一年一度身份驗證威脅報告從到達帶有強大信息的到來:情況發生了變化。無論我們是穿越玻璃,穿過rubicon,超過沒有回報的點還是在沙子上的線上,技術發展的迅速發展以及在欺詐和生物識別身份犯罪中使用的技術的可用性增加使舊版的安全性和ID驗證系統過時了。
iProov首席科學官安德魯·紐維爾(Andrew Newell)博士說:“ 2014年,創建合成身份需要廣泛的技術專長,專業設備和大量時間投資。”但是在2025年,有一個易於訪問的工具和服務的市場,具有最低技術專業知識的不良演員可以實時生成高質量的合成媒體。在視頻和音頻品種中,已經商品化和商業化。
然而,在機器學習,生成的對抗網絡(gan),深度學習,面部掉期和其他AI工具中,正在實現爆炸,不僅僅是技術正在改變。連帽衫黑客和敵對的外國力量的刻板印象實際上是新的以簡單訂閱的形式為客戶提供外包欺詐的網絡。這些與東南亞人權侵犯有關的犯罪服務網絡將欺詐作為一種殘酷但有利可圖的商業模式,並以前所未有的規模推動攻擊。
Newell博士說:“隨著進攻工具的快速擴散不斷加速,安全措施正在努力跟上。” “我們正在進入一個世界,在這個世界中,數字媒體的真實性變得不可能被人眼建立,這不僅是針對傳統目標的問題,而且對於任何依賴數字媒體真實性的組織或個人來說都是一個問題。”
注射攻擊,面部掉期目標虛擬攝像頭
該報告摘自Iproov安全操作中心(ISOC)整理的數據,該數據收集和分析了針對性的威脅系統,包括深網監視,對攻擊和防止攻擊工具和方法的技術評估的模式分析。它最令人震驚的發現是它所謂的“本機虛擬攝像頭和麵部交換攻擊的飆升”。
生物識別,其中偽造的媒體被“注入”為飼料,是以驚人的速度劫持攝像機。根據報告,本地虛擬攝像頭攻擊已成為主要威脅矢量,部分由於主流App Store滲透而增加了2665%。
從2023年開始增長了300%,“威脅參與者使用LIVES檢測方案將重點轉移到系統上。”現在,在線犯罪 - 服務生態系統擁有大約24,000個銷售攻擊技術的實體,這些實體使以前複雜的操作(例如圖像到視頻轉換)像單擊幾個按鈕一樣容易。有些使用惡意臥舖代碼在激活之前長期保持休眠狀態。
該報告的廣泛含義確實令人不安,因為它們不僅表明了欺詐者的技術敏捷性,而且還表明了更具結構化的組織和戰略侵略性。該報告指出,轉向長期欺詐策略,目的是針對欺詐預防技術並交叉授粉為欺詐者提供數千種潛在的攻擊組合。
Newell博士說:“依靠過時的安全措施就像讓前門打開欺詐者一樣。”對確保系統訪問和高價值交易的層次,穩健身份驗證的需求從未如此大。
生物識別安全進入欺詐者的十字無內
在部落格對於ISMS.inline的界面,Sam Peters的首席產品官與Iproov的報告中所表達的擔憂,即欺詐者不再只是針對人或企業,而是旨在挫敗他們的工具。
生物識別安全措施指紋被廣泛採用 - 彼得斯寫道,這將它們變成了攻擊者的主要目標。 “威脅需要我們的注意力,因為與可以更改,妥協的密碼不同是永久的,擴大了與盜竊有關的風險。”
雖然彼得斯的一些關注集中在可穿戴技術上,但他還以越來越複雜的深度學習和圖像生成模型創造的深層蛋糕,他還指出了“超越財務欺詐,可能會破壞生物識別驗證系統。”
“通過將Deepfake技術與被盜的生物識別數據相結合,攻擊者可以製造高度令人信服的騙局,使個人和企業都易受傷害。”
彼得斯說,安全秘訣涉及法規(和合規性)的混合,以及增強和支持的分層安全性,包括多因素身份驗證(MFA)和LIVISICTION檢測。
它需要各方的努力。 “設備製造商必須優先考慮其產品中的安全功能,並結合諸如端到端加密和數據最小化實踐之類的措施 - GDPR的關鍵原則。”他指出,建立了標準和框架ISO/IEC 27001可以“提供明確的策略來確定可靠的供應商並增強身份驗證實踐。”
複雜的信號分析檢測出馬薩諸塞州身份的欺詐:scure
已經出版了案例研究關於它如何“確定並停止針對大型金融機構的零售銀行和信用卡運營的欺詐活動激增”。
當據稱來自1975年至1990年間出生的馬薩諸塞州居民的申請可疑時,Socure著眼於四個關鍵領域的模式,表明欺詐努力。
許多使用Gibberish電子郵件手柄與身份相關的Gibberish電子郵件手柄將許多域識別為特定域。特別是,Luuinet.com電子郵件域已與與馬薩諸塞州身份相關的5500個應用程序相關聯。
在深夜,來自馬薩諸塞州的申請增加了。 IP地址來自美國各地,強烈建議使用VPN或代理服務。 Socure說:“值得注意的是,超過89%的標記申請來自距聲明地址100多英里的地理位置。”與應用程序相關的大多數電話號碼都被標記為有限的活動。
“在這次攻擊中,獨家使用馬薩諸塞州的身份強烈表明是這項努力的核心。使用Gibberish電子郵件處理的使用表示自動化。”
該公司表示,“有充分的證據可以相信中國的演員是這次襲擊的幕後黑手。”
“事實證明,luuinet.com是2023年在中國註冊的領域。”在比較馬薩諸塞州應用程序中的峰值時,Socure的數據表明“卷的峰值與中國的工作日非常匹配”。
主要的收穫? “現代的必須利用可以實時檢測細微的模式,異常和綜合身份元素的先進的AI驅動解決方案。”
科學怪人的欺詐木材以篡改的身份進入現場
就在您認為欺詐不再令人恐懼時,湯普森路透社就說了一個白皮書,上面寫著“弗蘭肯斯坦欺詐” - 其中不同身份的一部分被縫成欺詐性的複合材料。
博客摘要說:“合成ID欺詐使用不同人的名稱,地址,生日和社會安全號碼(SSN)創建了捏造的身份。一旦組裝,可用於申請銀行帳戶,信貸,貸款和政府福利的ID。”
“任何人的信息都可以用來拼湊在一起- 兒童,老年人和不穩定住房的人通常是針對性的,因為這些人不太可能定期訪問信用文件報告並發現可疑活動。”
該報告說,最終必須確保在生物識別身份驗證系統中收集的任何數據,並且“代理商領導者需要問自己他們的代理商是否正在與具有有關客戶數據安全的良好實踐記錄的第三方供應商合作。”因為如果科學怪人的欺詐者可以掌握生物特徵數據,那麼他們可能會想到一些可怕的東西。
完整的白皮書可以在這裡下載。
文章主題
|||||||||
