Razvoj AI tehnologije donio je nove izazove, čineći sisteme za daljinsku verifikaciju identiteta ranjivijim na napade, prema izvještaju kompanije iProov. Inovativni i lako dostupni alati omogućili su napadačima da preko noći postanu sofisticiraniji, povećavajući broj prijetnji kroz nove metode napada.
Iako je veliki fokus stavljen na krađu identiteta potrošača, najznačajniji i najskuplji napadi u 2024. godini bili su usmjereni na sisteme za daljinsku verifikaciju identiteta zaposlenika. Ova promjena prema korporativnim metama ukazuje na zabrinjavajući trend: napadači iskorištavaju procese daljinskog zapošljavanja, virtualne poslovne komunikacije i video konferencije kako bi ostvarili veće finansijske dobitke od klasične krađe identiteta potrošača.
Ključni trendovi napada na sisteme daljinske verifikacije identiteta
- Napadi putem kamere uređaja postali su glavni oblik prijetnje u 2024., s porastom od 2665% u odnosu na 2023., dijelom zbog infiltracije u aplikacije dostupne na glavnim online trgovinama. Ovi napadi ne zahtijevaju “rootovane” ili “jailbreakovane” uređaje, što ih čini dostupnim napadačima bez naprednih tehničkih vještina.
- Napadi zamjene lica (face swap) porasli su za 300%, pri čemu napadači ciljaju sisteme sa detekcijom “živosti” (liveness detection). Oni koriste dijeljene obavještajne podatke za iskorištavanje ranjivih sistema pomoću različitih alata za zamjenu lica.
- Identifikovano je 31 nova grupa online prijetnji, od kojih najveća broji 6.400 korisnika. Ekosistem “kriminala kao usluge” narastao je na 24.000 korisnika koji prodaju tehnologije za napade.
- Napadi pomoću konverzije slike u video pojavili su se kao novi vektor sintetičkog identiteta, prijeteći brojnim rješenjima za detekciju živosti već prisutnim na tržištu.
Jednostavni napadi “vukova samotnjaka” sada su se razvili u kompleksno tržište na kojem više hakera sarađuje. Izvještaj iProov-a naglašava dugoročnu strategiju prevara, gdje napadači ugrađuju ukradene, kupljene i sintetičke identitete u svakodnevne digitalne sisteme identifikacije.
Neki od najpodmuklijih napada koriste taktike “uspavanih” kodova, koji ostaju neaktivni dugo vremena prije nego što pokrenu haos u mrežama. S druge strane, kriminalci sve brže repliciraju uspješne napade, paralelno ih lansirajući u različitim sektorima, proširujući svoje aktivnosti na sisteme daljinskog rada i korporativne komunikacije.
“Komercijalizacija i dostupnost deepfake tehnologije predstavljaju ozbiljnu prijetnju organizacijama i pojedincima,” izjavio je dr. Andrew Newell, glavni naučni direktor iProov-a. “Ono što je nekada zahtijevalo visoku stručnost sada je dostupno kroz tržište alata koje čak i slabije tehnički potkovani napadači mogu lako koristiti za maksimalne rezultate.”
Rastuća opasnost od sintetičke krađe identiteta
Sintetička krađa identiteta (SIF) trenutno je najbrže rastući oblik prevara, s alarmantnim posljedicama. Ovaj sofisticirani metod kombinuje legitimne podatke (poput ukradenih brojeva socijalnog osiguranja, često uzetih od djece, starijih osoba ili preminulih) sa izmišljenim informacijama kako bi se kreirali uvjerljivi lažni identiteti.
Za razliku od klasične krađe identiteta, gdje se može pratiti iskorištavanje ukradenih podataka, sintetički identiteti kombinuju stvarne i lažne informacije, zbog čega ih tradicionalni sigurnosni sistemi teže prepoznaju.
“Brzina razvoja ofanzivnih alata nadmašuje mogućnosti trenutnih sigurnosnih mjera da ih zaustave,” upozorio je dr. Newell. “Sve teže je golim okom razlikovati autentične digitalne sadržaje od falsifikata, što postaje problem za svaku organizaciju ili pojedinca koji se oslanja na digitalne identitete u procesu verifikacije.”
Trenutne statične sigurnosne mjere, lažni osjećaj sigurnosti i ljudske greške dodatno povećavaju ranjivost organizacija. U nedavnom istraživanju iProov-a, samo 0,1% ispitanika moglo je pouzdano razlikovati stvarni sadržaj od falsifikata, što ukazuje na ozbiljna ograničenja trenutnih odbrambenih sistema.
Budućnost sigurnog i efikasnog identifikovanja
Prevare protiv pojedinaca su ozbiljne, ali kada su mete organizacije, mogu dovesti do ogromnih finansijskih gubitaka. Prema podacima Federalne komisije za trgovinu (FTC), u 2023. godini izgubljeno je više od 10 milijardi dolara zbog krađe identiteta, dok su organizacije morale platiti odštete koje su u pojedinim slučajevima premašile 350 miliona dolara po incidentu.
Budućnost brze i pouzdane verifikacije identiteta ne leži u jednom rješenju, već u višeslojnoj, dinamičnoj sigurnosnoj strategiji koja može odgovoriti na nove prijetnje prije nego što postanu masovno iskorištene.
Izvor:Help Net Security