การโจมตีด้วยการฉีดวิดีโอ: นั่นคืออะไรและไปข้างหน้า?

โดย Konstantin Simonchik หัวหน้าเจ้าหน้าที่วิทยาศาสตร์และผู้ร่วมก่อตั้งที่ID R&D

คุณจำฉากนี้ใน 'Emoan's Eleven' ที่ทีมของ Danny Ocean หลอกระบบรักษาความปลอดภัยของคาสิโนได้อย่างชาญฉลาดหรือไม่? พวกเขาฉีดวิดีโอฟีดวิดีโอที่บันทึกไว้ล่วงหน้าของห้องนิรภัยที่ไม่ถูกรบกวนนำเทอร์รี่เบเนดิกต์และทีมรักษาความปลอดภัยของเขาเชื่อว่าไม่มีอะไรผิดปกติแม้ในขณะที่การปล้นเต็มไปด้วยการแกว่งอย่างเต็มที่ ช่วงเวลาภาพยนตร์เรื่องนี้แสดงให้เห็นถึงพลังและอันตรายที่อาจเกิดขึ้นจากการโจมตีด้วยการฉีดวิดีโอ ในโลกแห่งความเป็นจริงการตรวจจับการละเมิดดังกล่าวในการเฝ้าระวังและระบบข้อมูลเป็นสิ่งสำคัญยิ่ง ในบทความนี้เราจะเจาะลึกถึงวิธีการและเทคโนโลยีที่อยู่เบื้องหลังการตรวจจับการฉีดวิดีโอเพื่อให้แน่ใจว่าชีวิตไม่ได้เลียนแบบศิลปะในพื้นที่ที่ปลอดภัยที่สุดของเรา

ภาพยนตร์ 'Ocean's Eleven': การฉีดวิดีโอที่บันทึกไว้ล่วงหน้าลงในระบบรักษาความปลอดภัยของคาสิโน (ด้านล่าง) หลังจากวิดีโอจริงกลับมา (บนสุด)

ทำความเข้าใจกับการโจมตีการฉีดวิดีโอ

การโจมตีด้วยการฉีดวิดีโอเป็นรูปแบบหนึ่งของการจู่โจมในโลกไซเบอร์ซึ่งเนื้อหาวิดีโอที่ไม่ได้รับอนุญาตถูกแทรกเข้าไปในการเฝ้าระวังหรือสตรีมข้อมูล สิ่งนี้สามารถทำให้ผู้ชมเข้าใจผิดปกปิดกิจกรรมที่ผิดกฎหมายหรือประนีประนอมความสมบูรณ์ของระบบ ในบริบทของระบบ KYC (รู้จักลูกค้าของคุณ) ซึ่งเป็นหัวใจสำคัญในอุตสาหกรรมการเงินสำหรับการตรวจสอบตัวตนการโจมตีดังกล่าวก่อให้เกิดภัยคุกคามที่สำคัญ

การโจมตีด้วยการฉีดวิดีโอคืออะไร?

การโจมตีด้วยการฉีดวิดีโอเกี่ยวข้องกับการแทรกสตรีมข้อมูลที่ฉ้อโกงระหว่างอุปกรณ์จับภาพ (เซ็นเซอร์) และตัวแยกฟีเจอร์ไบโอเมตริกซ์ในระหว่างการตรวจสอบตัวตน สิ่งนี้มีความเกี่ยวข้องโดยเฉพาะอย่างยิ่งในระบบ KYC ที่ข้อมูลไบโอเมตริกซ์เช่นกรอบวิดีโอของใบหน้าของบุคคลนั้นถูกเปรียบเทียบกับเอกสารประจำตัว เป้าหมายคือการสร้างตัวตนที่ฉ้อโกงโดยการจัดการฟีดวิดีโอ

ภัยคุกคามที่เพิ่มขึ้นจากการโจมตีด้วยการฉีดวิดีโอ

ภูมิทัศน์การคุกคามที่พัฒนาขึ้นนี้ได้นำไปสู่ยุคของการโจมตีดิจิทัลที่ซับซ้อน การโจมตีด้วยการฉีดวิดีโอได้กลายเป็นที่แพร่หลายมากขึ้นเป็นเรื่องธรรมดากว่าการโจมตีการนำเสนอแบบดั้งเดิมห้าเท่าเช่นการปิดบังกล้อง การเพิ่มขึ้นของการโจมตีเหล่านี้โดยเฉพาะอย่างยิ่งผ่านการใช้ภาพสังเคราะห์นั้นเกิดจากความสะดวกในการทำงานอัตโนมัติและความพร้อมใช้งานของเครื่องมือมัลแวร์ที่แพร่หลาย โดยเฉพาะอย่างยิ่งแพลตฟอร์มมือถือได้เห็นสิ่งสำคัญเพิ่มขึ้น 149%ในการโจมตีดังกล่าว

เทคโนโลยี Deepfake ก่อนหน้านี้เป็นหัวข้อของการอภิปรายตอนนี้เป็นเครื่องมือที่แพร่หลายในการโจมตีความปลอดภัยทางไซเบอร์ ผู้โจมตีกำลังสร้างวิดีโอ 3 มิติที่สมจริงอย่างมากเพื่อหลอกระบบเพื่อตรวจสอบตัวตนที่ผิดพลาด โดยเฉพาะอย่างยิ่งการเพิ่มขึ้นของการโจมตีการแลกเปลี่ยนใบหน้าแบบเรียลไทม์ในปี 2565 เพิ่มขึ้น 295% ในเวลาเพียงครึ่งปีทำให้เกิดความท้าทายที่สำคัญสำหรับระบบการตรวจสอบทั้งที่ใช้งานอยู่และแบบพาสซีฟ

วิธีการที่ใช้ในการโจมตีด้วยการฉีดวิดีโอ

ด้านล่างนี้เป็นรายการของการฉ้อโกง Video Injection Vectors ที่ใช้เพื่อปลอมแปลงการจดจำใบหน้าระยะไกลในระบบระยะไกล onboarding และ KYC เมื่อผู้ใช้สำรวจสมาร์ทโฟนปกติหรือแล็ปท็อป/พีซีเพื่อเปิดบัญชีธนาคารเป็นต้น

1. กล้องเสมือนจริง:สิ่งเหล่านี้ใช้กันอย่างแพร่หลายสำหรับการฉ้อโกงโดยมีแอพเช่น ManyCam Streaming Prerecorded หรือวิดีโอ Deepfake ปรากฏขึ้นราวกับว่ามาจากกล้องจริง ผู้หลอกลวงมักจะเปลี่ยนชื่อกล้องเสมือนจริงเหล่านี้ให้เลียนแบบกล้องทางกายภาพและอาจจัดการฟังก์ชั่นเว็บเบราว์เซอร์เพื่อสนับสนุนการใช้งานของพวกเขา
2. วิดีโอฮาร์ดแวร์แท่ง:อุปกรณ์เหล่านี้ซึ่งเชื่อมต่อผ่าน USB อย่าใช้เลนส์ แต่จับภาพสตรีมวิดีโอดิจิตอลเช่นจากหน้าจอของอุปกรณ์อื่น พวกเขาได้รับการยอมรับจากระบบปฏิบัติการเป็นกล้อง USB มาตรฐาน
3. การฉีดจาวาสคริปต์:สำหรับ KYC บนเว็บรหัส JavaScript ที่เป็นอันตรายที่ถูกฉีดเข้าไปในเบราว์เซอร์สามารถเปลี่ยนหรือแทนที่ฟีดวิดีโอโดยหลอกกระบวนการตรวจสอบด้วยเนื้อหาปลอมหรือ prerecorded
4. เครื่องจำลองสมาร์ทโฟน:ใช้เป็นหลักในการพัฒนาแอพมือถืออีมูเลเตอร์สามารถทำซ้ำฟังก์ชั่นของสมาร์ทโฟนจริง ผู้โจมตีใช้พวกเขาเพื่อเรียกใช้แอพและสตรีมวิดีโอปลอมโดยผ่านการตรวจสอบความปลอดภัยที่มีความหมายสำหรับอุปกรณ์จริง
5. การสกัดกั้นทราฟฟิกเครือข่าย:โดยการเข้าถึงและแก้ไขข้อมูลวิดีโอในระหว่างการส่งผู้โจมตีสามารถแทนที่ฟีดวิดีโอที่ถูกต้องตามกฎหมายด้วยข้อมูลปลอม นี่เป็นความเสี่ยงโดยเฉพาะอย่างยิ่งในเครือข่ายสาธารณะหรือไม่ปลอดภัยซึ่งการเข้ารหัสอาจไม่เป็นมาตรฐาน

ควรสังเกตว่านี่ไม่ใช่รายการการโจมตีแบบฉีดอย่างละเอียด มีเทคนิคที่ซับซ้อนและซับซ้อนมากขึ้นเช่นการฉีดฮาร์ดแวร์ซึ่งต้องใช้ทักษะขั้นสูงและมักจะเห็นได้น้อยกว่าในทางปฏิบัติ

ความไม่เพียงพอของวิธีการปัจจุบันในระยะไกล onboarding และ kyc

ในขณะที่ระบบ KYC มีความเชี่ยวชาญในการตรวจจับการโจมตีการนำเสนอมาตรฐานตามที่ได้รับคำแนะนำจากมาตรฐานที่ได้รับการยอมรับอย่างดีเช่น ISO/IEC 30107 และได้รับการรับรองจากองค์กรต่าง ๆ เช่นห้องปฏิบัติการประกันคุณภาพของ Ibeta พวกเขาถูกท้าทายมากขึ้นโดยการคุกคามที่เกิดขึ้นใหม่ การโจมตีที่ซับซ้อนเหล่านี้ไม่ได้รับการแก้ไขอย่างสมบูรณ์ตามมาตรฐานปัจจุบันเผยให้เห็นช่องโหว่เฉพาะในระบบ KYC:

โปรโตคอลการจดจำมาตรฐาน: โดยทั่วไประบบ KYC ระบุกล้องโดยใช้ชื่ออุปกรณ์หรือตัวระบุจากระบบปฏิบัติการ อย่างไรก็ตามพวกเขามักจะไม่สามารถแยกความแตกต่างระหว่างกล้องถ่ายทอดทางกายภาพจริงกับกล้องเสมือนที่กำหนดค่าอย่างชำนาญ

ขาดการตรวจสอบฮาร์ดแวร์ทางกายภาพ: การปฏิบัติอย่างสม่ำเสมอในการพัฒนา KYC มุ่งเน้นไปที่การรักษาความปลอดภัยการส่งข้อมูลและการสื่อสารการเข้ารหัส แต่โดยทั่วไปมาตรการเหล่านี้ไม่รวมถึงการตรวจสอบความถูกต้องทางกายภาพของฮาร์ดแวร์ ดังนั้นระบบสามารถเข้าใจผิดได้ด้วยกล้องเสมือนจริงที่น่าเชื่อเลียนแบบกล้องจริง

การตรวจจับความผิดปกติไม่เพียงพอ: ระบบ KYC ส่วนใหญ่มีความเชี่ยวชาญในการตรวจพบความผิดปกติในพฤติกรรมผู้ใช้หรือการส่งข้อมูล แต่สั้นในการตรวจสอบแหล่งที่มาของฟีดวิดีโอ ช่องว่างนี้ช่วยให้กล้องเสมือนจริงไปโดยไม่มีใครสังเกตเห็น

ข้อ จำกัด การเข้ารหัสและการทำให้งง: ในขณะที่การเข้ารหัสได้อย่างมีประสิทธิภาพรักษาข้อมูลในระหว่างการถ่ายโอน แต่ก็ไม่ได้รับรองความถูกต้องของแหล่งข้อมูล ในทำนองเดียวกัน JavaScript obfuscation ปกป้องระบบ KYC บนเว็บจากการดัดแปลงรหัส แต่ไม่สามารถป้องกันการจัดการฟีดวิดีโอก่อนที่จะมาถึงในเบราว์เซอร์

ความท้าทายวิดีโอ Deepfake และสังเคราะห์: ความก้าวหน้าของเทคโนโลยี Deepfake ทำให้ภูมิทัศน์นี้ซับซ้อนขึ้น วิดีโอสังเคราะห์ที่ทันสมัยสูงทำให้เกิดความท้าทายในการแยกแยะพวกเขาจากฟีดที่แท้จริงแม้สำหรับระบบที่สามารถตรวจจับความผิดปกติในเนื้อหาวิดีโอ

การยึดมั่นในมาตรฐานครอบครัว ISO 27000 ไม่จำเป็นต้องลดความเสี่ยงที่เกิดจากการโจมตีด้วยการฉีดวิดีโอ ตัวอย่างเช่น ISO/IEC 27001: 2013 ในขณะที่สร้างระบบการจัดการความปลอดภัยข้อมูลที่แข็งแกร่ง (ISMS) โดยทั่วไปจะขาดแนวทางในการตรวจสอบความถูกต้องของกล้อง ดังนั้นระบบ KYC ที่สอดคล้องกับมาตรฐานนี้อาจยังคงมีความไวต่อการโจมตีโดยใช้กล้องเสมือนจริง นอกจากนี้มาตรฐาน ISO/IEC 27002: 2013 ซึ่งสรุปการควบคุมความปลอดภัยของข้อมูลส่วนใหญ่จะกล่าวถึงการปกป้องข้อมูลและความสมบูรณ์ไม่ใช่การตรวจสอบแหล่งที่มาของฟีดวิดีโอ

หนทางข้างหน้า: เพิ่มการลดการโจมตีของการฉีดวิดีโอ

เพื่อเสริมสร้างการป้องกันจากภัยคุกคามที่ซับซ้อนเช่นการโจมตีด้วยการฉีดวิดีโอรวมถึง deepfakes ในระบบ KYC กลยุทธ์ที่เฉพาะเจาะจงและขั้นสูงเป็นสิ่งจำเป็น:

• ใช้การตรวจจับที่ครอบคลุม: ใช้เทคโนโลยีที่รวมการตรวจจับการโจมตีการนำเสนอเข้ากับการตรวจจับการโจมตีแบบฉีด เทคโนโลยีนี้สามารถตรวจจับเนื้อหาการโจมตีที่หลากหลายรวมถึง deepfakes และ morphs ใบหน้า
• ช่องทางการจัดส่งเป้าหมาย: มุ่งเน้นไปที่การปิดช่องทางเช่นกล้องเสมือนจริงในเบราว์เซอร์เดสก์ท็อปและการโจมตีฮาร์ดแวร์ที่ผู้หลอกลวงใช้ในการส่งมอบ Deepfakes และเนื้อหาที่ฉ้อโกงอื่น ๆ
• ใช้ความปลอดภัยที่ใช้งานง่าย: ใช้มาตรการความปลอดภัยที่ไม่ต้องการการโต้ตอบกับผู้ใช้และไม่เพิ่มแรงเสียดทานให้กับประสบการณ์ผู้ใช้
• ใช้ AI สำหรับการตรวจจับ: ใช้ประโยชน์จากอัลกอริทึมการเรียนรู้อย่างลึกซึ้งสำหรับการตรวจจับ AI ที่ขับเคลื่อนด้วยซึ่งสามารถระบุรูปแบบการโจมตีที่ซับซ้อนซึ่งท้าทายให้มนุษย์ตรวจจับได้

โดยสรุปมีความคาดหวังอย่างมีความหวังว่าภูมิทัศน์ด้านความปลอดภัยสำหรับระบบ KYC จะพัฒนาไปตามการพัฒนาหรือการปรับปรุงมาตรฐานเฉพาะที่กำหนดเป้าหมายการโจมตีการฉีดวิดีโอ การจัดตั้งห้องปฏิบัติการรับรองและประเมินผลโดยเฉพาะเป็นขั้นตอนสำคัญ ความก้าวหน้าดังกล่าวไม่เพียง แต่สร้างมาตรฐานการป้องกัน แต่ยังช่วยเสริมความสมบูรณ์และความน่าเชื่อถือของกระบวนการตรวจสอบดิจิตอลอย่างมีนัยสำคัญท่ามกลางภัยคุกคามทางเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็ว

เกี่ยวกับผู้แต่ง

Konstantin Simonchik คือID R&Dหัวหน้าเจ้าหน้าที่วิทยาศาสตร์และผู้ร่วมก่อตั้ง เขานำประสบการณ์มากมายไม่เพียง แต่ในฐานะอดีตหัวหน้าวิทยาศาสตร์ของ บริษัท ไบโอเมตริกซ์ขนาดใหญ่ในยุโรป แต่ยังเป็นศาสตราจารย์ด้านระบบข้อมูลการพูดที่มหาวิทยาลัยวิจัยชั้นนำ เขาได้ประพันธ์เอกสารทางวิทยาศาสตร์มากกว่า 30 ฉบับที่อุทิศให้กับการรับรู้ของผู้พูดและการต่อต้านการตบถือสิทธิบัตรหลายรายการและได้รับการยอมรับและรางวัลมากมายจากองค์กรต่างๆรวมถึง IEEE, ASVSPOOF และ NIST

ข้อจำกัดความรับผิดชอบ: ข้อมูลเชิงลึกของอุตสาหกรรม Biometric Update จะถูกส่งเนื้อหา มุมมองที่แสดงในโพสต์นี้เป็นของผู้เขียนและไม่จำเป็นต้องสะท้อนมุมมองของการอัปเดตไบโอเมตริกซ์

หัวข้อบทความ

ไบโอเมตริกซ์-การแลกเปลี่ยนใบหน้า-การจดจำใบหน้า-ID R&D-การโจมตีแบบฉีด-KYC-การตรวจจับการปลอมแปลง