ด้วยการใช้เครื่องมือ AI และโอเพ่นซอร์สแบบกำเนิดแฮ็กเกอร์ได้รับความสามารถในการสร้าง Deepfakes และ Voice Clones ได้อย่างง่ายดายทำให้พวกเขาเลียนแบบลักษณะและเสียงของบุคคลอื่นได้อย่างง่ายดาย ความซับซ้อนของการดำเนินกิจกรรมการฉ้อโกงดังกล่าวได้ลดลงอย่างมีนัยสำคัญซึ่งนำไปสู่การลดต้นทุนและความเชี่ยวชาญที่จำเป็นตามที่อธิบายไว้ในID R&Dรายงานการเสนอขายคำแนะนำสำหรับนักพัฒนาในการบรรเทาการโจมตีการฉีดวิดีโอ
ในขณะที่การสร้างวิดีโอไวรัส Deepfake สำหรับโซเชียลมีเดียนั้นค่อนข้างตรงไปตรงมาจากมุมมองของผู้โจมตีการโจมตีการฉีดวิดีโอแบบเรียลไทม์ต้องการเทคโนโลยีขั้นสูงและกลไกการส่งมอบที่ซับซ้อน
เมื่อเร็ว ๆ นี้เหตุการณ์มีรายงานว่ากลุ่มวิศวกรรมอังกฤษ Arup ประสบกับการสูญเสียประมาณ 25 ล้านเหรียญสหรัฐเมื่อนักต้มตุ๋นใช้ Deepfakes ที่สร้างขึ้นโดย Ai-Generated เพื่อเลียนแบบ CFO ของกลุ่มในระหว่างการประชุมทางวิดีโอ
การโจมตีด้วยการฉีดวิดีโอเหล่านี้กลายเป็นเรื่องธรรมดามากขึ้นโดยเฉพาะอย่างยิ่งในระบบ KYC (รู้จักลูกค้าของคุณ) ซึ่งข้อมูลไบโอเมตริกซ์เช่นกรอบวิดีโอของใบหน้าของบุคคลนั้นถูกเปรียบเทียบกับเอกสารประจำตัว
ในช่วงล่าสุดการอัปเดตไบโอเมตริกซ์การสัมมนาทางเว็บID R&D ประธาน Alexey Khitrov อธิบายว่าซอฟต์แวร์ที่เข้าถึงได้ง่ายสามารถหลอกลวงบุคคลให้เชื่อว่ามีคนแอบอ้างเป็นบุคคลอื่นได้อย่างไร การสำรวจความคิดเห็นที่ดำเนินการในหมู่ผู้เข้าร่วมแสดงให้เห็นว่าองค์กรส่วนใหญ่ได้พบหรือคาดว่าจะเผชิญกับการโจมตีการฉีดและ deepfakes ในอนาคตอันใกล้
การโจมตีด้วยการฉีดวิดีโอทำงานอย่างไร?
ในการโจมตีด้วยการฉีดวิดีโอแฮกเกอร์จะจัดการหรือสร้างกระแสวิดีโอดิจิตอลและแทรกลงในช่องทางการสื่อสารเพื่อหลอกลวงระบบตรวจสอบไบโอเมตริกซ์หรือผู้ประกอบการมนุษย์ การโจมตีเหล่านี้เกี่ยวข้องกับเทคนิคการจัดการดิจิตอลเช่นการเรนเดอร์ 3 มิติใบหน้าที่แปรเปลี่ยนใบหน้าการแลกเปลี่ยนใบหน้าและ deepfakes
เวกเตอร์การฉีดวิดีโอมักจะใช้เพื่อหลอกระบบการจดจำใบหน้าระยะไกลในสถานการณ์เช่นกระบวนการ onboarding และกระบวนการ KYC วิธีการเหล่านี้สามารถใช้ในสถานการณ์การขึ้นเครื่องบินระยะไกลต่างๆรวมถึงอินสแตนซ์ที่บุคคลใช้สมาร์ทโฟนแล็ปท็อปหรือพีซีเพื่อเปิดบัญชีธนาคาร
การโจมตีเหล่านี้สามารถดำเนินการผ่านวิธีการต่าง ๆ รวมถึงการใช้ประโยชน์จากช่องโหว่ในฮาร์ดแวร์ซอฟต์แวร์โปรโตคอลเครือข่ายและการโต้ตอบของไคลเอนต์เซิร์ฟเวอร์รวมถึงการจัดการสภาพแวดล้อมเสมือนจริงและอุปกรณ์ภายนอก
วิธีการที่ใช้กันทั่วไปสำหรับการจัดการวิดีโอ ได้แก่ ซอฟต์แวร์กล้องเสมือนจริง (เช่น ManyCam), แท่งวิดีโอฮาร์ดแวร์, การฉีดจาวาสคริปต์, เครื่องจำลองสมาร์ทโฟนและการดักจับการจราจรเครือข่าย มีเทคนิคขั้นสูงมากขึ้นเช่นการฉีดฮาร์ดแวร์ซึ่งต้องใช้ความเชี่ยวชาญในระดับที่สูงขึ้น
อย่างไรก็ตามองค์กรได้รับการแนะนำให้ปฏิบัติตามการรับรองและมาตรฐานเฉพาะจากตระกูล ISO/IEC 27000 สำหรับการพัฒนาระบบ KYC แม้ว่ามาตรฐานเหล่านี้จะไม่ได้กล่าวถึงการโจมตีทางวิดีโอโดยเฉพาะ แต่ก็มีส่วนช่วยให้เกิดความทนทานโดยรวมของโครงสร้างพื้นฐาน
เราจะป้องกันการโจมตีด้วยการฉีดวิดีโอได้อย่างไร?
ในรายงาน“คู่มือนักพัฒนาเกี่ยวกับการโจมตีการฉีดวิดีโอ,” ID R&D ระบุว่าในขณะที่ระบบ KYC หลายแห่งสามารถระบุการโจมตีการนำเสนอมาตรฐานได้ แต่พวกเขามีช่องโหว่เฉพาะที่ไม่ได้รับการคุ้มครองตามมาตรฐานปัจจุบัน
วิธีการทั่วไปในการตอบโต้การโจมตีการฉีดวิดีโอรวมถึงการเข้ารหัสและการส่งผ่านวิดีโอฟีดที่ปลอดภัยเพื่อป้องกันการจัดการ การตรวจสอบอย่างต่อเนื่องเช่นการตรวจสอบไบโอเมตริกซ์สามารถรักษาความถูกต้องของฟีดวิดีโออย่างต่อเนื่อง
ซอฟต์แวร์ onboarding ระยะไกลและ KYC จำนวนมากกำลังรวมการตรวจจับความผิดปกติที่ใช้ AI และการตรวจจับ Livity ที่ใช้งานอยู่ โดยเฉพาะอย่างยิ่งด้วยการตรวจจับ Livence ซอฟต์แวร์จะวิเคราะห์การเคลื่อนไหวแบบเรียลไทม์ของผู้ใช้เพื่อตรวจสอบความถูกต้อง
กลยุทธ์เพิ่มเติมรวมถึงการเป็นลายน้ำดิจิตอลเพื่อติดตามแหล่งที่มาดั้งเดิมของวิดีโอและการตรวจสอบความถูกต้องหลายปัจจัยเพื่อให้ชั้นความปลอดภัยเป็นพิเศษ
สมาคมชีวภาพแห่งยุโรป (EAB) จะเปิดตัวRTS 18099 มาตรฐานในเดือนตุลาคมของปีนี้ มาตรฐานนี้มีวัตถุประสงค์เพื่อจัดการกับการรวมกันของข้อมูลไบโอเมตริกซ์ระหว่างการเก็บข้อมูลและส่วนประกอบการประมวลผลสัญญาณของระบบไบโอเมตริกซ์ที่ใช้สำหรับการพิสูจน์ตัวตนระยะไกล
หัวข้อบทความ
ไบโอเมตริกซ์-การตรวจจับ deepfake-เฟลค์-การแลกเปลี่ยนใบหน้า-ID R&D-การโจมตีแบบฉีด
