Один из руководителей сектора биометрической верификации лиц, возможно, не думал, что он сразит наповал, когда рассказывал аудитории конференции FIDO Alliance о росте числа атак с использованием биометрических инъекций, но его пример того, как быстро могут распространяться такие атаки, поразил присутствующих.
Аджай Амлани, старший вице-президент и глава американского подразделения iProov, говорил на конференции Authenticate 2022 о растущей угрозе, которую представляют для индустрии биометрии (и потенциальных жертв) атаки с использованием инъекций.
По словам Амлани (Amlani), за последние два года эти нападения превратились в глобальную угрозу.
По его словам, их легко вести, и «некоторые сценарии почти невозможно обнаружить».
Более того, существует «отсутствие стандартов в области защиты инфраструктуры».
Эти биометрические атаки являются косвенными и подразумевают использование настоящего биометрического признака, который цифровым образом аппроксимируется. Подделка передаётся внутреннему программному обеспечению для распознавания биометрических данных, которое принимает решение на основе того, что на самом деле является поддельными данными.
Инъекционные атаки – это одна из форм атаки на представление биометрических данных, но в форме обхода, что означает, что они выходят за рамки большинства тестов PAD.
Есть много способов, которые можно использовать, но один из самых пугающих – введение в телефонную ленту видео с глубокой подделкой.
Этим летом появилась французская исследовательская работа на эту тему, в которой ясно говорится, что Амлани – не плачущий волк.
«Разработка решения для удалённой цифровой проверки личности открывает путь для новых атак, которые более доступны для злоумышленников, поскольку мобильный телефон находится под контролем злоумышленника без контроля со стороны каких-либо органов власти»
Пишут исследователи из различных лабораторий во Франции
«Веб-браузер ещё более уязвим для такого типа атак, поскольку простой инструмент имитации веб-камеры позволяет внедрять видео через веб-браузер»
Написали они
Ситуация на первый взгляд тревожная, но в ходе своей короткой сессии Амлани рассказал о беспрецедентной скорости, с которой обнаруживаются новые эксплойты, такие как инъекционные атаки, и о масштабах, в которых они используются.
Он напомнил аудитории, как кто-то создал поддельный цифровой купон, который можно было использовать поддельную учетную запись на сайте Target.com, чтобы обмануть компанию на три доллара при покупке двухдолларового товара.
За 32 минуты Target потеряла 17 миллионов долларов на новых счетах, что сделало восстановление маловероятным. Фактическая сумма может быть больше, сказал Амлани, если компания будет вынуждена вернуть два доллара, которые мошенники заплатили за товар, который не был доставлен.
В качестве отступления Амлани сказал, что руководители ритейлера изначально были довольны тем, что ни один из заявленных товаров не был доставлен, не понимая, что у них, тем не менее, было украдено 17 миллионов долларов.
Они утешали себя, зная, что у них, по крайней мере, миллионы новых аккаунтов, не понимая, что большинство, если не все, аккаунтов были мошенническими.
По материалам Biometrics Research Group. Автор Jim Nash