Skip to main content
Hermes Banner 1
DIABASTE DWREAN SEC CYP 13
DIGITAL TV 190
ilka aggelia
30 Αυγούστου 2024 09:53

Αυξανόμενες οι απάτες κλοπής με Face ID – Πως να προστατέψετε το τηλέφωνο και τα δεδομένα σας

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2024%2F08%2Fface recognition

Οι τεχνολογίες αναγνώρισης προσώπου έχουν γίνει δημοφιλές εργαλείο για ασφαλή έλεγχο ταυτότητας. Όταν τεχνολογικοί γίγαντες όπως η Apple διέδωσαν την τεχνολογία Face ID για έλεγχο ταυτότητας, η οποία, σε γενικές γραμμές, δεν μπορεί να ξεγελαστεί από φωτογραφίες και κρυπτογραφεί τα δεδομένα των λεπτομερειών του προσώπου των χρηστών, οι ανησυχίες για την ασφάλεια μειώθηκαν σε σημείο που ακόμη και οι τράπεζες και ο ευρύτερος χρηματοπιστωτικός τομέας χρησιμοποιούν πλέον συστήματα αναγνώρισης προσώπου για έλεγχο ταυτότητας.

Ωστόσο, αυτά τα “καλά νέα” σχετικά με την τεχνολογική πρόοδο μπορεί επίσης να δημιουργήσουν τη λανθασμένη εικόνα ότι η τεχνολογία αναγνώρισης προσώπου και ο βιομετρικός έλεγχος ταυτότητας είναι το απόλυτο εργαλείο. Τέρμα οι κωδικοί πρόσβασης, τέρμα οι απάτες, κανείς δεν μπορεί να κλέψει μια τρισδιάστατη εικόνα του προσώπου σας, σωστά;

Στον τομέα της κυβερνοασφάλειας όμως οι εξελίξεις τρέχουν, οπότε αν νομίζετε ότι η τεχνολογία αναγνώρισης προσώπου από μόνη της θα αποτρέψει την εξαπάτηση ή την παραβίαση της συσκευής σας, διαβάστε παρακάτω για να κατανοήσετε τα όρια της και την ασφάλεια που μπορεί να προσφέρει.

Στην τελευταία έκθεση απειλών για το πρώτο εξάμηνο του 2024, οι ερευνητές της παγκόσμιας εταιρίας ψηφιακής ασφάλειας ESET περιγράφουν πώς οι κυβερνοεγκληματίες χρησιμοποιούν ψεύτικες εφαρμογές για κινητά για να αντικαταστήσουν τα δικά τους πρόσωπα με εκείνα των θυμάτων τους, χρησιμοποιώντας υπηρεσίες AI. Η μέθοδος αυτή μπορεί να χρησιμοποιηθεί για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς χρηστών.

Η ισχυρότερη προστασία έγκειται στη χρήση συνδυασμών πολιτικών ασφαλείας – για παράδειγμα, αξιοποιώντας τον έλεγχο ταυτότητας προσώπου με πολυεπίπεδες τεχνολογίες κυβερνοασφάλειας, συμπεριλαμβανομένου του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) που έχει δημιουργηθεί με γνώμονα την πρόληψη, ώστε να αποφεύγονται οι επιθέσεις πριν προλάβουν να προκαλέσουν ζημιά.

face rec 2

Προτιμώμενος τρόπος ελέγχου ταυτότητας

O βιομετρικός έλεγχος ταυτότητας έχει κερδίσει δημοτικότητα τόσο μεταξύ των καταναλωτών όσο και των επιχειρήσεων, κυρίως λόγω της ευκολίας χρήσης. Το 2023, τα βιομετρικά στοιχεία, όπως το δακτυλικό αποτύπωμα ή η σάρωση προσώπου, ήταν οι προτιμώμενες μέθοδοι ελέγχου ταυτότητας ασφαλείας για την πρόσβαση στους online λογαριασμούς, τις εφαρμογές και τις έξυπνες συσκευές των χρηστών. Ο βιομετρικός έλεγχος ταυτότητας χρησιμοποιήθηκε από το 27% των ερωτηθέντων μεταξύ των καταναλωτών σε διάφορες χώρες.

Μια άλλη έρευνα για το 2023 διαπίστωσε ότι σχεδόν το 60% των ερωτηθέντων μεταξύ των ηγετών πληροφορικής και κυβερνοασφάλειας στις Ηνωμένες Πολιτείες ανέφεραν τα βιομετρικά στοιχεία όταν ρωτήθηκαν με τι αντικαθιστούν ή αναμένουν να αντικαταστήσουν τους κωδικούς πρόσβασης στο χώρο εργασίας.

Το 2022, η αγορά για τεχνολογίες αναγνώρισης προσώπου έφτανε τα περίπου 5 δισεκατομμύρια δολάρια και αναμένεται να αυξηθεί, φτάνοντας τα 19,3 δισεκατομμύρια δολάρια μέχρι το 2032.
Από το 2017 που παρουσιάστηκε η τρισδιάστατη χαρτογράφηση προσώπου με κάμερα και λέιζερ της Apple, μεγάλοι παίκτες της αγοράς, όπως η Samsung, εξετάζουν επίσης νέες τεχνολογίες, όπως τα εργαλεία της Metalenz που μπορούν να διαβάσουν πολωμένα φωτόνια και να δημιουργήσουν μια εικόνα ενός προσώπου.

Νέος παράγοντας επίθεσης

Σήμερα, ορισμένες εφαρμογές οικονομικού περιεχομένου απαιτούν από τους χρήστες να καταγράφουν ένα σύντομο βίντεο του προσώπου τους από διάφορες γωνίες χρησιμοποιώντας την μπροστινή κάμερα της κινητής συσκευής τους ως μια μορφή ασφαλούς ταυτοποίησης. Ωστόσο, αυτό που προοριζόταν ως ένα επιπλέον επίπεδο ασφάλειας για την αποτροπή κλοπής ταυτότητας και δόλιων δραστηριοτήτων έγινε πρόσφατα ένας ακόμη τρόπος επίθεσης για τους κυβερνοεγκληματίες.

Η μονάδα Threat Intelligence της Group-IB εντόπισε ένα άγνωστο μέχρι πρότινος trojan iOS GoldPickaxe.iOS, μια απομίμηση νόμιμων εφαρμογών της κυβέρνησης της Ταϊλάνδης, όπως η Digital Pension for Thailand. Αυτές οι κακόβουλες εφαρμογές συλλέγουν έγγραφα ταυτότητας, SMS και δεδομένα αναγνώρισης προσώπου. Πιθανότατα για να εξασφαλιστεί η μεγαλύτερη δυνατή αλίευση προσωπικών δεδομένων, το κακόβουλο λογισμικού GoldPickaxe είναι διαθέσιμο τόσο για πλατφόρμες iOS όσο και για Android. Η Group-IB απέδωσε την εκστρατεία σε μια ομάδα ηλεκτρονικού εγκλήματος με την ονομασία GoldFactory η οποία έχει σχέση με την Κίνα.

Η έκδοση GoldPickaxe για Android διανέμεται μέσω ιστόσελίδων που παριστάνουν το επίσημο κατάστημα Google Play. Για τη διανομή της έκδοσης iOS, οι φορείς απειλών χρησιμοποιούν ένα σύστημα κοινωνικής μηχανικής πολλαπλών σταδίων για να πείσουν τα θύματα να εγκαταστήσουν ένα προφίλ διαχείρισης κινητών συσκευών (MDM), το οποίο επιτρέπει στους κυβερνοεγκληματίες να αποκτήσουν πλήρη έλεγχο της συσκευής iOS του θύματος.

Για παράδειγμα, οι επιτιθέμενοι προσποιήθηκαν ότι είναι υπάλληλοι του Υπουργείου Οικονομικών της Ταϊλάνδης και προσέγγισαν πολίτες ισχυριζόμενοι ότι οι ηλικιωμένοι συγγενείς τους μπορούσαν να λάβουν πρόσθετες συνταξιοδοτικές παροχές. Στη συνέχεια, τα θύματα πείστηκαν να κάνουν κλικ σε συνδέσμους προς τις ιστοσελίδες των κυβερνοεγκληματιών για να κατεβάσουν ένα προφίλ MDM.
Με αυτόν τον τρόπο, οι επιτιθέμενοι μπορούν να έχουν πρόσβαση στα δεδομένα αναγνώρισης προσώπου των θυμάτων χωρίς να παραβιάζουν τα μέτρα προστασίας της ιδιωτικής ζωής της Apple, όπως το Secure Enclave, ένα ασφαλές περιβάλλον που έχει σχεδιαστεί για τη φύλαξη ευαίσθητων δεδομένων των χρηστών.

Δημιουργία deep fake βίντεο

Μόλις εγκατασταθεί, το GoldPickaxe ζητά από το θύμα να καταγράψει ένα βίντεο ως μέθοδο επιβεβαίωσης στην ψεύτικη εφαρμογή. Το καταγεγραμμένο βίντεο χρησιμοποιείται στη συνέχεια ως πρώτη ύλη για τη δημιουργία deepfake βίντεο.

Αλλά δεν είναι μόνο αυτό, καθώς το ψεύτικο βίντεο δεν θα ήταν αρκετό από μόνο του για να ξεγελάσει τα συστήματα ασφαλείας και ελέγχου ταυτότητας μιας τράπεζας. Το κακόβουλο λογισμικό ζητά επίσης τα έγγραφα ταυτότητας του θύματος, υποκλέπτει SMS και ανακατευθύνει την κυκλοφορία μέσω του διακομιστή μεσολάβησης.

Το GoldPickaxe δεν πραγματοποιεί απευθείας μη εξουσιοδοτημένες συναλλαγές από το τηλέφωνο του θύματος. Αντιθέτως, συλλέγει όλες τις απαραίτητες πληροφορίες από το θύμα για να αποκτήσει αυτόνομη πρόσβαση στην τραπεζική εφαρμογή του θύματος.

Οι ερευνητές της Group-IB υποθέτουν ότι οι κυβερνοεγκληματίες χρησιμοποιούν τις δικές τους συσκευές για να συνδεθούν σε τραπεζικούς λογαριασμούς, μια τακτική που επιβεβαιώθηκε και από την αστυνομία της Ταϊλάνδης.

face rec 1

Η σημασία της πρόληψης

Κάνοντας χρήση τηλεφωνικών κέντρων, προηγμένου κακόβουλου λογισμικού και τεχνητής νοημοσύνης για την παραγωγή deepfake βίντεο, αυτοί οι κυβερνοεγκληματίες κατέβαλαν αρκετή προσπάθεια για τις επιθέσεις τους.

Αυτό, ωστόσο, δεν σημαίνει ότι δεν υπάρχει άμυνα για τέτοιες απειλές, αναφέρει η εταιρία λογισμικού ψηφιακής ασφαλείας ESET και παραθέτει πέντε βασικά μέτρα που μπορείτε να πάρετε για να ενισχύσετε την ασφάλειά σας:

  • Να προσπαθείτε πάντα να επαληθεύετε τους ισχυρισμούς σχετικά με βραβεία, εκπτώσεις ή, όπως στην περίπτωση του GoldPickaxe, συνταξιοδοτικά μπόνους. Εάν κάτι φαίνεται πολύ καλό για να είναι αληθινό, πιθανότατα δεν είναι.
  • Δώστε προσοχή στις ιστοσελίδες που διανέμουν εφαρμογές για κινητά και χρησιμοποιήστε μόνο τα επίσημα καταστήματα εφαρμογών.
  • Μην ξεγελιέστε από ιστοσελίδες phishing.
  • Αν αντιληφθείτε ύποπτη δραστηριότητα στο smartphone σας, εκτελέστε μια σάρωση με μια αξιόπιστη εφαρμογή ασφαλείας.
  • Αφού ανακαλύψετε μια κακόβουλη εφαρμογή, διαγράψτε την και επανεκκινήστε το τηλέφωνό σας. Ίσως χρειαστεί να επαναφέρετε τη συσκευή σας Android στις εργοστασιακές ρυθμίσεις.

Κανείς δεν έχει 100% ανοσία στο phishing και ακόμη και οι ειδικοί της πληροφορικής μπορεί να πέσουν θύματα απάτης. Για να διατηρήσετε την κινητή σας συσκευή ασφαλή, χρειάζεστε επίσης μια αξιόπιστη προστασία κυβερνοασφάλειας, αναφέρει η ESET.

Και να θυμάστε, η ύπαρξη μιας προηγμένης μεθόδου ελέγχου ταυτότητας, όσο ασφαλής και αν είναι (ακόμη και μέσα στο iOS, το οποίο είναι ένα κλειστό σύστημα με ενσωματωμένες λειτουργίες ασφαλείας) δεν αποτελεί εγγύηση ασφάλειας. Οι κυβερνοεγκληματίες είναι δημιουργικοί και είναι σημαντικό να έχετε πολυεπίπεδη ασφάλεια σε περιπτώσεις όπου κάποια επίπεδα άμυνας μπορεί να παρακαμφθούν.

Προστασία των επιχειρήσεων

Μέχρι στιγμής, η GoldPickaxe απευθύνεται μόνο σε καταναλωτές. Ωστόσο, παρόμοιες απειλές που κάνουν κατάχρηση της τεχνολογίας αναγνώρισης προσώπου σε συνδυασμό με την τεχνητή νοημοσύνη θα μπορούσαν ενδεχομένως να χρησιμοποιηθούν για επιθέσεις εναντίων εταιρειών.

Έχουν ήδη υπάρξει επιθέσεις με deepfake βίντεο που οδήγησαν σε τεράστιες οικονομικές απώλειες. Μια μελέτη του 2023 που διεξήχθη από την BlackCloak και το Ινστιτούτο Ponemon δείχνει ότι τα ανώτερα στελέχη επιχειρήσεων γίνονται όλο και συχνότερα στόχος εξελιγμένων επιθέσεων στον κυβερνοχώρο.

Ακόμα και μετά από εκπαίδευση σε θέματα κυβερνοασφάλειας, εξακολουθεί να υπάρχει μεγάλη πιθανότητα οι εργαζόμενοι να πέσουν θύματα εξελιγμένων επιθέσεων που εκθέτουν τις εταιρικές κινητές συσκευές τους, ανοίγοντας το δρόμο για επιθέσεις εναντίον της εταιρείας τους.

Ένα μόνο εργαλείο δεν είναι αρκετό

Η δημιουργία ψεύτικων βίντεο με χρήση τεχνητής νοημοσύνης ακούγεται τρομακτική, αλλά η έρευνα της ESET δείχνει σαφώς ότι ακόμη και αυτές οι περίτεχνες επιθέσεις μπορούν να αποφευχθούν ή να σταματήσουν μέσω κατάλληλων λύσεων κυβερνοασφάλειας.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Δεκέμβριος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Δεκεμβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμέ...
Creta Electronix 2024
Με επιτυχία ολοκληρώθηκε το κλαδικό τριήμερο της Creta Electronix 2024! Η τοπική αγορά υποδέχθηκε για ακόμη μία φορά με ενθουσιασμό τη διοργάνωση της Libra Press και έδειξε έντονο ενδιαφέρον για τ...
Dahua Cloud
Η Dahua Technology αναβάθμισε πρόσφατα την ολοκληρωμένη και αποτελεσματική λύση δικτύου της Dahua Cloud. Η δικτυακή λύση Dahua Cloud είναι μια ολοκληρωμένη, γρήγορη, αποτελεσματική και ασφαλής υπη...
G.I. Security X RISCO
Το Security Report παρακολούθησε το τεχνικό σεμινάριο που διοργάνωσε η G.I. Security για να παρουσιάσει τα νέα συστήματα ασφαλείας και αυτοματισμού της RISCO. Την Παρασκευή, 18 Οκτωβρίου στον μ...
Συστήματα συναγερμού
Στην επίσημη ιστοσελίδα της ελληνικής αστυνομίας διαβάζουμε τα κριτήρια για την έκδοση αδείας σύνδεσης ή ανανέωσης συστημάτων συναγερμού με αστυνομικές υπηρεσίες. Η άδεια σύνδεσης ή ανανέωσης σ...
Uniview IP Video Intercom
H Uniview εισέρχεται δυναμικά και στον τομέα του IP Video Intercom, διαθέτοντας αρχικά συστήματα για απλές εφαρμογές, ενώ το επόμενο διάστημα θα παρουσιάσει πληθώρα μοντέλων και λύσεων, ικανών να ...
ELDES EWP-EXT, EWC1 & EWC1A
Εξαιρετικά χρήσιμοι για τη βελτίωση της ασφάλειας σπιτιών και επιχειρήσεων, οι αισθητήρες εξωτερικού χώρου της ELDES προσφέρουν προηγμένη ανίχνευση και άμεση ενημέρωση για κάθε ύποπτη κίνηση ή δρα...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report Cyprus, 14
Στο νέο τεύχος 14 του Security Report Cyprus θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σε κάθε τεχνικό, ηλεκτρονικό ή επαγγελματία της αγοράς, στους υπεύθυνους ασφαλείας και εκπαί...
Hikvision Smart Hybrid Light
Η πρωτοποριακή τεχνολογία Smart Hybrid Light της Hikvision έρχεται για να βελτιστοποιήσει στον μέγιστο βαθμό τις δυνατότητες καταγραφής των καμερών, ειδικά κατά τις κρίσιμες νυχτερινές ώρες. Με τρ...
Hikvision Smart Hybrid Light
Η νέα σειρά αναλογικών καμερών 1080p D0T-LTS της Hikvision μάς εισάγει στο Turbo HD 8.0 με νέα χαρακτηριστικά που ξεχωρίζουν, όπως η δυνατότητα αμφίδρομης επικοινωνίας (Two-way-Audio) και ο διπλός...
ELDES ESIM320
Το ESIM320 της ELDES είναι ένας gate controler σχεδιασμένος να προσφέρει προστασία και άνεση στη διαχείριση πύλης και άλλων ηλεκτρονικών συσκευών. Μπορεί να τοποθετηθεί σε οποιοδήποτε είδος κτιρίο...
OPTEX AP-SERIES
Η σειρά αισθητήρων ανιχνευτών εισβολής AP της OPTEX αποτελεί μία πρόσθετη λύση ασφάλειας για όσους θέλουν να αναβαθμίσουν τον εσωτερικό τους χώρο προσθέτοντας ένα ακόμα επίπεδο ασφαλείας στο σύστη...
IoT σε ξενοδοχειακές μονάδες
Στον τομέα της φιλοξενίας, η ευημερία του προσωπικού, η διασφάλιση των περιουσιακών στοιχείων και η ασφάλεια των επισκεπτών, είναι οι τρεις λέξεις κλειδί για την επιτυχία. Σήμερα, το τεχνολογικό τ...
Video Analytics σε αεροδρόμια
Τα αεροπορικά ταξίδια είναι ένας από τους ταχύτερους και πιο αποτελεσματικούς τρόπους ταξιδιού παγκοσμίως. Καθημερινά πραγματοποιούνται περισσότερες από 100.000 εμπορικές πτήσεις και ως εκ τούτου ...
Η αποθήκευση δεδομένων παρακολούθησης «γίνεται» έξυπνη!
Η τεχνητή νοημοσύνη φέρνει επανάσταση στον τρόπο αποθήκευσης και διαχείρισης των όλο αυξανόμενων δεδομένων παρακολούθησης. Οι μέρες της απλής εγγραφής και αναθεώρησης των πλάνων βίντεο που παράγου...
Red Dot για την Ajax Systems
Για πρώτη φορά στην ιστορία της, η Ajax Systems κατακτά τα πρώτα βραβεία Red Dot σε Ασφάλεια και Οικιακό Αυτοματισμό! Φέτος, τα προϊόντα συναγερμού και έξυπνου αυτοματισμού της εταιρείας έλαβαν...
Μέτρα προστασίας για τα Data Centers
Τα κέντρα δεδομένων ή αλλιώς Data Centers, όπου φιλοξενείται εξοπλισμός υψηλής αξίας, όπως υπολογιστές, servers, αποθηκευτικά μέσα και άλλες δικτυακές συσκευές, πλέον θεωρούνται κινητήριος μοχλός ...