Dane biometryczne często wydają się skutecznym sposobem weryfikacji tożsamości i ochrony naszych danych. Tymczasem testy przeprowadzone przez Jake’a Moore’a, analityka cyberbezpieczeństwa ESET pokazują, że nasze rysy twarzy – choć unikalne – stają się nowym polem eksploatacji dla cyberprzestępców i wyzwaniem dla ochrony prywatności.
W świecie, w którym twarz służy jako klucz dostępu do smartfona, konta bankowego, a nawet weryfikacja na lotniskach, zaufanie do technologii rozpoznawania wizerunku stało się powszechne. Jednak Moore udowodnił, że tę cyfrową barierę można naruszyć prościej, niż mogłoby się wydawać. Wykorzystując trzy różne scenariusze – od inteligentnych okularów identyfikujących przechodniów, po zaawansowany face swap omijający monitoring – analityk obnażył luki w systemach, które codziennie mają nas chronić przed oszustwami i dbać o nasze bezpieczeństwo.
Inteligentne okulary znów budzą dyskusję o prywatności
W pierwszym eksperymencie Moore skupił się na prywatności w przestrzeni publicznej. Wykorzystując zmodyfikowane inteligentne okulary, przechadzał się wśród nieznajomych, automatycznie przechwytując ich wizerunki. Oprogramowanie w zaledwie kilka sekund dopasowywało twarze przechodniów do publicznie dostępnych danych w internecie. Efekt? W czasie rzeczywistym Moore uzyskiwał imiona, nazwiska oraz profile w mediach społecznościowych przypadkowych osób. Analityk zwraca uwagę na ryzyka, które niesie za sobą ta technologia, zaczynając od naruszenia prywatności, po stalking, aż po wykorzystanie elementów socjotechniki przez przestępców.
Oszukać bank: fikcyjna tożsamość w systemie eKYC
Kolejny eksperyment dotyczył sektora finansowego. Moore rzucił wyzwanie bankowemu systemowi weryfikacji tożsamości (eKYC). Najpierw wykorzystał Photoshopa, aby zmodyfikować zdjęcie, na którym trzymał swój prawdziwy paszport. Zmienił na nim numery oraz datę urodzenia, kreując w ten sposób nową tożsamość. Ponadto za pomocą darmowych narzędzi, stworzył całkowicie fikcyjną twarz wygenerowaną przez sztuczną inteligencję. System bankowy, zaprojektowany do odróżniania żywego człowieka od statycznego obrazu, uznał wygenerowaną postać za autentyczną. Pozwoliło to na założenie w pełni funkcjonalnego konta na osobę, która w rzeczywistości nie istnieje.
– Należy mieć świadomość, że niektóre technologie rozpoznawania twarzy mogą być podatne na manipulacje przy użyciu ogólnodostępnego sprzętu i oprogramowania. Profil tożsamości oparty na biometrii twarzy jest dla oszustów wyjątkowo atrakcyjny. Gdy taki zbiór danych zostanie raz sfałszowany i zaakceptowany przez system, daje przestępcom szerokie pole do nadużyć – zauważa Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.
Face swap na dworcu – Tom Cruise zamiast poszukiwanego?
Ostatni eksperyment został przeprowadzony na zatłoczonej stacji kolejowej w Londynie. Za zgodą operatorów Moore podłączył profesjonalne oprogramowanie biometryczne (takie samo, z którego korzysta brytyjska policja) bezpośrednio do kamer monitoringu. W normalnych warunkach system bezbłędnie wyłapywał go w tłumie, natychmiast powiadamiając ochronę przez radio. Moore postanowił jednak sprawdzić, czy algorytm da się oszukać za pomocą cyfrowej tożsamości.
Zamiast fizycznego przebrania, wykorzystał mechanizm wirtualnej kamery. Przechwycił on sygnał wideo i – zanim dotarł on do systemu rozpoznawania twarzy – za pomocą oprogramowania face swap nałożył w czasie rzeczywistym wizerunek Toma Cruise’a na własną twarz. System w pokoju kontrolnym, analizując zmodyfikowany strumień, „widział” hollywoodzkiego aktora zamiast badacza, przez co nie uruchomił alarmu. Eksperyment Moore’a udowodnił, że do skutecznego oszukania zaawansowanej biometrii wystarczy ogólnodostępne narzędzie i zaledwie jedno statyczne zdjęcie pobrane z sieci.
Warto zachować czujność
Choć instytucja bankowa, w której Moore przeprowadził test, została poinformowana o luce i wdrożyła odpowiednie działania, skala problemu pozostaje szeroka. Wdrażanie systemów rozpoznawania twarzy często opiera się na entuzjazmie, który nie zawsze idzie w parze z realną odpornością na manipulacje AI.
– Warto traktować biometrię jedynie jako dodatek, a nie jedyny filar bezpieczeństwa. Kluczowym krokiem jest wdrożenie uwierzytelniania wieloskładnikowego (MFA) wszędzie, gdzie to możliwe. Nawet jeśli technologia rozpoznawania twarzy zostanie zmanipulowana, dodatkowy poziom weryfikacji – taki jak kod z aplikacji autoryzacyjnej – stanowi skuteczną barierę, której samo skopiowanie rysów twarzy nie pozwoli pokonać. Świadomość, że wizerunek może zostać zmanipulowany lub przejęty, jest dziś kluczowym elementem dbania o własne bezpieczeństwo cyfrowe – podkreśla Kamil Sadkowski, ESET.