Как злоумышленники могут обойти биометрию

Мир цифровых технологий развивается и становится все проще, позволяя пользователям получать доступ к системам и защищенным устройствам с помощью биометрии. Однако предоставление биометрической информации может быть опасным по своей сути: хакеры-злоумышленники ищут новые способы завладеть ею.

Согласно отчету Intel 471, один из трех основных способов, применяемый хакерам - мошенничество с документами. Украденные биометрические данные могут быть использованы для подделки документов в целях мошенничества с недвижимостью, получения финансовых льгот, незаконной иммиграции, получения кредитов и т.д.

Так, в 2020 году два иранских хакера предлагали продать биометрические и другие идентификационные документы, относящиеся к различным странам, включая Южную Корею, Испанию, Судан, Украину и США.

Один из хакеров предлагал пакет из 76 000 национальных кодов и биометрических национальных карт, включая, водительские права, идентификационные карты, паспорта, личные пропуски и студенческие идентификационные карты", - говорится в отчете.

Другой злоумышленник предлагал 72 400 отсканированных иранских идентификационных документов, якобы полученных от Министерства кооперативов, труда и социального обеспечения Ирана.

Второй способ - обход биометрической защиты.

Существующие уязвимости могут быть использованы для обхода биометрической идентификации. Подобными данными часто пользуются для совершения бесконтактных платежей или входа на государственные сайты, и такие действия могут создать серьезные проблемы.

В 2020 году был обнаружен потенциальный вектор атаки через уязвимость в Apple Pay, которая могла быть использована злоумышленником для обхода биометрической защиты и совершения платежей.

Атака "повтор и ретрансляция" была использована для совершения несанкционированного бесконтактного платежа на сумму 1350 долларов США по кредитным картам Visa, привязанным к учетной записи Apple Pay, в то время как телефон был заблокирован", - сообщается в отчете.

Аналогичным образом в 2021 году обнаружили уязвимость, позволяющую обойти биометрическую защиту на Android-устройствах и в сканере отпечатков пальцев Samsung Note20. Позже, в том же году выявили уязвимость в системе распознавания лиц Windows 10 Hello. По-видимому, она позволяла использовать поддельные изображения для обхода процесса верификации, но риск был невелик из-за требования иметь доступ к устройству с Windows 10. Согласно отчету, нет никаких доказательств того, что упомянутые уязвимости были использованы.

И третий способ - имитация поведенческих моделей.

Хотя обход поведенческих систем защиты от мошенничества не так часто обсуждается, он может причинить почти такой же вред, как и более технические атаки.

«Некоторые банки внедрили алгоритмы «случайного леса» для снижения стоимости подписки на популярную услугу цифровой идентификации. В итоге такое малоэффективное шифрование помогло злоумышленникам сбросить параметры поведенческой модели и проникнуть в защищенную среду", - говорится в отчете.

Как следствие, хакеру удалось обойти двухфакторную аутентификацию (2FA), имитируя модели поведения брата-близнеца, включая нажатия клавиш и движения мыши.