通過使用生成的AI和開源工具,黑客可以獲得輕鬆創建深擊和語音克隆的能力,從而使它們模仿了另一個人的外觀和聲音。進行此類欺詐活動的複雜性已大大減少,導致所需的成本和專業知識降低,如ID R&D報告產品向開發人員提供指導關於減輕視頻注射攻擊。
從攻擊者的角度來看,為社交媒體創建DeepFake病毒視頻是相對簡單的,但實時視頻注射攻擊需要更先進的技術和復雜的交付機制。
在最近的一個事件據報導,英國工程團體Arup在錄像電話會議上使用AI生成的Deepfakes模仿該小組的首席財務官時,損失了約2500萬美元。
這些視頻注射攻擊變得越來越普遍,尤其是在KYC(了解您的客戶)系統中,其中的生物識別數據(例如人臉的視頻框架)與身份文檔進行了比較。
在最近的一個生物識別更新網絡研討會ID R&D總裁Alexey Khitrov解釋了可自由訪問的軟件如何欺騙個人,以為某人冒充另一個人。參加者之間的一項民意調查顯示,大多數組織已經遇到或預計在不久的將來會遇到注射攻擊和深層攻擊。
視頻注射攻擊如何工作?
在視頻注射攻擊中,黑客操縱或製造數字視頻流並將其插入通信渠道中,以欺騙生物識別驗證系統或人類操作員。這些攻擊涉及數字操縱技術,例如3D渲染,面部變形,面部掉期和深擊。
視頻注入向量通常用於欺騙諸如入職和KYC過程之類的方案中的遠程面部識別系統。這些方法可用於各種遠程入職場景,包括個人使用智能手機,筆記本電腦或PC開設銀行帳戶的實例。
這些攻擊可以通過各種方式進行,包括利用硬件,軟件,網絡協議和客戶端服務器交互中的漏洞,以及操縱虛擬環境和外部設備。
ID R&D在其指導文件中說,一些用於視頻操作的常用方法包括虛擬攝像機軟件(如ManyCAM),硬件視頻棒,JavaScript注入,智能手機模擬器和攔截網絡流量。有更高級的技術,例如硬件注入,需要更高的專業知識才能實施。
但是,建議組織遵守ISO/IEC 27000家族的特定認證和標準,用於KYC系統開發。儘管這些標準並未具體解決視頻注射攻擊,但它們確實有助於基礎設施的整體魯棒性。
我們如何防止視頻注射攻擊?
在其報告中開發人員反對視頻注射攻擊的指南,” ID R&D表示,儘管許多KYC系統可以識別標準表現攻擊,但它們具有當前標準不涵蓋的特定漏洞。
反視頻注射攻擊的常見方法包括加密和安全傳輸視頻提要以防止操縱。連續身份驗證(例如生物特徵檢查)可以維護視頻提要的持續有效性。
許多遠程入職和KYC軟件正在集成基於AI的異常檢測和主動LIVISETICT。具體而言,通過Livices檢測,該軟件可以分析用戶的實時運動以驗證真實性。
其他策略包括數字水印,以追踪視頻的原始來源和多因素身份驗證,以提供額外的安全性。
歐洲生物識別技術協會(EAB)將發布RTS 18099標準今年10月。該標準旨在解決用於遠程身份證明的生物識別系統的數據捕獲和信號處理組件之間的生物識別數據。
