Angriffe auf biometrische Systeme stellen schon seit jeher ein ernsthaftes Problem dar. Bisher waren jedoch alle Angriffe manuell und wurden von einer oder mehreren Personen durchgeführt. Es gab keinen Anreiz, sie zu automatisieren, denn die biometrische Fernauthentifizierung hat sich erst in den letzten Jahren verbreitet. Jetzt jedoch beginnen viele Websites und Dienste, biometrische Authentifizierungsmethoden zu akzeptieren oder sogar zu fordern. Um gegen diese Art von Sicherheitsmechanismen erfolgreich zu sein, müssen Angreifer ihre Methoden verbessern - und genau das haben sie.

Die Methode, die von einer in China ansässigen Hackergruppe entwickelt wurde, soll Anfang dieses Jahres in Vietnam eingesetzt worden sein, als Angreifer ein Opfer in eine bösartige App lockten, es zu einem Gesichtsscan verleiteten und dann umgerechnet 40.000 Dollar von seinem Bankkonto abhoben. Die Hacker haben augenscheinlich eine neue Kategorie von Malware-Familien entwickelt, die auf das Abgreifen von Gesichtserkennungsdaten spezialisiert sind. Die Cyberkriminellen haben außerdem ein Tool entwickelt, das die direkte Kommunikation zwischen Opfern und Cyberkriminellen ermöglicht, die sich als legitime Bank-Callcenter ausgeben.

Social Engineering ist die Wurzel allen Übels

Mittlerweile werden auch auf internationaler Ebene biometrische Trojaner eingesetzt, wie der eingangs erwähnte Fall eindrucksvoll zeigt. Die dort verwendeten Trojaner der GoldPickaxe-Familie zielen unter anderem bereits auch auf Android-Telefone ab. Wie bei den meisten mobilen Malware-Programmen ist Social Engineering die primäre Verbreitungsmethode. In diesem Fall gab sich der GoldPickaxe.iOS-Trojaner sowohl als Apple-Testplattformprogramm (das anschließend von Apple entfernt wurde) als auch als MDM-Profil (Mobile Device Manager) aus. Anschließend sammelte er Gesichtsprofile und Dokumente und fing SMS-Nachrichten von den Mobilgeräten der Opfer ab.

Die Gesichtserkennungsdaten können dann für biometrische Angriffe genutzt werden, da der Angreifer ein Bild oder digitale Daten des biometrischen Merkmals erhält, was es ihm ermöglicht, dieses nachzuahmen, um es während der Authentifizierung zu verwenden.

„Die Aufklärung von Mitarbeitern und Endnutzern über die Risiken biometrischer Angriffe und die damit verbundenen potenziellen Bedrohungen ist von entscheidender Bedeutung. Darüber hinaus ist die Implementierung technischer Maßnahmen zur Sicherung biometrischer Daten unerlässlich.“ Dr. Martin J. Krämer, KnowBe4

Wenn ein Angreifer jedoch Zugriff auf unverschlüsselte biometrische Daten erhält, kann er ohne weiteres gegenüber Websites und Diensten, die diese Daten verlangen, die Identität seines Opfers annehmen und erfolgreich vortäuschen. Er kann entweder die biometrischen Daten abfangen, wenn sie vom Gerät des Benutzers erfasst werden, oder wenn sie vom Opfer auf seinem legitimen Gerät verwendet werden (was im Wesentlichen einen „Adversary-in-the-Middle"-Angriff auf die biometrische Lösung darstellt). Alternativ kann der Angreifer das biometrische Attribut einfach kopieren, wenn es gespeichert ist. Das Ziel ist es, eine Kopie des biometrischen Merkmals des Benutzers zu erhalten, unabhängig von der Methode.

Sobald der Angreifer das benötigte biometrische Merkmal entwendet hat, kann er es verwenden, um ein Authentifizierungssystem zu täuschen. Manchmal reicht lediglich ein Bild des biometrischen Merkmals aus, um das System zu überlisten. In anderen Fällen erfordert das System, dass die biometrische Probe lebensechte Attribute aufweist, wie zum Beispiel Augenzwinkern oder Veränderungen in der Hautfarbe. In solchen Fällen müssen Hacker das statische biometrische Attribut in Bewegung versetzen, um das Authentifizierungssystem zu überlisten. Dafür nutzen sie KI-gestützte Deepfake-Dienste.