Как предотвратить взлом биометрии в банковских приложениях

Захари Амос — редактор раздела «Фичи» на ReHack.com. Его технические идеи были опубликованы в VentureBeat, TalentCulture, ISAGCA, Unite.AI, HR.com и во многих других изданиях.

Откройте для себя лучшие новости и события в финтехе!

Подпишитесь на рассылку FinTech Weekly

Читают руководители JP Morgan, Coinbase, Blackrock, Klarna и других

Биометрическая аутентификация стала ключевой в финтехе, потому что позволяет пользователям получать доступ к банковским приложениям с помощью простого отпечатка пальца, сканирования лица или распознавания радужной оболочки. Эта технология улучшает пользовательский опыт, одновременно заметно снижая мошенничество. Однако по мере развития мер безопасности развиваются и тактики киберпреступников.

Биометрический взлом становится все более серьезной проблемой. В отличие от паролей, эти данные являются постоянными и не могут быть сброшены, если они были скомпрометированы, что делает утечки более опасными. Возрастающая угроза подчеркивает необходимость для разработчиков приложений внедрять расширенные меры. Эти обновления должны опережать динамические киброугрозы, при этом обеспечивая плавный и безопасный пользовательский опыт.

Что такое биометрический взлом?

Биометрический взлом использует слабые места в системах аутентификации, чтобы получить несанкционированный доступ к конфиденциальным аккаунтам или данным. Поскольку банковские приложения и платформы fintech все чаще опираются на сканирование отпечатков пальцев, распознавание лиц и аутентификацию по голосу, киберпреступники находят новые способы манипулировать этими системами.

Помимо рисков для безопасности, опора на биометрические технологии поднимает вопросы предвзятости и защиты данных. Плохо спроектированные системы менее точны для определенных групп населения, что приводит к дискриминации и проблемам с доступом.

Кроме того, отсутствие прозрачности в сборе данных делает пользователей уязвимыми для неправомерного использования и слежки. Более надежные меры защиты, этичные практики и технологии без предвзятости необходимы, чтобы защитить потребителей и обеспечить справедливую, надежную аутентификацию.

Как биометрический взлом угрожает банковским приложениям

Биометрический взлом ставит под угрозу банковские приложения, подвергая пользователей и финансовые организации мошенничеству, краже личности и дорогостоящим утечкам. In 2023, средняя стоимость реагирования на инцидент при атаке с использованием программы-вымогателя оценивалась в $4.54 миллиона, что подчеркивает высокую цену ошибок в кибербезопасности. Вот некоторые способы, которыми эта кибератака угрожает приложениям:

*   Атаки с подменой (spoofing): хакеры используют поддельные отпечатки, маски или изображения с высоким разрешением, чтобы обмануть биометрические сканеры и заставить их предоставить несанкционированный доступ.
*   Утечки данных: злоумышленники могут продавать украденные данные из плохо защищенных баз на dark web или использовать их для мошенничества с личностью.
*   Атаки повторного воспроизведения (replay): киберпреступники перехватывают и повторно используют данные аутентификации, чтобы выдавать себя за законных пользователей.
*   Атаки «человек посередине» (man-in-the-middle): хакеры перехватывают данные во время передачи, манипулируя процессом аутентификации, чтобы получить доступ.
*   Эксплойты через вредоносное ПО (malware): вредоносные программы могут скомпрометировать банковские приложения, перехватывая учетные данные без ведома пользователя.
*   AI-powered deepfakes: продвинутые инструменты искусственного интеллекта могут генерировать гиперреалистичные deepfakes лица или голоса, чтобы обойти биометрическую верификацию.
*   Риски регуляторных требований и комплаенса: неспособность правильно защитить данные может привести к юридическим последствиям, штрафам и потере доверия клиентов.

5 способов, как создатели банковских приложений могут предотвратить биометрический взлом

Поскольку техники биометрического взлома становятся более совершенными, создатели приложений должны предпринимать упреждающие шаги, чтобы усилить защиту и обезопасить данные пользователей. Ниже — стратегии, которые помогают снизить риск утечек, обеспечивая при этом бесшовный пользовательский опыт.

2.      

### **Шифруйте биометрические данные end-to-end**

Защита биометрических данных с помощью надежного шифрования предохраняет пользователей от мошенничества и кражи личности, но централизованные системы хранения остаются основной целью для хакеров. Разработчики приложений могут внедрять децентрализованные решения для хранения, которые распределяют данные по защищенным сетям, чтобы снизить риски утечки.

Блокчейн-технология — один из ведущих примеров. Она обеспечивает прозрачность, децентрализацию и неизменяемость — делая гораздо сложнее для киберпреступников скомпрометировать данные пользователя. Использование этого инструмента позволяет обеспечить безопасность учетных данных и их контроль со стороны пользователя, устраняя необходимость в стороннем управлении данными. Такой подход снижает риск массовых утечек и укрепляет доверие потребителей к биометрической аутентификации.

3.      

### **Внедряйте многоуровневые меры безопасности**

Одна лишь опора на биометрию для аутентификации делает банковские приложения уязвимыми к сложным попыткам взлома. Разработчики могут создать более надежную систему безопасности, сочетая биометрию с PIN-кодами, паролями или поведенческой аутентификацией — например, динамикой нажатия клавиш или паттернами использования устройства.

Кроме того, принудительное включение многофакторной аутентификации для всех удаленных доступов к сети организации — а также для привилегированных или административных учетных записей — снижает вероятность разрушительных кибервторжений в банковском секторе. Этот дополнительный барьер безопасности делает эксплойт украденных учетных данных экспоненциально сложнее для хакеров, повышая целостность всей системы.

4.      

### **Регулярно обновляйте протоколы безопасности**

Частые обновления программного обеспечения укрепляют безопасность банковских приложений за счет устранения уязвимостей и предотвращения появляющихся угроз. Киберпреступники постоянно меняют тактики, а устаревшие системы создают «окна» для попыток биометрического взлома. Регулярное обновление протоколов безопасности позволяет приложениям избегать потенциальных эксплойтов и снижать риск утечек.

Внедрение AI-driven обнаружения аномалий добавляет уровень защиты, выявляя необычное поведение входа в реальном времени. Эта технология может обнаруживать подозрительные действия — например, входы с неизвестных устройств или аномальные шаблоны доступа — и запускать дополнительные шаги аутентификации, чтобы заблокировать несанкционированный доступ.

5.      

### **Используйте технологию обнаружения “живости” (liveness)**

**Банковские приложения должны интегрировать технологию обнаружения живости для предотвращения атак с подменой и различения реальных и поддельных человеческих признаков. Продвинутые решения для обнаружения живости обрабатывают данные с помощью 3D-сканирования, анализируя глубину, движение и другие тонкие характеристики, чтобы подтвердить подлинность.

Этот AI-powered подход повышает эффективность системы, выявляя попытки обойти биометрическую аутентификацию с помощью фотографий, масок или технологии deepfake. Благодаря постоянному обучению на взаимодействиях в реальном мире, обнаружение живости, управляемое AI, становится более эффективным в выявлении попыток мошенничества при сохранении бесшовного пользовательского опыта.

6.      

### **Ограничьте хранение биометрических данных**

Хранение биометрических данных локально на устройстве пользователя вместо облачного хранения минимизирует риски безопасности и защищает конфиденциальную информацию. При 71% росте кибератак в 2024 году с использованием украденных или скомпрометированных учетных данных централизованные базы стали главными целями для хакеров, стремящихся использовать системы аутентификации.

Хранение этих данных на устройстве может снизить риск крупномасштабных утечек, одновременно предоставляя пользователям больший контроль над их личной информацией. Внедрение криптографических hash-функций усиливает безопасность, гарантируя, что исходные биометрические данные никогда не будут находиться в их исходном виде. Это делает почти невозможным для киберпреступников восстановить или неправомерно использовать их.

Будущее биометрической безопасности и ответственность финтеха

Финтех-компании должны внедрять расширенное шифрование и обнаружение мошенничества, управляемое AI, чтобы защищать пользователей от возникающих угроз. Поскольку биометрические технологии становятся сложнее, финансовым учреждениям необходимо опережать злоумышленников, чтобы создавать более безопасный и бесшовный банковский опыт.