Идентификация биометрическая – использующая для идентификации людей уникальные физические атрибуты, такие как отпечатки пальцев – долгое время считается безопасной. Однако, эта технология, став привлекательной для банков и их клиентов, привлекла внимание киберпреступников.
С точки зрения организации огромным преимуществом таких методов, как сканирование радужной оболочки или анализ системы капилляров, является тот факт, что они уменьшают коэффициент ошибочных отказов (ошибка первого рода) и ошибочных принятий (ошибка второго рода). Клиентам нравится биометрия тем, что эта технология работает быстрее и освобождает их от паролей и других секретных кодов.
К сожалению, технология сканирования отпечатков пальцев является не только массово распространенной, но и не достаточно надежной, как и должна быть. Например, пользователи устройств под управлением iOS и Android регулярно жалуются на то, что их гаджеты «не узнают» законных владельцев – или путают их с другими людьми.
Биометрия в банкоматах
Биометрические банкоматы пока найти очень сложно, но несколько десятков «подземных» разработчиков программного обеспечения уже продают на черном рынке биометрические скиммеры. Эти устройства имеют задачу кража отсканированных отпечатков пальцев.
Другие разработчики подполья пытаются создавать устройства, которые способны записывать результаты сканирования радужной оболочки глаза и макет вен. Более того, использование скиммеров это не единственный способ кражи биометрических данных: атаки Man-in-the-middle и им подобные остаются такими эффективными, как при использовании имён пользователей и паролей.
Конечно, преступники взламывают также серверы с данными пользователей, независимо от того, в какой форме хранятся эти данные.
А теперь представьте, что вместо паролей эти компании потеряли биометрические данные своих клиентов. Смена паролей может быть утомительной, но как поменять код ДНК.
Кроме того, с помощью биометрических скиммеров преступники могут использовать исходные данные для копий биометрических данных. Банки должны будут очень тщательно разработать стандарты безопасности, прежде чем предоставить биометрические банкоматы массовому клиенту.
Снижение безопасности и биометрии
Первыми биометрические данные стали использовать структуры правительства, силы безопасности и оборонная промышленность, и в этих сферах она показала себя достаточно хорошо, потому что эти учреждения могут позволить себе дорогое и надежное оборудование.
Однако, в случае адаптации биометрии для широкого использования это приведёт к падению её уровня безопасности. Основной причиной такого положения вещей является популярность. Во-первых, речь идёт о том, что стандарты безопасности для потребительских товаров ниже, чем там, где они выполняют критическую функцию. Во-вторых, широкий выбор недорогих гаджетов позволяет злоумышленникам проводить много тестов потребительских устройств и находить всё больше и больше уязвимостей – для их собственной выгоды, конечно.
Повышению уязвимости биометрии для атак способствовало также быстрое развитие 3D-печати.
В прошлом году люди установили около 6 миллионов мобильных приложений, которые поддерживают проверку подлинности с помощью отпечатка пальца. По данным Juniper Research, к 2019 году мы будем использовать около 770 миллионов таких приложений. Другие эксперты ещё более оптимистичны: компания Market Intelligence считает, что к 2020 году 2,5 миллиарда человек будет использовать 4,8 миллиарда устройств, использующих биометрию.
Надежда и рекомендации на будущее
К счастью, биометрические данные не сохраняются в их изначальном виде: на сервер отправляются только их зашифрованные копии, что делает их менее привлекательными для злоумышленников. Однако, преступники все еще могут использовать различные методы, такие как атаки типа "человек посередине", чтобы перехватить данные, передаваемые между банкоматом и центром обработки, и украсть средства клиента.
Для защиты от подобных угроз банкам и пользователям необходимо применять более строгие меры безопасности, направленные на предотвращение утечки традиционных логинов и защиту от мошенничества, связанного с биометрией. Внешний дизайн банкоматов следует усовершенствовать, чтобы предотвратить установку скиммеров, а также усилить контроль за безопасностью самого оборудования и его программного обеспечения.
В контексте биометрической идентификации рекомендуется использовать дополнительные методы защиты, которые не заменяют, а дополняют основную систему безопасности. Это позволит создать многоуровневую защиту, которая будет более надежной и устойчивой к различным видам атак.
