Siber suçlular, finansal kuruluşların kullandığı biyometrik temelli çözümleri hassas bilgileri çalmak için fırsat olarak görüyor.
ATM’ler kredi kartı verileri konusunda her zaman siber suçluluların gündeminde oldu. Her şey ilkel kart kopyalayıcıları ile başladı. Bu kopyalayıcılar; ATM’ye bağlanan, kartın manyetik şeriti ve pin kodundan sahte ATM tuş bölgesi veya web kamera sayesinde bilgi çalabilen, ev yapımı cihazlardı. Zamanla bu tip cihazlar, daha az görünür hale getirilerek geliştirildi ve iyileştirildi. Kopyalamanın daha da zor olup imkansız da olmadığı kart şifresi ile alışveriş sisteminin uygulanması ile birlikte bu cihazlar sözde ‘titrek ışık’lara (shimmer) dönüştü. Büyük oranda aynı olmakla birlikte bu cihazlar kartın çipinden bilgi çalarak online role (aktarma/anahtarlama) saldırısı gerçekleştirmeye yetecek kadar bilgi çalabiliyor. Banka endüstrisi, bazıları biyometrik temelli olan yeni kimlik doğrulamaya çözümleriyle buna karşılık veriyor.
Biyometrik kart kopyalayıcıların ilk dalgası Eylül 2015’te ‘satış öncesi testler’de gözlemlenmişti. Kaspersky Lab araştırmacılarının testin ilk aşamasında topladığı kanıtlar, ürün geliştirmecilerin birkaç sorun bulduğuna işaret ediyor. Ancak asıl sorun, biyometrik veri transferi için GSM modüllerinin kullanılması; sebebi ise elde edilen büyük çaptaki verinin aktarılmasının çok yavaş işlemesi. Dolayısıyla kart kopyalayıcıların yeni versiyonları daha hızlı ve başka veri transfer teknolojileri kullanacak.
İnsan yüzüne maske yerleştirmeyi baz alan mobil uygulamaların geliştirilmesi konusunda yeraltı topluluklarında devam eden tartışmaların olduğuna dair işaretler de söz konusu. Böyle bir uygulamaya saldırganlar bir kişinin sosyal medyada yayınlanmış bir fotoğrafını alıp yüz tanıma sistemini kandırmak için kullanabilir.
Kaspersky Lab’te Güvenlik Uzmanı görevini yürüten Olga Kochetova konuyla ilgili: “Biyometrikteki sorun, bir saldırı durumunda kolaylıkla değiştirilebilen şifre veya pin kodlarının aksine, parmak iziniz ve iris görüntünüzü değiştirmenizin imkansız olması. Bu sebeple eğer bir kere verileriniz suçluların eline geçerse bu doğrulama sistemini bir kez daha kullanmanız güvenli olmayacaktır. Dolayısıyla bu tip verileri güvende tutmak ve güvenli bir şekilde aktarmak çok ama çok önemli. Biyometrik veriler aynı zamanda e-pasaport ve vizelerde de kayıtlı. Yani bir saldırgan e-pasaportu ele geçirirse sadece dökümana değil, o kişinin biyometrik verilerine de erişebilecek. Bir kişinin kimliğini çalmış olacak,” yorumlarında bulundu.
