Tudi biometrija ni vsemogočna varovalka

Bančni avtomati so že več let tarča goljufov, ki se želijo polastiti podatkov kreditnih kartic nič hudega slutečih občanov. Take zlorabe so se začele s preprostimi elektronskimi napravami za branje podatkov, šlo je za doma narejene naprave, ki so bile bolj ali manj spretno pritrjene na bančni avtomat.

S ponarejeno tipkovnico bančnega avtomata ali spletno kamero, zmožno kraje informacij z magnetnega traku kartice ter kraje tako imenovane zaščitne kode PIN so se prevaranti dokopali do vseh ključnih informacij, ki so jih potrebovali za dostop do bančnega računa žrtve.

Skimerji za kibernetske goljufe

Prve prevarantske naprave so bile zelo okorne in pozornejši uporabniki so hitro opazili, da ne sodijo med standardno opremo bankomata. A sčasoma so se tudi prevaranti močno izboljšali, oblika teh naprav se je v zadnjih letih že povsem zlila z načinom ciljanih bankomatov, zato žrtve niso posumile, da so tarča napada.

Ob uvedbi veliko trših plačilnih kartic, zavarovanih s čipom in kodo PIN, ki pa jih je bilo še vedno mogoče klonirati, so se prevarantske naprave razvile v tako imenovane skimerje: gre predvsem za enake naprave, a takšne, ki so zmožne zbiranja podatkov s čipa kartice in s tem zagotavljanja zadostne količine informacij za izvedbo spletnega napada.

Panoga bančništva tovrstnih zlorab seveda ni vesela in se nanje odziva z novimi rešitvami za overjanje, novejše med njimi temeljijo celo na biometričnih varnostnih rešitvah, ki v praksi sicer veljajo za skoraj nezlomljive. Toda mar si s tem delajo medvedjo uslugo?

Ukradeni biometrični podatki so zelo velika težava

Strokovnjaki podjetja Kaspersky Lab so že raziskali, kako bi kibernetski kriminalci lahko izkoristili nove tehnologije za overjanje na bančnih avtomatih, katerih uvedbo načrtujejo banke. Čeprav številne finančne organizacije biometrične rešitve umeščajo med najobetavnejše dopolnitve sedanjih načinov overjanja oziroma med rešitve, ki bodo te načine celo nadomestile, je biometrija za kibernetske kriminalce pravzaprav nova priložnost za krajo občutljivih informacij.

Po raziskavi, ki jo je podjetje Kaspersky Lab izvedlo v nezakonitem kibernetskem kriminalu, je na temni strani interneta mogoče zaslediti vsaj dvanajst prodajalcev, ki ponujajo elektronske naprave za branje vseh vrst podatkov na sodobnih bankomatih – te naprave so sposobne tudi kraje prstnih odtisov žrtev.

Vsaj trije nezakoniti prodajalci se že ukvarjajo z razvojem naprav, ki bi omogočale nezakonito pridobivanje podatkov s sistemov za prepoznavo žilnih črt v dlani in/ali očesne šarenice.

S krajo biometričnih podatkov do kraje identitete

Prve primerke naprav za odčitavanje biometričnih podatkov so varnostni strokovnjaki odkrili že lanskega septembra, v fazi tako imenovanih »testiranj pred prodajo«. Dokazi, ki so jih zbrali strokovnjaki podjetja Kaspersky Lab, so razkrili, da so med začetnim testiranjem razvijalci zaznali več programskih napak.

Glavna težava je bila v uporabi modulov GSM za prenos biometričnih podatkov, ki so bili prepočasni za prenos velike količine pridobljenih podatkov. Očitno bodo nove različice naprav za odčitavanje podatkov uporabljale druge, hitrejše tehnologije za prenos podatkov.

»Težava z biometrijo je v tem, da v nasprotju z gesli ali kodami PIN, ki jih je v primeru grožnje preprosto mogoče preklicati, prstnega odtisa ali šarenice ni mogoče spremeniti. Ko bi bili vaši podatki enkrat ogroženi, tega načina overjanja ne bi bilo več varno uporabiti. Zelo pomembno je zato, da je varnost takšnih podatkov zagotovljena, njihov prenos pa varen. Biometrični podatki so vključeni tudi v sodobnih potnih listih in vizumih. Če napadalec ukrade potni list, se poleg dokumenta dokoplje tudi do biometričnih podatkov te osebe. S tem napadalci zelo učinkovito ukradejo identiteto te osebe,« razlaga Olga Kochetova, strokovnjakinja na področju varnosti v podjetju Kaspersky Lab.

Možnosti zlorab resnično ne manjka

Raziskovalci omenjenega varnostnega podjetja menijo, da uporaba orodij, s katerimi je mogoče ogroziti biometrične podatke, ni edina potencialna kibernetska grožnja, ki preti bančnim avtomatom. Hekerji bodo še naprej izvajali napade s škodljivimi programi, napade po metodi črne škatle in spletne napade z namenom prestrezanja podatkov, ki bi jih pozneje lahko uporabili za krajo denarja od bank in njenih strank. V primeru, ko se dokopljejo do fizičnega vodnika (beri: mrežnega kabla), s katerim je bankomat povezan s centralo, pa lahko prevzamejo celo popoln nadzor nad posameznim bankomatom.

V nezakonitih združbah je mogoče že zaznati tudi razprave o razvoju mobilnih aplikacij, ki vključujejo nameščanje mask čez obraz. S takšnimi aplikacijami bi napadalci lahko uporabili fotografijo določene osebe, preprosto pobrane z družabnega omrežja, in z njo prelisičili sistem za prepoznavo obraza. Bo mar vsa napredna skrb za varnost, posebno ob uporabi biometričnih podatkov, v naša življenja res vnesla več(ja) tveganja?