Eksperci z Kaspersky Lab sprawdzili, jak cyberprzestępcy mogą wykorzystać nowe technologie uwierzytelnienia bankomatów, które banki zamierzają wprowadzić w bankomatach. Podczas gdy wiele organizacji finansowych uważa rozwiązania biometryczne za jeden z najbardziej obiecujących nabytków nowoczesnej technologii, cyberprzestępcy postrzegają je jako nową możliwość kradzieży poufnych informacji.
Bankomaty od lat znajdują się na celowniku oszustów polujących na dane dotyczące kart płatniczych. Wszystko zaczęło się od prymitywnych skimmerów – amatorskich urządzeń przymocowywanych do bankomatów, które potrafią kraść informacje z paska magnetycznego karty oraz numery PIN przy użyciu fałszywej klawiatury lub kamery internetowej. Z czasem poprawiono wygląd takich urządzeń, tak aby mniej rzucały się w oczy. Wprowadzenie kart zawierających czip zamiast paska magnetycznego sprawiło, że ich klonowanie stało się znacznie trudniejsze, aczkolwiek nie niemożliwe. Skimmery ewoluowały do tzw. shimmerów, których funkcjonalność jest taka sama jak ich poprzedników, jednak potrafią gromadzić informacje z czipa karty. Odpowiedzią branży bankowej na ten rozwój wypadków mają być nowe metody uwierzytelniania, z których część opiera się na technologiach biometrycznych.
Z badania cyberprzestępczości przeprowadzonego przez Kaspersky Lab wynika, że już teraz istnieje co najmniej dwunastu sprzedawców oferujących skimmery potrafiące kraść odciski palców. Ponadto co najmniej trzech sprzedawców z podziemia cyberprzestępczego prowadzi badania nad urządzeniami, które mogą w sposób nielegalny uzyskiwać dane z systemów rozpoznawania żył dłoni i tęczówki oka.
Pierwsza fala skimmerów biometrycznych została zaobserwowana w fazie „testów przedsprzedażowych” we wrześniu 2015 r. Z dowodów zgromadzonych przez badaczy z Kaspersky Lab wynika, że podczas testów wstępnych twórcy wykryli kilka błędów. Jednak głównym problemem było wykorzystywanie modułów GSM do transferu danych biometrycznych – były one zbyt wolne do przesłania ogromnej ilości uzyskanych danych. Dlatego też nowe wersje skimmerów będą wykorzystywały inne, szybsze technologie transferu danych.
W społecznościach cyberprzestępczych trwają również dyskusje dotyczące rozwoju aplikacji mobilnych opartych o nakładanie masek na twarz ludzką. W przypadku takiej aplikacji atakujący mogą pobrać zdjęcie osoby zamieszczone na portalu społecznościowym i wykorzystać je do zmylenia systemu rozpoznawania twarzy.
– Problem z danymi biometrycznymi polega na tym, że w przeciwieństwie do haseł czy PIN-ów, które można łatwo zmodyfikować w przypadku włamania, zmiana odcisku danego palca czy obrazu tęczówki jest niemożliwa. Zatem, jeśli ktoś raz uzyska nielegalny dostęp do danych, ponowne wykorzystanie takiej metody uwierzytelniania nie będzie bezpieczne. Dlatego niezwykle ważne jest zabezpieczenie takich danych i przesyłanie ich w odpowiedni sposób. Dane biometryczne są zapisywane również we współczesnych paszportach oraz wizach, więc jeśli ktoś ukradnie e-paszport, będzie w posiadaniu nie tylko tego dokumentu, ale również danych biometrycznych jego właściciela. W zasadzie ukradnie tożsamość takiej osoby – powiedziała Olga Koczetowa, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.