. Każda zaproponowana innowacja błyskawicznie znajduje odpowiedź ze strony hakerów. I to prawdziwych hakerów, tęgich głów, nie zaś drobnych internetowych oszustów zajmujących się phishingiem.
