Smartglasögon och deepfakes lurar ansiktsigenkänning - tre experiment visar hur
ESET:s Jake Moore öppnade ett bankkonto med ett AI-genererat ansikte och gömde sig för övervakningskameror med Tom Cruise ansikte. Tre experiment som visar att ansiktsigenkänning inte är så säker som vi tror.
Ansiktsigenkänning används idag för att borda flyg, öppna bankkonton och passera säkerhetskontroller. Tekniken bygger på en grundläggande antagelse: ett ansikte är svårt att förfalska. ESET:s säkerhetsrådgivare Jake Moore testade den antagelsen i praktiken, och resultaten är oroande.
Tre experiment, tre lyckade attacker
I det första experimentet använde Moore ett par modifierade smartglasögon för att identifiera okända personer i realtid på offentliga platser. Glasögonen fångade ansikten och matchade dem mot offentligt tillgängliga datakällor. Namn och sociala medieprofiler returnerades inom sekunder, baserat enbart på en flyktig blick.
I det andra experimentet riktade Moore in sig på finanssektorn. Med AI-genererade bilder och fritt tillgänglig programvara skapade han ett fiktivt ansikte och öppnade ett riktigt bankkonto. Bankens ansiktsigenkänning och eKYC-plattform godkände den fiktiva personen som legitim. Moore stängde kontot och informerade banken, som sedan stängt den specifika attackvektorn. Men frågan kvarstår: hur många banker är fortfarande sårbara?
I det tredje experimentet lade Moore till sig själv på en övervakningslista vid en trafikerad tågstation i London. Han gick sedan genom det övervakade området med ett realtids face swap-program som lade Tom Cruise ansikte över hans eget i kameraflödet. Systemet, som även används av brittisk polis, flaggade honom aldrig.
Presenteras på RSAC 2026
Alla tre experimenten presenteras live av Jake Moore på RSA Conference 2026 i San Francisco, 23-26 mars. Att se dem fungera mot produktionssystem i realtid är en annan upplevelse än att läsa om dem.
Vad det innebär för svenska organisationer
Ansiktsigenkänning rullas ut med en implicit tillit som inte matchar teknikens faktiska motståndskraft. För svenska företag och myndigheter som överväger biometrisk autentisering är budskapet tydligt: tekniken är ett komplement, inte en garanti. Flerfaktorsautentisering och regelbunden penetrationstestning av identitetssystem är nödvändiga skyddsåtgärder.
Vill du veta hur BlckIT kan hjälpa er att säkra era identitetssystem? Kontakta oss.