Мир цифровых технологий развивается и становится все проще, позволяя пользователям получать доступ к системам и защищенным устройствам с помощью биометрии. Однако предоставление биометрической информации может быть опасным по своей сути: хакеры-злоумышленники ищут новые способы завладеть ею.
Согласно отчету Intel 471, один из трех основных способов, применяемый хакерам - мошенничество с документами. Украденные биометрические данные могут быть использованы для подделки документов в целях мошенничества с недвижимостью, получения финансовых льгот, незаконной иммиграции, получения кредитов и т.д.
Так, в 2020 году два иранских хакера предлагали продать биометрические и другие идентификационные документы, относящиеся к различным странам, включая Южную Корею, Испанию, Судан, Украину и США.
"Один из хакеров предлагал пакет из 76 000 национальных кодов и биометрических национальных карт, включая, водительские права, идентификационные карты, паспорта, личные пропуски и студенческие идентификационные карты", - говорится в отчете.
Другой злоумышленник предлагал 72 400 отсканированных иранских идентификационных документов, якобы полученных от Министерства кооперативов, труда и социального обеспечения Ирана.
Второй способ - обход биометрической защиты.
Существующие уязвимости могут быть использованы для обхода биометрической идентификации. Подобными данными часто пользуются для совершения бесконтактных платежей или входа на государственные сайты, что способно создать серьезные проблемы.
В 2020 году был обнаружен потенциальный вектор атаки через уязвимость в Apple Pay, которая могла быть использована злоумышленником для обхода биометрической защиты и совершения платежей.
Атака "повтор и ретрансляция" была использована для совершения несанкционированного бесконтактного платежа на сумму 1350 долларов США по кредитным картам Visa, привязанным к учетной записи Apple Pay, в то время как телефон был заблокирован", - сообщается в отчете.
Аналогичным образом в 2021 году была обнаружена уязвимость, позволяющая обойти биометрическую защиту на Android-устройствах и в сканере отпечатков пальцев Samsung Note20. Позже, в том же году обнаружилась уязвимость в системе распознавания лиц Windows 10 Hello. По-видимому, она позволяла использовать поддельные изображения для обхода процесса верификации, но риск был невелик из-за требования иметь доступ к устройству с Windows 10. Согласно отчету, нет никаких доказательств того, что упомянутые уязвимости были использованы.
И третий способ - имитация поведенческих моделей.
Хотя обход поведенческих систем защиты от мошенничества не так часто обсуждается, он может причинить почти такой же вред, как и более технические атаки.
«Некоторые банки внедрили алгоритмы случайного леса, чтобы снизить стоимость подписки на популярную услугу цифровой идентификации. Такое менее эффективное шифрование способствовало тому, что злоумышленник смог сбросить параметры поведенческой модели и войти в защищенную среду", - говорится в отчете
В результате злоумышленнику удалось обойти аутентификацию 2FA, имитируя особенности поведения брата-близнеца, включая нажатия клавиш и движения мыши.