Как злоумышленники могут обойти биометрию
Мир цифровых технологий развивается и становится все проще, позволяя пользователям получать доступ к системам и защищенным устройствам с помощью биометрии. Однако предоставление биометрической информации может быть опасным по своей сути: хакеры-злоумышленники ищут новые способы завладеть ею.
Согласно отчету Intel 471, один из трех основных способов, применяемый хакерам — мошенничество с документами. Украденные биометрические данные могут быть использованы для подделки документов в целях мошенничества с недвижимостью, получения финансовых льгот, незаконной иммиграции, получения кредитов и т.д.
Так, в 2020 году два иранских хакера предлагали продать биометрические и другие идентификационные документы, относящиеся к различным странам, включая Южную Корею, Испанию, Судан, Украину и США, напоминает Secuirtylab.
Один из хакеров предлагал пакет из 76 000 национальных кодов и биометрических национальных карт, включая, водительские права, идентификационные карты, паспорта, личные пропуски и студенческие идентификационные карты», — говорится в отчете.
Другой злоумышленник предлагал 72 400 отсканированных иранских идентификационных документов, якобы полученных от Министерства кооперативов, труда и социального обеспечения Ирана.
Второй способ — обход биометрической защиты.
Существующие уязвимости могут быть использованы для обхода биометрической идентификации. Подобными данными часто пользуются для совершения бесконтактных платежей или входа на государственные сайты, и такие действия могут создать серьезные проблемы.
В 2020 году был обнаружен потенциальный вектор атаки через уязвимость в Apple Pay, которая могла быть использована злоумышленником для обхода биометрической защиты и совершения платежей.
Атака «повтор и ретрансляция» была использована для совершения несанкционированного бесконтактного платежа на сумму 1350 долларов США по кредитным картам Visa, привязанным к учетной записи Apple Pay, в то время как телефон был заблокирован», — сообщается в отчете.
Аналогичным образом в 2021 году обнаружили уязвимость, позволяющую обойти биометрическую защиту на Android-устройствах и в сканере отпечатков пальцев Samsung Note20. Позже, в том же году выявили уязвимость в системе распознавания лиц Windows 10 Hello. По-видимому, она позволяла использовать поддельные изображения для обхода процесса верификации, но риск был невелик из-за требования иметь доступ к устройству с Windows 10. Согласно отчету, нет никаких доказательств того, что упомянутые уязвимости были использованы.
И третий способ — имитация поведенческих моделей.
Хотя обход поведенческих систем защиты от мошенничества не так часто обсуждается, он может причинить почти такой же вред, как и более технические атаки.
«Некоторые банки внедрили алгоритмы «случайного леса» для снижения стоимости подписки на популярную услугу цифровой идентификации. В итоге такое малоэффективное шифрование помогло злоумышленникам сбросить параметры поведенческой модели и проникнуть в защищенную среду», — говорится в отчете.
Как следствие, хакеру удалось обойти двухфакторную аутентификацию (2FA), имитируя модели поведения брата-близнеца, включая нажатия клавиш и движения мыши.
Источник: secuteck.ru