SG.hu
Vietnámban szelfit is kell készíteni a mobilbankoláshoz
Amióta a világjárvány miatt egyre több vállalkozás kényszerült a digitális átállásra, a világ egyes részein terjed az önarcképek használata a személyazonosság online igazolására. Egyes bankok - sőt kormányok is - elkezdték megkövetelni a Zoomon vagy hasonló eszközökön keresztüli bekapcsolódást, de vajon van ennek értelme, biztonságos megoldás ez?
Vietnám minden 400 dollár körüli vagy annál nagyobb összegű digitális tranzakció esetében megköveteli a mobilbanki alkalmazásokban a személyazonosság igazolására szolgáló arcszkennelést. Az ország lakosai nem tudják kivonni magukat a banki szabályok alól, annak ellenére, hogy a délkelet-ázsiai ország rendszeresen leghátul szerepel az internetes adatvédelmi és kiberbiztonsági listákon. A helyi média előre figyelmeztetett, hogy a szelfik nem javítják a biztonságot, és alig néhány nappal az új rendszer bevezetése után néhány banki alkalmazásnál máris kiderült, hogy az egyénről készült élőkép helyett állóképeket is elfogadnak.
Az aggodalmak nem korlátozódnak Vietnamra. A múlt hónap végén az amerikai Resecurity kiberbiztonsági cég hasonló aggodalmakra hívta fel a figyelmet, amikor a kiberbűnözői piactereken a szingapúriak szelfijeit tartalmazó, kiszivárgott személyazonossági dokumentumok számának növekedését tapasztalta. Sok ilyen szelfi került a fintech és e-kereskedelmi szolgáltatókhoz, ahonnan később kiszivárgott. A Resecurity szerint néhányat olyan hackercsoportok gyűjtöttek be, amelyek hamis telemarketing- vagy ügyfélszolgálati csalásokat hajtanak végre, és szelfiket gyűjtenek, hogy azokat eladhassák más gonosztevőknek.
"Az elmúlt öt évben a szelfik használata a személyazonosság ellenőrzésére folyamatosan terjedt, de a fordulópont a világjárvány idején volt, amikor az emberek kénytelenek voltak digitálisan elköteleződni" - mondta Akif Khan, a Gartner alelnöke. Khan rendszeresen segít a szervezeteknek a szelfi alapú hitelesítés bevezetésének folyamatában, és "nagyon élénkre" teszi az érdeklődést, sőt: míg régen lassú, de állandó növekedést tapasztalt, addig a közelmúltban "fellendülést" lát. Egy másik fintech-veterán, a New World Advisors tanácsadó cég vezérigazgatója, Katie Mitchell egyetért Khannal. "Mivel egyre több pénzügyi szolgáltatás érhető el online, az új környezetben szükség van a számlanyitási szolgáltatások átalakítására" - mondta. "Ennek következtében most már sok online tevékenységünkhöz szükség van a személyazonosság igazolására."
A pénzmosás elleni és azonosítási szabályozások és törvények szinte mindenhol helyiek, és azok globálisan ritkán átjárhatók, joghatóságonként változnak és folyamatosan frissülnek. "Külön-külön minden joghatóságnak megvan a saját adatvédelmi és magánélet-védelmi törvényei. Ezek nem feltétlenül foglalkoznak átfogó módon a számlaellenőrzéshez és -nyitáshoz szükséges biometrikus gyűjtési folyamatokkal. Itt van egy tátongó rés" - magyarázta Mitchell. A svájci Acronis kiberbiztonsági cég biztonsági vezetője, Kevin Reed szerint is általában a szabályozás hiánya jelenti a problémát, máskor viszont az a szervezet a hibás, amelyik kezeli a szelfit.
"Egy azonosítási célú szelfi készítése önmagában nem probléma. A probléma az, hogy ezeket az adatokat nem megfelelően kezelik, és sok esetben az ellenőrzés befejezése után soha nem törlik" - mondta Reed. Ez a dilemma tovább súlyosbodik, ha sok ember fér hozzá a fájlokhoz. "Ha ezek bármilyen értéket képviselnek a bűnözők számára - és egy adatcsomag, amely lehetővé teszi egy bűnöző számára egy azonosítás elvégzését, minden bizonnyal értékes -, így valaki megpróbálja majd ellopni őket" - magyarázta Reed.
Egy szingapúri székhelyű digitális fizetési szolgáltató személyazonosság-ellenőrzési módszerénél az egyén a kezében tartja az állami személyi igazolványát, valamint egy darab papírt, amelyre kézzel írtak egy bizonyos üzenetet. Reed ezt a módszert "valamivel jobbnak" nevezte, mint egy egyszerű fényképet - de nem "jelentős előrelépés", mivel könnyen szerkeszthető. "Azt mondanám, hogy ez a folyamat elriasztana egy alkalmi támadót, de bárki, aki motiválva van, megtalálná a módját, hogy megkerülje" - mondta a Gartner Khan. Tapasztalatai szerint az egyszerű szelfikre támaszkodó vállalkozások jellemzően kisebb cégek, amelyek csalást tapasztaltak, és egy szelfi-alapú átmeneti megoldást vezettek be, miközben a megfelelő megoldás kidolgozásán fáradoznak.
Khan ügyfelei olyan beszállítókat használnak, amelyek termékei a webhelyekbe vagy mobilalkalmazásokba integrált ellenőrzést tartalmaznak. A kép valós idejű hitelesítésének folyamatát, hogy a kép valós személy-e, általában teljesen kiszervezik. A kiszervező a személyazonossági igazolványon lévő jeleket - például hologramot, biztonsági jellemzőket, a fényvisszaverődés módját, valamint a fizikai igazolvány mélységét és széleit - keresi. Gyakran videót is kérnek az ellenőrzött személytől, az arckifejezés megváltoztatását vagy a fej elfordítását. Egyes életjel-ellenőrzések még a véráramlás jeleit is keresik. Miután megállapították, hogy nem állóképről van szó és ha a személyazonosító igazolványt nem tartják hamisítottnak, a biometrikus adatokat összehasonlítják a személyazonosító igazolvánnyal. És mivel a gyártó ellenőrzi a rögzítést, még a deepfake támadásokat is felismeri. Az egész folyamatot általában gépi tanulás segíti, és jellemzően 20 másodperc alatt végbemegy. A gyártók vagy meghatározott ideig tárolják az adatokat, vagy azonnal törlik azokat.
Khan úgy véli, hogy a weben megtalálható állóképek és fényképes igazolványok személyazonosság-lopással kapcsolatos aggodalma túlzó, mivel a legtöbb szervezet a bankszámlanyitáshoz és egyéb feladatokhoz élethűségi ellenőrzést fog megkövetelni. A Resecurity által észrevett sima képek ezért az életjel-ellenőrzések fejlődésével egyre inkább használhatatlanná válnak. "A biztonság területén dolgozom - semmi sem bolondbiztos" - ismerte el Khan. Szerinte az igazi aggodalom az, hogy mi történik akkor, amikor az akadálymentesítés, a sokszínűség és a befogadási intézkedések lépnek életbe, például az öregeknek vagy vakoknak kerülő utakat tesznek elérhetővé. Fontos biztosítani, hogy minden ember megfelelően hozzáférhessen ezekhez az ellenőrző rendszerekhez, de a kivételes folyamatok kialakításakor, amelyek biztosítják, hogy minden felhasználó alkalmazhassa az élénkségi ellenőrzéseket, a gyártóknak óvatosnak kell lenniük, nehogy véletlenül kiskaput hozzanak létre. "Át kell gondolni, hogyan lehet inkluzívnak lenni, miközben meg kell akadályozni, hogy egy fenyegető szereplő színleljen".
Vietnám minden 400 dollár körüli vagy annál nagyobb összegű digitális tranzakció esetében megköveteli a mobilbanki alkalmazásokban a személyazonosság igazolására szolgáló arcszkennelést. Az ország lakosai nem tudják kivonni magukat a banki szabályok alól, annak ellenére, hogy a délkelet-ázsiai ország rendszeresen leghátul szerepel az internetes adatvédelmi és kiberbiztonsági listákon. A helyi média előre figyelmeztetett, hogy a szelfik nem javítják a biztonságot, és alig néhány nappal az új rendszer bevezetése után néhány banki alkalmazásnál máris kiderült, hogy az egyénről készült élőkép helyett állóképeket is elfogadnak.
Az aggodalmak nem korlátozódnak Vietnamra. A múlt hónap végén az amerikai Resecurity kiberbiztonsági cég hasonló aggodalmakra hívta fel a figyelmet, amikor a kiberbűnözői piactereken a szingapúriak szelfijeit tartalmazó, kiszivárgott személyazonossági dokumentumok számának növekedését tapasztalta. Sok ilyen szelfi került a fintech és e-kereskedelmi szolgáltatókhoz, ahonnan később kiszivárgott. A Resecurity szerint néhányat olyan hackercsoportok gyűjtöttek be, amelyek hamis telemarketing- vagy ügyfélszolgálati csalásokat hajtanak végre, és szelfiket gyűjtenek, hogy azokat eladhassák más gonosztevőknek.
"Az elmúlt öt évben a szelfik használata a személyazonosság ellenőrzésére folyamatosan terjedt, de a fordulópont a világjárvány idején volt, amikor az emberek kénytelenek voltak digitálisan elköteleződni" - mondta Akif Khan, a Gartner alelnöke. Khan rendszeresen segít a szervezeteknek a szelfi alapú hitelesítés bevezetésének folyamatában, és "nagyon élénkre" teszi az érdeklődést, sőt: míg régen lassú, de állandó növekedést tapasztalt, addig a közelmúltban "fellendülést" lát. Egy másik fintech-veterán, a New World Advisors tanácsadó cég vezérigazgatója, Katie Mitchell egyetért Khannal. "Mivel egyre több pénzügyi szolgáltatás érhető el online, az új környezetben szükség van a számlanyitási szolgáltatások átalakítására" - mondta. "Ennek következtében most már sok online tevékenységünkhöz szükség van a személyazonosság igazolására."
A pénzmosás elleni és azonosítási szabályozások és törvények szinte mindenhol helyiek, és azok globálisan ritkán átjárhatók, joghatóságonként változnak és folyamatosan frissülnek. "Külön-külön minden joghatóságnak megvan a saját adatvédelmi és magánélet-védelmi törvényei. Ezek nem feltétlenül foglalkoznak átfogó módon a számlaellenőrzéshez és -nyitáshoz szükséges biometrikus gyűjtési folyamatokkal. Itt van egy tátongó rés" - magyarázta Mitchell. A svájci Acronis kiberbiztonsági cég biztonsági vezetője, Kevin Reed szerint is általában a szabályozás hiánya jelenti a problémát, máskor viszont az a szervezet a hibás, amelyik kezeli a szelfit.
"Egy azonosítási célú szelfi készítése önmagában nem probléma. A probléma az, hogy ezeket az adatokat nem megfelelően kezelik, és sok esetben az ellenőrzés befejezése után soha nem törlik" - mondta Reed. Ez a dilemma tovább súlyosbodik, ha sok ember fér hozzá a fájlokhoz. "Ha ezek bármilyen értéket képviselnek a bűnözők számára - és egy adatcsomag, amely lehetővé teszi egy bűnöző számára egy azonosítás elvégzését, minden bizonnyal értékes -, így valaki megpróbálja majd ellopni őket" - magyarázta Reed.
Egy szingapúri székhelyű digitális fizetési szolgáltató személyazonosság-ellenőrzési módszerénél az egyén a kezében tartja az állami személyi igazolványát, valamint egy darab papírt, amelyre kézzel írtak egy bizonyos üzenetet. Reed ezt a módszert "valamivel jobbnak" nevezte, mint egy egyszerű fényképet - de nem "jelentős előrelépés", mivel könnyen szerkeszthető. "Azt mondanám, hogy ez a folyamat elriasztana egy alkalmi támadót, de bárki, aki motiválva van, megtalálná a módját, hogy megkerülje" - mondta a Gartner Khan. Tapasztalatai szerint az egyszerű szelfikre támaszkodó vállalkozások jellemzően kisebb cégek, amelyek csalást tapasztaltak, és egy szelfi-alapú átmeneti megoldást vezettek be, miközben a megfelelő megoldás kidolgozásán fáradoznak.
Khan ügyfelei olyan beszállítókat használnak, amelyek termékei a webhelyekbe vagy mobilalkalmazásokba integrált ellenőrzést tartalmaznak. A kép valós idejű hitelesítésének folyamatát, hogy a kép valós személy-e, általában teljesen kiszervezik. A kiszervező a személyazonossági igazolványon lévő jeleket - például hologramot, biztonsági jellemzőket, a fényvisszaverődés módját, valamint a fizikai igazolvány mélységét és széleit - keresi. Gyakran videót is kérnek az ellenőrzött személytől, az arckifejezés megváltoztatását vagy a fej elfordítását. Egyes életjel-ellenőrzések még a véráramlás jeleit is keresik. Miután megállapították, hogy nem állóképről van szó és ha a személyazonosító igazolványt nem tartják hamisítottnak, a biometrikus adatokat összehasonlítják a személyazonosító igazolvánnyal. És mivel a gyártó ellenőrzi a rögzítést, még a deepfake támadásokat is felismeri. Az egész folyamatot általában gépi tanulás segíti, és jellemzően 20 másodperc alatt végbemegy. A gyártók vagy meghatározott ideig tárolják az adatokat, vagy azonnal törlik azokat. Khan úgy véli, hogy a weben megtalálható állóképek és fényképes igazolványok személyazonosság-lopással kapcsolatos aggodalma túlzó, mivel a legtöbb szervezet a bankszámlanyitáshoz és egyéb feladatokhoz élethűségi ellenőrzést fog megkövetelni. A Resecurity által észrevett sima képek ezért az életjel-ellenőrzések fejlődésével egyre inkább használhatatlanná válnak. "A biztonság területén dolgozom - semmi sem bolondbiztos" - ismerte el Khan. Szerinte az igazi aggodalom az, hogy mi történik akkor, amikor az akadálymentesítés, a sokszínűség és a befogadási intézkedések lépnek életbe, például az öregeknek vagy vakoknak kerülő utakat tesznek elérhetővé. Fontos biztosítani, hogy minden ember megfelelően hozzáférhessen ezekhez az ellenőrző rendszerekhez, de a kivételes folyamatok kialakításakor, amelyek biztosítják, hogy minden felhasználó alkalmazhassa az élénkségi ellenőrzéseket, a gyártóknak óvatosnak kell lenniük, nehogy véletlenül kiskaput hozzanak létre. "Át kell gondolni, hogyan lehet inkluzívnak lenni, miközben meg kell akadályozni, hogy egy fenyegető szereplő színleljen".