Een recente rechtszaak in Nederland heeft de groeiende structurele onbalans in digitaal vertrouwen blootgelegd. Een verdachte slaagde erin 46 bankrekeningen te openen door met behulp van deepfakes identiteitsdocumenten te manipuleren en beveiligingsprotocollen te omzeilen. De situatie – waarbij een persoon naar verluidt werd opgedragen zichzelf te filmen terwijl zijn scherm op afstand werd bestuurd – toont aan dat fraude tegenwoordig niet langer handmatig plaatsvindt: ze is geautomatiseerd, schaalbaar en geïndustrialiseerd.
Deze zaak is een wake-upcall. Als een systeem kan worden misleid door iets dat er echt uitziet, heeft het de echtheid nooit werkelijk gecontroleerd.
De overgang van veronderstelde naar echte identiteit
Een groot deel van het huidige digitale vertrouwen berust op een veronderstelde identiteit – signalen die afkomstig zijn van een apparaat, niet van een geïdentificeerde en verantwoordelijke persoon.
De meest geavanceerde KYC-aanpak gaat verder dan louter documentcontrole en richt zich op de ware identiteit. Dat vraagt geen incidentele check, maar een structurele architectuur, gebaseerd op drie niet-onderhandelbare principes: bewijs van een echt persoon, bewijs van een realtime interactie en bewijs van kanaal integriteit.
Bestrijding van de nieuwe dreiging: injection attacks
Hoewel zogeheten presentation attacks (zoals fysieke maskers of foto’s die voor een camera worden gehouden) nog steeds voorkomen, verschuift de dreiging naar geavanceerdere methoden, met name injection attacks. Daarbij worden sensoren volledig omzeild door synthetische gegevens rechtstreeks in de datastroom tussen apparaat en server te injecteren.
Uit recent onderzoek van Veridas blijkt dat inmiddels 1,4% van alle verificatieprocessen tekenen van dergelijke aanvallen vertoont. In deze scenario’s verliezen traditionele liveness-checks hun betekenis, omdat de fraude plaatsvindt in de pijplijn – niet voor de lens.
“Het landschap is verschoven van individuele expertise naar geïndustrialiseerde automatisering,” legt Marco Gouw (Country Manager DACH-Benelux bij Veridas) uit. “Onze data tonen aan dat 41% van deze aanvallen al AI-gestuurd is, waardoor 83% van alle financiële verliezen tegenwoordig voortkomt uit identiteitsfraude. In deze scenario’s schieten traditionele controles tekort, omdat de aanval plaatsvindt tijdens de overdracht.”
Proof of Reality
Om deze door AI aangedreven pandemie het hoofd te bieden, ontwikkelen toonaangevende technologiebedrijven end-to-endplatforms die de banksector voorzien van een geïntegreerd beveiligingskader dat de volledige klantreis beschermt.
- Gecertificeerde Liveness Detection – De iBeta Level 1 & 2-certificeringen vormen de wereldwijde gouden standaard in de strijd tegen geavanceerde spoofing. Slechts een handvol bedrijven wereldwijd beschikt over beide certificeringen voor zowel actieve als passieve liveness detection. Dit waarborgt dat een levend persoon kan worden onderscheiden van complexe 3D-maskers of digitale herhalingen, zowel in native als webomgevingen. Veridas behoort tot deze selecte groep aanbieders.
- Injection Attack Detection (IAD) – Waarborgt de integriteit van het digitale kanaal door te verifiëren dat de mediastream in realtime door een fysieke camera wordt vastgelegd en ongemodificeerd de server bereikt. Zo worden emulators, virtuele camera’s en bots direct bij de bron geblokkeerd.
- Massive Attack Detection (MAD) – Detecteert patronen over meerdere sessies om gecoördineerde fraude op industriële schaal te identificeren. Daarmee worden aanvallen zichtbaar die bij geïsoleerde controles verborgen zouden blijven.
De toekomst van fraude is niet onvermijdelijk, maar vraagt wel om een strategische herziening. Zoals de recente Nederlandse casus laat zien, biedt het simpelweg vragen om een ‘selfie’ geen afdoende bescherming meer tegen gecoördineerde AI-aanvallen.
Door het vertrouwen te verplaatsen van apparaatgebaseerde signalen naar echte identiteit, kunnen bedrijven geautomatiseerde fraude stoppen nog voordat de eerste rekening wordt geopend.
Een artikel van Veridas.