Każdego dnia I kwartału 2023 r. próbowano wyłudzić łącznie 580 tys. zł, posługując się cudzym nazwiskiem – wynika z raportu Związku Banków Polskich „InfoDok”. Cyberprzestępcy wykorzystują sztuczną inteligencję do podszywania się pod użytkowników nie tylko usług bankowych. Jak wskazują eksperci Asseco kradzież tożsamości jest poważnym problemem, a nie wszystkie metody identyfikacji i uwierzytelniania pozwalają skutecznie jej przeciwdziałać. W zwalczaniu tego procederu pomagają hybrydowe schematy weryfikacji.
Współczesny biznes stoi obecnie przed wyzwaniem zapewnienia bezpieczeństwa tożsamości klientów oraz pracowników i skutecznej jej weryfikacji online bez pogarszania doświadczeń z użytkowania narzędzi cyfrowych. Dlatego popularność zyskuje zdalna identyfikacja, która pozwala na automatyczne sprawdzenie cech biometrycznych. Obraz z kamery internetowej lub urządzenia mobilnego jest porównywany ze zdjęciem znajdującym się w źródle referencyjnym (np. dowodzie osobistym, paszporcie, bazie danych). Identyfikacja realizowana jest w procesie, w którym użytkownik łączy się z pracownikiem np. organizacji finansowej w czasie rzeczywistym i podczas krótkiej rozmowy potwierdza swoją tożsamość.
Pokaż, że żyjesz
Według ekspertów Asseco skuteczna walka z zagrożeniami czyhającymi na użytkowników usług cyfrowych wymaga ciągłego wzmacniania zabezpieczeń. System nie zawsze jest w stanie trafnie rozpoznać, czy ma do czynienia z żywym człowiekiem. Atakujący stosują proste metody polegające na podłożeniu obrazu wideo lub zdjęcia, ale także bardziej skomplikowane wykorzystujące sztuczną inteligencję do generowania w czasie rzeczywistym obrazu imitującego realną sesję z kilentem (ang. deep fake). Ponadto, cyberprzestępcy tworzą silikonowe maski 3D z otworami na oczy, które w niektórych przypadkach pozwalają oszukać automatyczne algorytmy rozpoznawania twarzy. Dlatego dokonuje się dodatkowej weryfikacji z udziałem operatora (ang. liveness check – potwierdzenia żywotności) wymagającej od użytkownika ruchu głową lub mrugnięcia oczami.
Hybrydowa ochrona tożsamości
Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opracowała rekomendacje, które mają przyczynić się do ograniczenia ataków polegających na obejściu weryfikacji cech biometrycznych. Dotyczą one:
- Ochrony środowiska służącego do identyfikacji np. telefonu.
- Minimalnego poziomu jakości wideo.
- Zabezpieczeń dokumentów będących źródłem danych osobowych i biometrycznych np. dowodu osobistego, paszportu, w tym walidacji danych i weryfikacji statusu dokumentu (np. daty ważności, informacji o utracie przez posiadacza) w rejestrach publicznych.
- Wykrywania ataków polegających na podszyciu się pod osobę trzecią (np. skanowania 3D twarzy).
Jak przekonują eksperci Asseco, rozwój technologii sprawia, że obecnie trudno jest polegać wyłącznie na cechach biometrycznych użytkownika. Wprowadzenie hybrydowych schematów weryfikacji online znacznie zwiększa poziom bezpieczeństwa.
„W obecnych realiach bazowanie na samej biometrii jest mocno ryzykowne. Metody hybrydowe zakładają, że poza potwierdzeniem unikalnych cech twarzy użytkownika, dodatkowo może być sprawdzany drugi element identyfikujący osobę fizyczną. Wystarczy przyłożyć paszport lub dowód osobisty do ekranu smartfona z czytnikiem NFC, skorzystać z aplikacji mObywatel lub identyfikacji bankowej, a system porówna dane z tymi pozyskanymi podczas transmisji wideo. Przykładem rozwiązania, które agreguje różne metody zdalnej identyfikacji, umożliwiając ich łączenie, jest e-ID Hub” – mówi Marcin Szulga, Dyrektor Rozwoju Usług Zaufania w Asseco Poland.
mObywatel pomoże w zabezpieczeniu tożsamości
Do zwiększenia bezpieczeństwa tożsamości z pewnością przyczyni się również unijne rozporządzenie eIDAS 2.0. Przepisy pozwolą na udostępnienie infrastruktury elektronicznych portfeli tożsamości klientom komercyjnym, którzy mogą wykorzystać ją w procesie weryfikacji. Rozporządzenie ma ujednolicić metody identyfikacji we wszystkich krajach Wspólnoty. Dzięki elektronicznemu portfelowi tożsamości obywatele będą mogli potwierdzić swoją tożsamość, a także udostępnić znajdujące się w nim dokumenty za pomocą telefonu.