הדרך החדשה והמסוכנת של ההאקרים לגנוב את הזהות שלכם
נוהגים להצטלם עם סימן V באצבעות? זה עלול להיות מסוכן. טכנולוגיה חדשה מאפשרת להאקרים לשחזר את טביעות האצבע שלכם מתמונות סלפי באופן מדויק, ולאחר מכן להדפיס העתק של האצבע שלכם במדפסת תלת-ממד ולעשות בה מגוון שימושים, מזהירים מומחים. כך תוכלו להתגונן מפני התופעה
טכנולוגיית הזיהוי הביומטרי משמשת לעוד ועוד תחומים בחיי היום-יום שלנו, מאימות זהות בבנקים ועד כניסה למשרדים, מעברי גבול ועוד. לכל אחד מאיתנו טביעת אצבע ייחודית שלא ניתן לשחזר ובהתאם לכך, הטכנולוגיה הזו נחשבת ליעילה ומאובטחת במיוחד – אבל גם כאן, הבינה המלאכותית מאיימת להרוס את החגיגה. מומחים מזהירים שהאקרים עשויים לשחזר את טביעות האצבע שלנו מתמונות באמצעות AI, ולאחר מכן לעשות בהן שימוש.
מודלים מתקדמים של ראייה ממוחשבת (Computer Vision) מסוגלים כיום לנצל את האיכות המטורפת של מצלמות הסמארטפון שלנו ולגנוב היישר מתוך תמונות הסלפי שלנו טביעת האצבע. לאחר מכן, כלי AI מסוגלים לקחת פיקסלים מטושטשים ולהפוך אותם לתמונת HD חדה, וחוקרי סייבר כבר הוכיחו שדי בצילום פשוט של תנועת וי (V) מול המצלמה כדי להעניק להאקרים גישה מלאה למפתח הביומטרי שלכם.
אז איך זה עובד? בשלב הראשון, מודל הראייה הממוחשבת סורק את התמונה ומזהה את תנוחת היד שלכם. גם אם הצטלמתם ממרחק של כמה מטרים, המערכת מבודדת מתוך הפריים את קצות האצבעות החשופות. בשלב השני, מודלים של למידת מכונה (Machine Learning) מנקים את רעשי רקע, למשל את הסביבה שבה הצטלמתם ואת האנשים שמסביב ומשלימים את החלקים החסרים עד שנוצרת תמונה ברורה וחדה של קווי טביעת האצבע.
לבסוף, מערכת מתרגמת את קווי האצבע הייחודיים ששוחזרו לקובץ נתונים מתמטי. הקובץ שנוצר מדויק מספיק כדי להטעות את רוב הסורקים הביומטריים ולעבור את סף האבטחה, ממש כאילו האצבע הונחה עליהם בפועל. ההאקרים יוצרים אצבע מזויפת, למשל באמצעות מדפסת תלת-ממד, או יוצרים תבנית שלתוכה יוצקים חומרים גמישים שמדמים עור אנושי, כמו דבק PVA או סיליקון. מחקרים בשטח כבר הוכיחו שרוב הסורקים הרגילים שקיימים כיום בשוק פשוט לא יודעים להבדיל בין אצבע אמיתית לבין החיקוי שנוצר.
"התרגלנו לחשוב על טביעת האצבע שלנו כעל מעין סיסמה סודית וייחודית רק לנו, אבל כשהאקרים יכולים להעתיק אותה מרחוק, המאגר הביומטרי מאבד את הסודיות שלו", מסבירה עינת בורוכוביץ', מדענית נתונים בכירה ברמב"ם ובוגרת הפקולטה למדעי הנתונים וההחלטות בטכניון. "המשמעות היא שהאקרים בכלל לא צריכים להתאמץ ולפרוץ למחשבי הממשלה או הבנקים המאובטחים כדי לגנוב זהויות, הם פשוט אוספים את המידע שאנחנו מפיצים בעצמנו ברשתות החברתיות. הבעיה הגדולה ביותר באיום הזה היא שהוא בלתי הפיך. סיסמה שדלפה אפשר להחליף בשני קליקים, אבל את האצבעות שלנו לא נוכל להחליף. כעת, האחריות עוברת גם לגופים מסחריים ומשרדי ממשלה, שיצטרכו לשדרג בדחיפות את תשתיות האבטחה שלהם כדי לזהות זיופים מתקדמים".
אז איך מתגוננים?
הצעד הראשון והפשוט ביותר מתחיל במודעות בזמן הצילום. מומלץ להימנע מהפניית כריות האצבעות ישירות למצלמה מטווח קרוב, ובמידה ומעלים תמונת תקריב של הידיים שלכם, למשל כדי להציג טבעת חדשה, כדאי לטשטש מעט את קצות האצבעות. מעבר לכך, אל תסמכו רק על זיהוי ביומטרי כדי לנעול יישומים רגישים כמו אפליקציית הבנק או המייל, אלא השתמשו באמצעי אימות נוסף כמו זיהוי פנים (Face IDׂׂׂׂ). כמו כן, הפעילו תמיד אימות דו-שלבי (2FA) המבוסס על קבלת קוד במסרון או באפליקציית אימות (Authenticator). כך, גם אם מישהו יזייף את טביעת האצבע שלכם, הוא ייחסם בשכבת ההגנה הבאה.
בעידן שבו תמונה אחת תמימה יכולה להפוך לכלי בידי האקרים, חשוב להבין שאבטחת מידע כבר לא מתחילה רק בסיסמה חזקה, אלא גם בהרגלים הקטנים שלנו. ככל שטכנולוגיות הבינה המלאכותית משתכללות והופכות לנגישות יותר, כך גם שיטות ההונאה והזיוף הופכות מתוחכמות ומשכנעות יותר, וחשוב להיות מודעים לכך.