Vietnámban szelfit is kell készíteni a mobilbankoláshoz

Amióta a világjárvány miatt egyre több vállalkozás kényszerült a digitális átállásra, a világ egyes részein terjed az önarcképek használata a személyazonosság online igazolására. Egyes bankok - sőt kormányok is - elkezdték megkövetelni a Zoomon vagy hasonló eszközökön keresztüli bekapcsolódást, de vajon van ennek értelme, biztonságos megoldás ez?

Vietnám minden 400 dollár körüli vagy annál nagyobb összegű digitális tranzakció esetében megköveteli a mobilbanki alkalmazásokban a személyazonosság igazolására szolgáló arcszkennelést. Az ország lakosai nem tudják kivonni magukat a banki szabályok alól, annak ellenére, hogy a délkelet-ázsiai ország rendszeresen leghátul szerepel az internetes adatvédelmi és kiberbiztonsági listákon. A helyi média előre figyelmeztetett, hogy a szelfik nem javítják a biztonságot, és alig néhány nappal az új rendszer bevezetése után néhány banki alkalmazásnál máris kiderült, hogy az egyénről készült élőkép helyett állóképeket is elfogadnak.

Az aggodalmak nem korlátozódnak Vietnamra. A múlt hónap végén az amerikai Resecurity kiberbiztonsági cég hasonló aggodalmakra hívta fel a figyelmet, amikor a kiberbűnözői piactereken a szingapúriak szelfijeit tartalmazó, kiszivárgott személyazonossági dokumentumok számának növekedését tapasztalta. Sok ilyen szelfi került a fintech és e-kereskedelmi szolgáltatókhoz, ahonnan később kiszivárgott. A Resecurity szerint néhányat olyan hackercsoportok gyűjtöttek be, amelyek hamis telemarketing- vagy ügyfélszolgálati csalásokat hajtanak végre, és szelfiket gyűjtenek, hogy azokat eladhassák más gonosztevőknek.

"Az elmúlt öt évben a szelfik használata a személyazonosság ellenőrzésére folyamatosan terjedt, de a fordulópont a világjárvány idején volt, amikor az emberek kénytelenek voltak digitálisan elköteleződni" - mondta Akif Khan, a Gartner alelnöke. Khan rendszeresen segít a szervezeteknek a szelfi alapú hitelesítés bevezetésének folyamatában, és "nagyon élénkre" teszi az érdeklődést, sőt: míg régen lassú, de állandó növekedést tapasztalt, addig a közelmúltban "fellendülést" lát. Egy másik fintech-veterán, a New World Advisors tanácsadó cég vezérigazgatója, Katie Mitchell egyetért Khannal. "Mivel egyre több pénzügyi szolgáltatás érhető el online, az új környezetben szükség van a számlanyitási szolgáltatások átalakítására" - mondta. "Ennek következtében most már sok online tevékenységünkhöz szükség van a személyazonosság igazolására."

A pénzmosás elleni és azonosítási szabályozások és törvények szinte mindenhol helyiek, és azok globálisan ritkán átjárhatók, joghatóságonként változnak és folyamatosan frissülnek. "Külön-külön minden joghatóságnak megvan a saját adatvédelmi és magánélet-védelmi törvényei. Ezek nem feltétlenül foglalkoznak átfogó módon a számlaellenőrzéshez és -nyitáshoz szükséges biometrikus gyűjtési folyamatokkal. Itt van egy tátongó rés" - magyarázta Mitchell. A svájci Acronis kiberbiztonsági cég biztonsági vezetője, Kevin Reed szerint is általában a szabályozás hiánya jelenti a problémát, máskor viszont az a szervezet a hibás, amelyik kezeli a szelfit.

"Egy azonosítási célú szelfi készítése önmagában nem probléma. A probléma az, hogy ezeket az adatokat nem megfelelően kezelik, és sok esetben az ellenőrzés befejezése után soha nem törlik" - mondta Reed. Ez a dilemma tovább súlyosbodik, ha sok ember fér hozzá a fájlokhoz. "Ha ezek bármilyen értéket képviselnek a bűnözők számára - és egy adatcsomag, amely lehetővé teszi egy bűnöző számára egy azonosítás elvégzését, minden bizonnyal értékes -, így valaki megpróbálja majd ellopni őket" - magyarázta Reed.

Egy szingapúri székhelyű digitális fizetési szolgáltató személyazonosság-ellenőrzési módszerénél az egyén a kezében tartja az állami személyi igazolványát, valamint egy darab papírt, amelyre kézzel írtak egy bizonyos üzenetet. Reed ezt a módszert "valamivel jobbnak" nevezte, mint egy egyszerű fényképet - de nem "jelentős előrelépés", mivel könnyen szerkeszthető. "Azt mondanám, hogy ez a folyamat elriasztana egy alkalmi támadót, de bárki, aki motiválva van, megtalálná a módját, hogy megkerülje" - mondta a Gartner Khan. Tapasztalatai szerint az egyszerű szelfikre támaszkodó vállalkozások jellemzően kisebb cégek, amelyek csalást tapasztaltak, és egy szelfi-alapú átmeneti megoldást vezettek be, miközben a megfelelő megoldás kidolgozásán fáradoznak.

Khan ügyfelei olyan beszállítókat használnak, amelyek termékei a webhelyekbe vagy mobilalkalmazásokba integrált ellenőrzést tartalmaznak. A kép valós idejű hitelesítésének folyamatát, hogy a kép valós személy-e, általában teljesen kiszervezik. A kiszervező a személyazonossági igazolványon lévő jeleket - például hologramot, biztonsági jellemzőket, a fényvisszaverődés módját, valamint a fizikai igazolvány mélységét és széleit - keresi. Gyakran videót is kérnek az ellenőrzött személytől, az arckifejezés megváltoztatását vagy a fej elfordítását. Egyes életjel-ellenőrzések még a véráramlás jeleit is keresik. Miután megállapították, hogy nem állóképről van szó és ha a személyazonosító igazolványt nem tartják hamisítottnak, a biometrikus adatokat összehasonlítják a személyazonosító igazolvánnyal. És mivel a gyártó ellenőrzi a rögzítést, még a deepfake támadásokat is felismeri. Az egész folyamatot általában gépi tanulás segíti, és jellemzően 20 másodperc alatt végbemegy. A gyártók vagy meghatározott ideig tárolják az adatokat, vagy azonnal törlik azokat.

Khan úgy véli, hogy a weben megtalálható állóképek és fényképes igazolványok személyazonosság-lopással kapcsolatos aggodalma túlzó, mivel a legtöbb szervezet a bankszámlanyitáshoz és egyéb feladatokhoz élethűségi ellenőrzést fog megkövetelni. A Resecurity által észrevett sima képek ezért az életjel-ellenőrzések fejlődésével egyre inkább használhatatlanná válnak. "A biztonság területén dolgozom - semmi sem bolondbiztos" - ismerte el Khan. Szerinte az igazi aggodalom az, hogy mi történik akkor, amikor az akadálymentesítés, a sokszínűség és a befogadási intézkedések lépnek életbe, például az öregeknek vagy vakoknak kerülő utakat tesznek elérhetővé. Fontos biztosítani, hogy minden ember megfelelően hozzáférhessen ezekhez az ellenőrző rendszerekhez, de a kivételes folyamatok kialakításakor, amelyek biztosítják, hogy minden felhasználó alkalmazhassa az élénkségi ellenőrzéseket, a gyártóknak óvatosnak kell lenniük, nehogy véletlenül kiskaput hozzanak létre. "Át kell gondolni, hogyan lehet inkluzívnak lenni, miközben meg kell akadályozni, hogy egy fenyegető szereplő színleljen".