首席科學官兼聯合創始人Konstantin SimonchikID R&D
您還記得丹尼·海洋隊(Danny Ocean)的團隊巧妙地欺騙賭場的安全系統的“海洋十一人”中的場景?他們為不受干擾的金庫注入了預先錄製的視頻供稿,導致特里·本尼迪克特(Terry Benedict)和他的安全團隊相信,即使搶劫如火如荼,也沒有什麼是不對勁的。這個電影時刻展示了視頻注射攻擊的力量和潛在危險。在現實世界中,檢測監視和數據系統中的這種破壞至關重要。在本文中,我們將深入研究視頻注射檢測背後的方法和技術,以確保生活不會在我們最安全的空間中模仿藝術。
“海洋的十一”電影:在真實視頻後面(頂部)之後,將預先錄製的視頻注入賭場的安全系統(底部)。
了解視頻注射攻擊
視頻注射攻擊是網絡攻擊的一種形式,將未經授權的視頻內容插入到監視或數據流中。這可能會誤導觀眾,掩蓋非法活動或損害系統的完整性。在KYC(了解您的客戶)系統的背景下,這在金融行業的身份驗證中至關重要,此類攻擊構成了重大威脅。
什麼是視頻注射攻擊?
視頻注射攻擊涉及在身份驗證期間插入捕獲設備(傳感器)和生物特徵提取器之間的欺詐數據流。這在KYC系統中尤其重要,其中生物識別數據(例如人臉的視頻幀)與身份文檔進行了比較。目的是通過操縱視頻提要來建立欺詐性身份。
視頻注射攻擊的威脅不斷增長
這種不斷發展的威脅景觀已經迎來了複雜的數字攻擊時代。視頻注射攻擊變得更加普遍,比傳統演示攻擊(例如掩蓋相機)的普遍五倍。這些攻擊的增加,尤其是通過使用合成圖像的增加,歸因於自動化的便利性和惡意軟件工具的廣泛可用性。尤其是移動平台已經看到了很大的149%上升在這樣的攻擊中。
DeepFake技術以前是辯論的話題,現在是網絡安全攻擊中普遍的工具。攻擊者正在創建高度現實的3D視頻,以欺騙系統來驗證虛假身份。值得注意的是,2022年實時面部互換攻擊的興起在短短半年內增加了295%,對主動和被動驗證系統構成了重大挑戰。
視頻注射攻擊中採用的方法
以下是視頻注射媒介欺詐者用來在遠程入門和KYC系統中欺騙遠程面部識別的欺詐者的列表,例如,用戶探索常規智能手機或筆記本電腦/PC以打開銀行帳戶時。
- 虛擬攝像機:這些被廣泛用於欺詐,其應用程序像ManyCAM流媒體預先記錄或DeepFake視頻一樣,就像來自真實的相機一樣。欺詐者通常將這些虛擬攝像機重命名為模仿物理攝像機,並可能操縱Web瀏覽器功能以促進其使用。
- 硬件視頻棒:這些通過USB連接的設備不使用光學,而是捕獲數字視頻流,例如從另一個設備的屏幕上。它們被操作系統視為標準USB攝像機。
- JavaScript注入:對於基於Web的KYC,注入瀏覽器中的惡意JavaScript代碼可以更改或替代視頻feed,從而用偽造或預先記錄的內容欺騙驗證過程。
- 智能手機模擬器:模擬器主要用於移動應用開發,可以復制真正的智能手機的功能。攻擊者使用它們來運行應用程序和虛假視頻流,繞過適用於實際設備的安全檢查。
- 攔截網絡流量:通過在傳輸過程中訪問和更改視頻數據,攻擊者可以用偽造的視頻供稿替換合法的視頻提要。這在公共或不安全的網絡上尤其有風險,那裡的加密可能不是標準的。
應該注意的是,這不是注射攻擊的詳盡清單。存在更複雜和復雜的技術,例如硬件注入,需要先進的技能,而在實踐中不太常見。
遠程入職和KYC中當前方法的不足
儘管KYC系統熟練地檢測標準展示攻擊,這是在ISO/IEC 30107等良好標準的指導下,並獲得了Ibeta質量保證實驗室等組織的認證,但由於視頻注射攻擊的新興威脅,它們越來越挑戰。這些複雜的攻擊並未通過當前標準完全解決,從而揭示了KYC系統中的特定漏洞:
標準識別協議:通常,KYC系統使用操作系統的設備名稱或標識符標識攝像機。但是,它們通常無法區分真實的物理相機和熟練配置的虛擬相機。
缺乏物理硬件驗證:KYC開發的定期做法重點是確保數據傳輸和加密通信。但是,這些措施通常不包括驗證硬件的物理真實性。因此,可以通過虛擬攝像機誤導一個系統,該系統令人信服地模仿了真實的攝像機。
異常檢測不足:大多數KYC系統都擅長發現用戶行為或數據傳輸中的不規則性,但在驗證視頻提要的來源方面缺乏。該差距允許虛擬攝像機沒有註意到。
加密和混淆限制:雖然加密在傳輸過程中有效地確保了數據,但並未證實數據的來源。同樣,JavaScript混淆保護基於Web的KYC系統免受代碼篡改,但無法在到達瀏覽器之前阻止視頻提要操縱。
DeepFake和合成視頻挑戰:DeepFake技術的進步進一步使這一景觀複雜化。現代合成視頻的高保真度在將它們與真實的飼料區分開時也構成了挑戰,即使是可以檢測到視頻內容異常的系統。
遵守ISO 27000家庭標準並不一定會減輕視頻注射攻擊帶來的風險。例如,ISO/IEC 27001:2013,在建立強大的信息安全管理系統(ISMS)的同時,通常缺少用於驗證相機真實性的準則。因此,符合此標準的KYC系統可能仍然容易使用虛擬攝像機攻擊。此外,ISO/IEC 27002:2013 Standard概述了信息安全控件,主要解決數據保護和完整性,而不是視頻供稿源的驗證。
前進的方向:增強視頻注射攻擊緩解
為了加強針對視頻注射攻擊(包括KYC系統中的深擊)等複雜威脅的防禦措施,具體和先進的策略至關重要:
- 實施全面檢測:利用將演示攻擊檢測與註射攻擊檢測相結合的技術。該技術可以檢測到各種攻擊內容,包括深擊和麵部變形。
- 目標交付渠道:專注於在桌面瀏覽器中關閉諸如虛擬攝像機之類的頻道以及欺詐者用來提供深擊和其他欺詐內容的硬件攻擊。
- 採用用戶友好的安全性:實施不需要用戶交互的安全措施,並且不會為用戶體驗增加摩擦。
- 利用AI檢測:利用AI驅動的檢測的深度學習算法,該算法可以確定對人類檢測具有挑戰性的複雜攻擊模式。
總之,有一個希望的期望,即KYC系統的安全格局將隨著針對視頻注射攻擊的特定標準的發展或增強而發展。建立專門的認證和評估實驗室是前進的重要一步。此類進步不僅將標準化防禦能力,而且還可以顯著加強數字驗證過程的完整性和可靠性,並在迅速發展的技術威脅中。
關於作者
Konstantin Simonchik是ID R&D首席科學官兼聯合創始人。他不僅是歐洲一家大型生物識別公司的前科學負責人,而且還帶來了豐富的經驗,而且還帶來了一所領先的研究大學的語音信息系統教授。他撰寫了30多篇專門致力於演講者認可和反企業的科學論文,擁有多項專利,並獲得了包括IEEE,ASVSPOOF和NIST在內的組織的眾多認可和獎勵。
免責聲明:生物識別更新的行業見解是提交的內容。這篇文章中表達的觀點是作者的觀點,不一定反映生物識別更新的觀點。
