生物标记物例如指纹、眼睛虹膜和个人的整张脸在证明身份方面越来越受欢迎。如果犯罪分子能够窃取这些生物特征数据,他们就可以伪装成用户,有可能访问你的知识产权、客户数据和金融资产。
“虽然犯罪黑客可以将窃取的生物识别数据在网上出售,价格不菲,但他们的目标是针对特定的网络,使其瘫痪,”他说杰克摩尔的全球安全顾问ESET英国,一个反恶意软件公司。网络犯罪分子在暗网上出售数据,暗网是互联网上一个未知的部分,买家和卖家通过暗网到达网站加密通道使用TOR浏览器.
组织遇到了麻烦,将生物识别技术添加到其他身份验证因素,如一次性密码(OTPs)之所以出现在你的智能手机上,是因为它们保护的数据非常珍贵。一次成功的生物识别黑客攻击,再加上其他身份验证因素,几乎肯定会给企业带来巨大损失。
“持续的攻击带来了持续的入侵,”摩尔说。虽然网络犯罪通常必须努力成功地破解生物识别系统,一旦它们进入系统,就很可能发生重大破坏;摩尔说,如果没有适当的安全程序和连续性计划,组织可能需要很长时间才能恢复正常业务。
你应该用加密的方式存储生物特征数据静态数据,并以加密方式传送数据在运输途中以减少妥协的风险。永远不要使用生物识别作为你唯一的认证因素。
“随着世界走向数字化,人们和组织广泛采用生物识别系统,风险数据泄露泄露敏感的生物识别数据给恶意黑客增加”,腻过SavvidesCyLab生物识别中心主任卡内基梅隆大学谷歌的安全与隐私研究所。犯罪分子就可以进行创作了利用而且重播攻击获取生物特征数据,他们可以利用这些数据闯入系统,”萨维德斯总结道。
网络犯罪分子利用重放攻击,将带有生物特征标记的人的视频在电脑前的iPad上重放生物识别扫描, Savvides说。“重放攻击可能发生在任何生物识别系统上,无论是访问你的电脑、银行账户的系统,或关键基础设施”,Savvides说。
很容易理解对生物特征数据的常见威胁。“保护生物识别数据很困难。组织机构发现,从犯罪黑客那里获取面部、声音和指纹数据是一项挑战,这些黑客在咖啡店使用高分辨率摄像头和高采样率音频他们口袋里智能手机里的录音机。布雷特海豹公司的高级工业网络安全顾问1898 & co这是一家商业咨询和服务公司。
三星Galaxy S22超级相机手机提供1.08亿像素(MP)的分辨率数码相机的世界这比大多数专业相机的分辨率都要高。这对于网络犯罪分子来说已经足够了,他们会把高层管理人员的视频拿来回放面部识别系统.
生物识别黑客记录在案
生物识别的威胁是真实存在的。生物识别数据的泄露正在发生,犯罪黑客经常利用生物识别技术进行后续攻击。
犯罪黑客正在大规模地窃取生物识别数据记录。2020年9月,一名伊朗网络罪犯出售了7.2万份记录伊朗合作、劳动和社会福利部称,来Intel471,一个网络情报公司。这名网络罪犯提供了截屏作为一些包含生物特征数据的记录的证据。
“在人事管理局的黑客攻击中,网络罪犯泄露了560万个指纹,包括我的。2014年之前,每一个向美国政府申请安全许可的人的指纹都被泄露了。”美国人事管理处OPM发现了2015年3月的指纹数据漏出据他说,是在当年4月来CSOonline.
网络罪犯用的是偷来的生物识别技术人工智能仿真进行财务欺诈犯罪黑客利用窃取的高清照片制作模拟视频,骗过了中国政府的面部识别系统。据2021年的一份报告称,黑客获取了中国的税务记录,然后利用这些记录开出了价值7600万美元的虚假税务发票《南华早报》报告。
未来的前景,补救措施
基于生物识别的身份验证将继续存在。“我们迫切需要生物识别技术,但一旦攻击者破坏了它们,我们就无法像用密码那样替代它们。犯罪分子将不断攻击生物识别技术及其不可避免的漏洞。”这些漏洞包括,人们很容易在公众面前记录他们的生物特征,以及缺乏安全措施保护你收集和存储的生物特征数据以供比较。
鼓励企业妥善保护生物特征数据的最好方法之一,就是给他们的失败贴上价格标签。希尔斯说:“因为我们无法改变我们的生物特征,所以我们应该对其保护进行监管,而不是对信用卡、健康信息或任何易受影响的数据进行监管。”
例如,支付卡行业数据安全标准(pci dss)支付卡行业安全标准委员会(PCI-SSC)规定,如果销售者不遵守该标准,每起信用卡数据泄露事件将被处以最高50万美元的罚款安全大道.
现有的方法可以降低我们使用生物识别技术保护的数据的风险。“当我们用生物识别技术保护我们最关键的系统时,我们应该考虑多通道生物识别技术和其他多因素身份验证方法加强层深度防护.因为被泄露的生物识别信息会公开,不再是秘密,我们应该只像使用用户名一样使用它们来补充多因素认证(MFA),”西尔斯警告说。
大卫·吉尔是一名专注于网络安全相关问题的记者。他从美国俄亥俄州克利夫兰写信。
没有发现记录