האיום על מערכות האימות הביומטרי
בעידן שבו בינה מלאכותית יוצרת תופסת את מרכז הבמה, קל לשכוח מטכנולוגיות שאנו מקבלים כמובנות מאליהן, כמו מערכות לאימות זהות ביומטרי. מערכות אלו משתמשות בתכונות ייחודיות, כגון טביעות אצבע או זיהוי פנים, כדי לאשר זהות. שימוש בביומטריה הפך לסטנדרט שנועד לשמור על אבטחת חשבונות ולתת למשתמשים שליטה מלאה. כעת אנו עדים לכך שמה שהתחיל כבדיחת רשת התפתח לכלי פלילי רב עוצמה, המוכר בשם זיוף עמוק או דיפ־פייק (deepfake). כיום ניתן ליצור מדיה סינטטית בקלות כדי להטעות מערכות אימות ביומטרי.
תופעה זו התרחשה במציאות, כאשר מוסד פיננסי באינדונזיה נפל קורבן ליותר מ־1,100 תקיפות דיפ־פייק במטרה לעקוף שירות בקשות הלוואה. במקרה ההונאה הפיננסית המדובר התגלו מעל 1,000 חשבונות פיקטיביים, תוך שימוש ב־45 מכשירים שונים. חוקרים ציינו כי התוקפים השיגו את תעודות הזהות של הקורבנות דרך ערוצים לא חוקיים. הפושעים נעזרו בתוכנות זדוניות, ברשתות החברתיות וברשת ה"אפלה" (darknet) כדי לזייף תמונות, לשנות מאפיינים שונים ולעקוף בצורה מתוחכמת את כל מערכות האימות.
לדברי החוקרים, לאירוע זה הייתה השפעה חברתית הרסנית, לצד נזק פיננסי עצום שמוערך בכ־138.5 מיליון דולרים. סוג זה של הונאה הופך לאיום ממשי ברמה הגלובלית. מערכות אימות ביומטרי, שבעבר נתפסו כבטוחות לחלוטין, חשופות כיום לשכפולי דיפ־פייק של קורבנות תמימים וליצירת חשבונות מזויפים המאפשרים חדירה קלה ומהירה אל מאגרי מידע.
קיימים תהליכי אימות ביומטרי רבים לפני קבלת גישה למכשירים, כאשר הנפוצים שבהם כוללים זיהוי פנים, ביומטריה קולית ושיחות וידאו. אף על פי שאלו מציעים אימות של שלבים שונים, טכנולוגיות הזיוף מסוגלות לעקוף אותם. איום מתפתח הוא התקפות הזרקה דיגיטליות, שבהן עבריינים מחדירים מדיה סינטטית ישירות למערכת.
נקודות רבות מאפשרות לפושע להזריק מדיה מזויפת לזרם הנתונים, ממכשיר המשתמש ועד לשרת המרכזי. התוקפים אוספים מידע ביומטרי מרשתות חברתיות או ממתקפות סייבר. לאחר מכן, בעזרת כלים מתקדמים של בינה מלאכותית, הם מייצרים חיות מלאכותית של המשתמש כדי להטעות את תהליך האימות הממוחשב ואף נציגים אנושיים בצורה מושלמת.
מערכות מסוימות פגיעות יותר להונאות זהות המבוססות על טכנולוגיות אלו. לדוגמה, תחום הגיוס מרחוק חווה צמיחה אדירה מאז שנת 2020, מה שיצר נקודת פריצה לראיונות עבודה מזויפים. העברת בקשות לדרכונים ולאשרות שהייה למרחב המקוון הותירה גם היא מערכות ממשלתיות חשופות להונאות שיטתיות, מצב המאפשר גניבת זהויות באין מפריע.
בתחום הפיננסי, נוכלים פותחים חשבונות תוך שימוש בזהויות מזויפות שנאספו ברשת. מעבר למערכת בודדת, להונאות אלו ישנן השלכות חוצות גבולות. רמאים מגישים בקשות להטבות ממדינה אחרת, וארגוני פשיעה מנצלים טכנולוגיה זו לחדור למערכות זרות ולגרום לנזקים משמעותיים בקנה מידה בינלאומי רחב היקף ומסוכן.
מנקודת מבט ארגונית, ייגרם נזק כבד למוניטין של חברות אם נתוני משתמשים ייפרצו. מחדלים באבטחה עלולים להוביל לקנסות כספיים כבדים. מבחינת אכיפת החוק, פשעים אלו קשים למעקב, שכן התוקפים פועלים מכל מקום בעולם תוך טשטוש עקבותיהם, מה שמוביל למרוץ מתמיד בין פושעים מתוחכמים למומחי אבטחת סייבר המנסים לבלום אותם.
