Teknologi pengenalan wajah dan pencurian wajah sedang hangat menjadi pembicaraan di dunia maya, bagaimana setiap ada solusi selalu saja ada masalah baru muncul.
Belum lama ini, teknologi pengenalan wajah telah menjadi alat yang semakin populer untuk autentikasi yang aman, yang dipuji karena kemudahannya.
Ketika raksasa teknologi seperti Apple mempopulerkan teknologi Face ID untuk autentikasi wajah, yang secara umum tidak dapat dikelabui oleh foto statis dan mengenkripsi data wajah pengguna.
Dengan sendirinya masalah keamanan secara alami berkurang hingga ke titik di mana bahkan bank dan sektor keuangan yang lebih luas kini menggunakan sistem pengenalan wajah sebagai bentuk otorisasi.
Namun, kabar baik tentang kemajuan teknologi ini juga dapat menciptakan gambaran yang salah tentang pengenalan biometrik sebagai alat utama untuk autentikasi yang aman. Tidak ada lagi kata sandi, tidak ada lagi penipuan, tidak ada yang dapat mencuri gambar 3D wajah asli Anda, benarkah?
Baca juga: Memahami Jenis Serangan Siber |
Teknologi Pengenalan Wajah dan Pencurian Wajah
Peneliti ESET dalam hasil risetnya menjelaskan bagaimana penjahat siber menggunakan aplikasi seluler palsu untuk mengganti wajah mereka sendiri dengan wajah korban mereka menggunakan layanan pertukaran wajah AI.
Metode ini dapat digunakan oleh penjahat dunia maya untuk mendapatkan akses tidak sah ke akun korban, pencurian wajah yang berbahaya.
Perlindungan terkuat terletak pada penggunaan kombinasi pendekatan keamanan, misalnya, memanfaatkan autentikasi wajah dengan teknologi keamanan dunia maya berlapis-lapis.
Termasuk autentikasi multifaktor (MFA) yang dibuat dengan mempertimbangkan pencegahan untuk menghindari serangan sebelum dapat menimbulkan bahaya.
ESET melindungi konsumen dan pengguna bisnis dengan perlindungan perangkat seluler yang menggabungkan AI, keahlian manusia, dan pendekatan pencegahan terlebih dahulu.
Autentikasi Keamanan
Biometrik telah mendapatkan popularitas di kalangan konsumen dan bisnis, terutama karena kemudahan penggunaannya, menempatkannya sebagai alat autentikasi favorit.
Pada tahun 2023, biometrik seperti sidik jari atau pemindaian wajah merupakan metode autentikasi keamanan yang paling disukai untuk mengakses akun daring, aplikasi, dan perangkat pintar pengguna.
Dalam sebuah survei diketahui bahwa autentikasi biometrik digunakan oleh 27 persen responden di antara konsumen di berbagai negara.
Survei lain pada tahun 2023 menemukan bahwa hampir 60 persen responden di antara para pemimpin TI dan keamanan dunia maya di Amerika Serikat menyebutkan biometrik ketika ditanya dengan apa mereka akan mengganti atau mengharapkan untuk mengganti kata sandi tempat kerja.
Pengenalan wajah, yang juga merupakan bagian dari pasar biometrik, mencerminkan permintaan publik akan teknologi baru ini. Pada tahun 2022, pasar diperkirakan mencapai sekitar $5 miliar dan diperkirakan akan tumbuh, mencapai $19,3 miliar pada tahun 2032.
Sejak pemetaan wajah 3D berbasis kamera dan laser Apple diperkenalkan pada tahun 2017, pelaku pasar besar seperti Samsung juga telah mempertimbangkan teknologi baru seperti alat Metalenz yang dapat membaca foton terpolarisasi dan membuat gambar wajah tertentu atau bahkan merekam tanda tangan kulit dalam bentuk video singkat.
Baca juga: Manusia Titik Terlemah Sistem Keamanan |
Vektor Serangan Baru
Saat ini, aplikasi keuangan tertentu mengharuskan pengguna merekam video singkat wajah mereka dari berbagai sudut menggunakan kamera depan perangkat seluler mereka sebagai bentuk autentikasi yang aman.
Namun, apa yang dimaksudkan sebagai lapisan keamanan tambahan untuk mencegah pencurian identitas dan aktivitas penipuan baru-baru ini menjadi vektor serangan lain bagi penjahat dunia maya.
Unit Threat Intelligence Group-IB menemukan Trojan iOS GoldPickaxe.iOS yang sebelumnya tidak dikenal, tiruan dari aplikasi pemerintah Thailand yang sah seperti Digital Pension for Thailand.
Aplikasi berbahaya ini mengumpulkan dokumen identitas, SMS, dan data pengenalan wajah. Kemungkinan untuk memastikan penangkapan data pribadi yang lebih besar,
Beberapa anggota keluarga malware GoldPickaxe tersedia untuk platform iOS dan Android. Group-IB mengaitkan kampanye tersebut dengan kelompok kejahatan dunia maya berbahasa Mandarin yang disebut GoldFactory.
Terdeteksi oleh ESET
Versi Android GoldPickaxe didistribusikan melalui situs web yang menyamar sebagai toko Google Play resmi. Untuk mendistribusikan versi iOS, pelaku menggunakan skema Social Engineering multitahap
Yang bertujuan untuk membujuk korban agar memasang profil manajemen perangkat seluler (MDM), yang memungkinkan penyerang memperoleh kendali penuh atas perangkat iOS korban.
Misalnya, penyerang berpura-pura menjadi pejabat dari Kementerian Keuangan Thailand yang mendekati warga dengan mengklaim bahwa kerabat lanjut usia pengguna yang menjadi target berhak atas tunjangan pensiun tambahan. Korban kemudian dibujuk untuk mengeklik tautan ke situs web penjahat untuk mengunduh profil MDM.
Dengan cara ini, penyerang dapat mengakses data pengenalan wajah korban tanpa meretas tindakan perlindungan privasi Apple seperti Secure Enclave, lingkungan aman berbasis perangkat keras yang dirancang untuk menjaga data pengguna yang sensitif.
Membuat Video Palsu
Setelah terinstal, GoldPickaxe meminta korban untuk merekam video sebagai metode konfirmasi dalam aplikasi palsu tersebut.
Video yang direkam kemudian digunakan sebagai bahan mentah untuk pembuatan video palsu yang difasilitasi oleh layanan kecerdasan buatan pertukaran wajah.
Namun, itu belum semuanya, karena video palsu itu sendiri tidak akan cukup untuk mengelabui sistem keamanan dan autentikasi bank.
Malware tersebut juga meminta dokumen identitas korban, menyadap SMS, dan mengalihkan lalu lintas melalui server proxy.
GoldPickaxe tidak secara langsung melakukan transaksi tidak sah dari ponsel korban. Sebaliknya, GoldPickaxe mengumpulkan semua informasi yang diperlukan dari korban untuk mengakses aplikasi perbankan korban secara otomatis.
Peneliti Group-IB berhipotesis bahwa para pelaku kejahatan dunia maya menggunakan perangkat mereka sendiri untuk masuk ke rekening bank, sebuah taktik yang juga dikonfirmasi oleh kepolisian Thailand.
Baca juga: Mengapa Data Berharga |
Pentingnya Pencegahan
Mengingat penggunaan pusat panggilan, malware canggih, dan AI untuk produksi video deepfake, jelas bahwa para penjahat dunia maya ini mengerahkan sejumlah upaya dalam serangan mereka. Namun, ini tidak berarti bahwa ancaman tersebut tidak dapat dihentikan, terutama dengan pencegahan yang baik.
Mari kita mulai dengan prinsip-prinsip kewaspadaan dasar:
- Selalu coba verifikasi klaim tentang kelayakan untuk mendapatkan hadiah, diskon, atau, seperti dalam kasus GoldPickaxe, bonus pensiun. Jika tampaknya terlalu bagus untuk menjadi kenyataan, mungkin memang begitu.
- Perhatikan situs web yang mendistribusikan aplikasi seluler dan gunakan hanya toko aplikasi resmi.
- Jangan tertipu oleh situs web phishing. Pelajari cara mengenali phishing di sini.
- Aktivitas mencurigakan di ponsel cerdas Anda? Jalankan pemindaian keamanan dengan aplikasi keamanan yang bereputasi baik.
- Setelah menemukan aplikasi berbahaya, hapus dan mulai ulang ponsel Anda. Mungkin perlu mengatur ulang perangkat Android Anda ke pengaturan pabrik.
Namun, tidak ada yang 100% kebal terhadap phising, dan bahkan spesialis TI pun dapat tertipu oleh penipuan. Untuk menjaga perangkat seluler Anda tetap aman, Anda juga memerlukan perlindungan keamanan siber yang andal.
ESET Mobile Security (EMS) mengambil pendekatan proaktif dan dapat mendeteksi serta memblokir ancaman selama proses pengunduhan, bahkan sebelum penginstalan terjadi.
EMS memindai semua file dalam folder unduhan dan juga dapat digunakan untuk memindai file yang sudah ada. ESET Mobile Security Premium menawarkan perlindungan yang lebih baik dengan
- Anti-Phishing.
- Anti-Theft.
- Payment Protection.
- App Lock.
- Dan banyak lagi.
Dan ingat, memiliki satu metode autentikasi tingkat lanjut, tidak peduli seberapa amannya (bahkan dalam iOS, yang merupakan sistem tertutup dengan fitur keamanan bawaan) bukanlah jaminan keamanan.
Penjahat dunia maya itu kreatif, dan penting untuk memiliki keamanan berlapis jika beberapa lapisan pertahanan dapat dielakkan.
Melindungi Bisnis
Sejauh ini, GoldPickaxe hanya menargetkan konsumen. Namun, ancaman serupa yang menyalahgunakan teknologi pengenalan wajah bersama dengan AI penukar wajah berpotensi digunakan untuk menargetkan departemen keuangan perusahaan atau manajer bisnis.
Telah ada serangan yang melibatkan video deepfake dari eksekutif tingkat C yang telah menyebabkan kerugian finansial yang besar. Sebuah studi tahun 2023 yang dilakukan oleh BlackCloak dan Ponemon Institute menunjukkan bahwa para eksekutif perusahaan senior semakin menjadi sasaran serangan siber canggih, termasuk peniruan identitas daring.
Bahkan dengan pelatihan kewaspadaan siber menyeluruh, masih ada kemungkinan besar bahwa karyawan akan menjadi korban serangan canggih yang mengekspos perangkat seluler perusahaan mereka, yang membuka jalan bagi serangan lebih lanjut terhadap perusahaan mereka. Untuk mempelajari lebih lanjut tentang topik vektor permukaan serangan bisnis dari perangkat seluler karyawan, lihat blog ini.
Menyadari hal ini, ESET telah memperkenalkan modul Pertahanan Ancaman Seluler baru ke solusi bisnis komprehensifnya ESET PROTECT, dengan harga menarik yang tersedia untuk tingkat Lanjutan dan yang lebih tinggi. Pengguna ESET PROTECT Advanced dan yang lebih tinggi dapat menikmati satu kursi perangkat seluler gratis per satu seat berbayar untuk perangkat lain.
Demikian kajian kita kali ini mengenai teknologi pengenalan wajah dan pencurian wajah, semoga paparan di atas dapat menambah wawasan dan bermanfaat.
Sumber berita: