Как предотвратить взлом биометрии в банковских приложениях

Захари Амос — редактор раздела «Фичи» на ReHack.com. Его технологические идеи публиковались в VentureBeat, TalentCulture, ISAGCA, Unite.AI, HR.com и во многих других изданиях.

Откройте для себя лучшие новости и события в финтехе!

Подпишитесь на рассылку FinTech Weekly

Читают руководители в JP Morgan, Coinbase, Blackrock, Klarna и др.

Биометрическая аутентификация стала ключевой в финтехе, потому что она позволяет пользователям получать доступ к банковским приложениям с помощью простого отпечатка пальца, сканирования лица или распознавания радужной оболочки. Эта технология улучшает пользовательский опыт, одновременно существенно снижая мошенничество. Однако по мере развития мер безопасности развиваются и тактики киберпреступников.

Биометрический взлом становится все более серьезной проблемой. В отличие от паролей, эти данные являются постоянными и не могут быть сброшены, если они были скомпрометированы, из-за чего утечки становятся более опасными. Возрастающая угроза подчеркивает необходимость того, чтобы разработчики приложений внедряли более продвинутые меры. Эти обновления должны опережать динамические киберугрозы, одновременно обеспечивая плавный и надежный пользовательский опыт.

Что такое биометрический взлом?

Биометрический взлом использует уязвимости в системах аутентификации, чтобы получить несанкционированный доступ к чувствительным аккаунтам или данным. Поскольку банковские приложения и финтех-платформы все чаще полагаются на сканирование отпечатков пальцев, распознавание лиц и аутентификацию по голосу, киберпреступники находят новые способы манипулировать этими системами.

Помимо рисков для безопасности, опора на биометрические технологии поднимает вопросы о предвзятости и защите данных. Плохо спроектированные системы менее точны для определенных групп населения, что приводит к дискриминации и проблемам с доступом.

Кроме того, отсутствие прозрачности в вопросах сбора данных делает пользователей уязвимыми для злоупотреблений и слежки. Нужны более надежные меры защиты, этичные практики и технологии без предвзятости, чтобы защитить потребителей и обеспечить справедливую и надежную аутентификацию.

Как биометрический взлом угрожает банковским приложениям

Биометрический взлом ставит под угрозу банковские приложения, подвергая риску пользователей и финансовые организации мошенничеству, краже личности и дорогостоящим утечкам. In 2023, средняя стоимость реагирования на инцидент при атаке ransomware оценивалась в $4.54 миллиона, что подчеркивает высокие ставки провалов в кибербезопасности. Вот некоторые из способов, которыми эта кибератака угрожает приложениям:

*   Атаки с подменой (spoofing): злоумышленники используют поддельные отпечатки пальцев, маски или изображения с высоким разрешением, чтобы обмануть биометрические сканеры и добиться несанкционированного доступа.
*   Утечки данных: вредоносные акторы могут продавать украденные данные из плохо защищенных баз на dark web или использовать их для мошенничества с удостоверением личности.
*   Атаки повторного воспроизведения (replay): киберпреступники перехватывают и повторно используют данные аутентификации, чтобы выдавать себя за законных пользователей.
*   Атаки «человек посередине» (man-in-the-middle): злоумышленники перехватывают данные во время передачи, манипулируя процессом аутентификации, чтобы получить доступ.
*   Эксплуатация уязвимостей через вредоносное ПО: вредоносные программы могут скомпрометировать банковские приложения, перехватывая учетные данные без ведома пользователя.
*   AI-управляемые deepfake: продвинутые инструменты искусственного интеллекта могут генерировать гиперреалистичные deepfake лица или голоса, чтобы обойти биометрическую верификацию.
*   Риски для регулирования и комплаенса: если данные должным образом не защищены, это может привести к юридическим последствиям, регуляторным штрафам и потере доверия клиентов.

5 способов, которыми создатели банковских приложений могут предотвратить биометрический взлом

Поскольку техники биометрического взлома становятся более совершенными, создатели приложений должны принимать упреждающие меры, чтобы усилить безопасность и защитить данные пользователей. Ниже приведены стратегии, которые снижают риск утечек и при этом обеспечивают бесшовный пользовательский опыт.

2.      

### **Шифруйте биометрические данные сквозным шифрованием (end-to-end)**

Защита биометрических данных с помощью надежного шифрования помогает пользователям от мошенничества и кражи личности, однако централизованные системы хранения остаются основной целью для хакеров. Разработчики приложений могут использовать решения для децентрализованного хранения, которые распределяют данные по защищенным сетям, чтобы снизить риски утечек.

Технология Blockchain — яркий пример. Она обеспечивает прозрачность, децентрализацию и неизменяемость — благодаря чему киберпреступникам гораздо сложнее скомпрометировать данные пользователей. Использование этого инструмента может гарантировать, что учетные данные будут защищены и останутся под контролем пользователя, что устраняет необходимость в управлении данными третьими сторонами. Такой подход снижает риск массовых утечек и одновременно укрепляет доверие потребителей к биометрической аутентификации.

3.      

### **Внедрите многоуровневые меры безопасности**

Если полагаться только на биометрию для аутентификации, банковские приложения остаются уязвимыми для изощренных попыток взлома. Разработчики могут создать более надежную систему безопасности, сочетая биометрию с PIN-кодами, паролями или поведенческой аутентификацией — например, динамикой нажатия клавиш (keystroke dynamics) или паттернами использования устройства.

Кроме того, принудительное включение многофакторной аутентификации для всех удаленных доступов к сети организации — а также для привилегированных или административных аккаунтов — снижает вероятность разрушительных кибервторжений в банковском секторе. Этот дополнительный барьер безопасности делает для хакеров эксплойт украденных учетных данных в разы сложнее, повышая целостность всей системы.

4.      

### **Регулярно обновляйте протоколы безопасности**

Частые обновления программного обеспечения укрепляют безопасность банковских приложений, устраняя уязвимости и предотвращая появляющиеся угрозы. Киберпреступники постоянно меняют тактики, а устаревшие системы создают «окна» для попыток биометрического взлома. Регулярное обновление протоколов безопасности позволяет приложениям избегать потенциальных эксплойтов и снижать риск утечек.

Внедрение обнаружения аномалий, управляемого ИИ, добавляет слой защиты, выявляя необычное поведение при входе в реальном времени. Эта технология может обнаруживать подозрительные действия — например, входы с незнакомых устройств или аномальные паттерны доступа — и запускать дополнительные шаги аутентификации, чтобы блокировать несанкционированный доступ.

5.      

### **Используйте технологию обнаружения «живости» (liveness detection)**

Банковским приложениям необходимо встроить технологию обнаружения «живости», чтобы предотвратить атаки с подменой и отличать реальные человеческие признаки от поддельных. Продвинутые решения liveness detection обрабатывают данные с помощью 3D-сканирования, анализируя глубину, движение и другие тонкие характеристики, чтобы подтвердить подлинность.

Этот ИИ-управляемый подход повышает эффективность системы, выявляя попытки обойти биометрическую аутентификацию с помощью фотографий, масок или технологий deepfake. Постоянно обучаясь на взаимодействиях из реального мира, обнаружение «живости», управляемое ИИ, становится более эффективным в распознавании попыток мошенничества, сохраняя при этом бесшовный пользовательский опыт.

6.      

### **Ограничьте хранение биометрических данных**

Хранение биометрических данных локально на устройстве пользователя, а не в облачном хранилище, минимизирует риски безопасности и защищает чувствительную информацию. При росте на 71% кибератак в 2024 году с использованием украденных или скомпрометированных учетных данных централизованные базы данных стали основной целью для хакеров, которые хотят использовать системы аутентификации.

Хранение этих данных на устройстве снижает риск крупных массовых утечек и дает пользователям больше контроля над своей личной информацией. Внедрение криптографических хеш-функций повышает безопасность, гарантируя, что исходные биометрические данные никогда не будут представлены в исходном виде. Это делает практически невозможным для киберпреступников восстановить эти данные или злоупотребить ими.

Будущее биометрической безопасности и ответственность финтеха

Финтех-компании должны внедрять продвинутое шифрование и обнаружение мошенничества, управляемое ИИ, чтобы защищать пользователей от возникающих угроз. Поскольку биометрические технологии становятся более сложными, финансовые учреждения должны опережать злоумышленников, чтобы создать более безопасный и бесшовный банковский опыт.