通过使用生成的AI和开源工具,黑客可以获得轻松创建深击和语音克隆的能力,从而使它们模仿了另一个人的外观和声音。进行此类欺诈活动的复杂性已大大减少,导致所需的成本和专业知识降低,如ID R&D报告产品向开发人员提供指导关于减轻视频注射攻击。
从攻击者的角度来看,为社交媒体创建DeepFake病毒视频是相对简单的,但实时视频注射攻击需要更先进的技术和复杂的交付机制。
在最近的一个事件据报道,英国工程团体Arup在录像电话会议上使用AI生成的Deepfakes模仿该小组的首席财务官时,损失了约2500万美元。
这些视频注射攻击变得越来越普遍,尤其是在KYC(了解您的客户)系统中,其中的生物识别数据(例如人脸的视频框架)与身份文档进行了比较。
在最近的一个生物识别更新网络研讨会ID R&D总裁Alexey Khitrov解释了可自由访问的软件如何欺骗个人,以为某人冒充另一个人。参加者之间的一项民意调查显示,大多数组织已经遇到或预计在不久的将来会遇到注射攻击和深层攻击。
视频注射攻击如何工作?
在视频注射攻击中,黑客操纵或制造数字视频流并将其插入通信渠道中,以欺骗生物识别验证系统或人类操作员。这些攻击涉及数字操纵技术,例如3D渲染,面部变形,面部掉期和深击。
视频注入向量通常用于欺骗诸如入职和KYC过程之类的方案中的远程面部识别系统。这些方法可用于各种远程入职场景,包括个人使用智能手机,笔记本电脑或PC开设银行帐户的实例。
这些攻击可以通过各种方式进行,包括利用硬件,软件,网络协议和客户端服务器交互中的漏洞,以及操纵虚拟环境和外部设备。
ID R&D在其指导文件中说,一些用于视频操作的常用方法包括虚拟摄像机软件(如ManyCAM),硬件视频棒,JavaScript注入,智能手机模拟器和拦截网络流量。有更高级的技术,例如硬件注入,需要更高的专业知识才能实施。
但是,建议组织遵守ISO/IEC 27000家族的特定认证和标准,用于KYC系统开发。尽管这些标准并未具体解决视频注射攻击,但它们确实有助于基础设施的整体鲁棒性。
我们如何防止视频注射攻击?
在其报告中开发人员反对视频注射攻击的指南,” ID R&D表示,尽管许多KYC系统可以识别标准表现攻击,但它们具有当前标准不涵盖的特定漏洞。
反视频注射攻击的常见方法包括加密和安全传输视频提要以防止操纵。连续身份验证(例如生物特征检查)可以维护视频提要的持续有效性。
许多远程入职和KYC软件正在集成基于AI的异常检测和主动LIVISETICT。具体而言,通过Livices检测,该软件可以分析用户的实时运动以验证真实性。
其他策略包括数字水印,以追踪视频的原始来源和多因素身份验证,以提供额外的安全性。
欧洲生物识别技术协会(EAB)将发布RTS 18099标准今年10月。该标准旨在解决用于远程身份证明的生物识别系统的数据捕获和信号处理组件之间的生物识别数据。
