一年一度身份验证威胁报告从到达带有强大信息的到来:情况发生了变化。无论我们是穿越玻璃,穿过rubicon,超过没有回报的点还是在沙子上的线上,技术发展的迅速发展以及在欺诈和生物识别身份犯罪中使用的技术的可用性增加使旧版的安全性和ID验证系统过时了。
iProov首席科学官安德鲁·纽维尔(Andrew Newell)博士说:“ 2014年,创建合成身份需要广泛的技术专长,专业设备和大量时间投资。”但是在2025年,有一个易于访问的工具和服务的市场,具有最低技术专业知识的不良演员可以实时生成高质量的合成媒体。在视频和音频品种中,已经商品化和商业化。
然而,在机器学习,生成的对抗网络(gan),深度学习,面部掉期和其他AI工具中,正在实现爆炸,不仅仅是技术正在改变。连帽衫黑客和敌对的外国力量的刻板印象实际上是新的以简单订阅的形式为客户提供外包欺诈的网络。这些与东南亚人权侵犯有关的犯罪服务网络将欺诈作为一种残酷但有利可图的商业模式,并以前所未有的规模推动攻击。
Newell博士说:“随着进攻工具的快速扩散不断加速,安全措施正在努力跟上。” “我们正在进入一个世界,在这个世界中,数字媒体的真实性变得不可能被人眼建立,这不仅是针对传统目标的问题,而且对于任何依赖数字媒体真实性的组织或个人来说都是一个问题。”
注射攻击,面部掉期目标虚拟摄像头
该报告摘自Iproov安全操作中心(ISOC)整理的数据,该数据收集和分析了针对性的威胁系统,包括深网监视,对攻击和防止攻击工具和方法的技术评估的模式分析。它最令人震惊的发现是它所谓的“本机虚拟摄像头和面部交换攻击的飙升”。
生物识别,其中伪造的媒体被“注入”为饲料,是以惊人的速度劫持摄像机。根据报告,本地虚拟摄像头攻击已成为主要威胁矢量,部分由于主流App Store渗透而增加了2665%。
从2023年开始增长了300%,“威胁参与者使用LIVES检测方案将重点转移到系统上。”现在,在线犯罪 - 服务生态系统拥有大约24,000个销售攻击技术的实体,这些实体使以前复杂的操作(例如图像到视频转换)像单击几个按钮一样容易。有些使用恶意卧铺代码在激活之前长期保持休眠状态。
该报告的广泛含义确实令人不安,因为它们不仅表明了欺诈者的技术敏捷性,而且还表明了更具结构化的组织和战略侵略性。该报告指出,转向长期欺诈策略,目的是针对欺诈预防技术并交叉授粉为欺诈者提供数千种潜在的攻击组合。
Newell博士说:“依靠过时的安全措施就像让前门打开欺诈者一样。”对确保系统访问和高价值交易的层次,稳健身份验证的需求从未如此大。
生物识别安全进入欺诈者的十字无内
在博客对于ISMS.inline的界面,Sam Peters的首席产品官与Iproov的报告中所表达的担忧,即欺诈者不再只是针对人或企业,而是旨在挫败他们的工具。
生物识别安全措施指纹被广泛采用 - 彼得斯写道,这将它们变成了攻击者的主要目标。 “威胁需要我们的注意力,因为与可以更改,妥协的密码不同是永久的,扩大了与盗窃有关的风险。”
虽然彼得斯的一些关注集中在可穿戴技术上,但他还以越来越复杂的深度学习和图像生成模型创造的深层蛋糕,他还指出了“超越财务欺诈,可能会破坏生物识别验证系统。”
“通过将Deepfake技术与被盗的生物识别数据相结合,攻击者可以制造高度令人信服的骗局,使个人和企业都易受伤害。”
彼得斯说,安全秘诀涉及法规(和合规性)的混合,以及增强和支持的分层安全性,包括多因素身份验证(MFA)和LIVISICTION检测。
它需要各方的努力。 “设备制造商必须优先考虑其产品中的安全功能,并结合诸如端到端加密和数据最小化实践之类的措施 - GDPR的关键原则。”他指出,建立了标准和框架ISO/IEC 27001可以“提供明确的策略来确定可靠的供应商并增强身份验证实践。”
复杂的信号分析检测出马萨诸塞州身份的欺诈:scure
已经出版了案例研究关于它如何“确定并停止针对大型金融机构的零售银行和信用卡运营的欺诈活动激增”。
当据称来自1975年至1990年间出生的马萨诸塞州居民的申请可疑时,Socure着眼于四个关键领域的模式,表明欺诈努力。
许多使用Gibberish电子邮件手柄与身份相关的Gibberish电子邮件手柄将许多域识别为特定域。特别是,Luuinet.com电子邮件域已与与马萨诸塞州身份相关的5500个应用程序相关联。
在深夜,来自马萨诸塞州的申请增加了。 IP地址来自美国各地,强烈建议使用VPN或代理服务。 Socure说:“值得注意的是,超过89%的标记申请来自距声明地址100多英里的地理位置。”与应用程序相关的大多数电话号码都被标记为有限的活动。
“在这次攻击中,独家使用马萨诸塞州的身份强烈表明是这项努力的核心。使用Gibberish电子邮件处理的使用表示自动化。”
该公司表示,“有充分的证据可以相信中国的演员是这次袭击的幕后黑手。”
“事实证明,luuinet.com是2023年在中国注册的领域。”在比较马萨诸塞州应用程序中的峰值时,Socure的数据表明“卷的峰值与中国的工作日非常匹配”。
主要的收获? “现代的必须利用可以实时检测细微的模式,异常和综合身份元素的先进的AI驱动解决方案。”
科学怪人的欺诈木材以篡改的身份进入现场
就在您认为欺诈不再令人恐惧时,汤普森路透社就说了一个白皮书,上面写着“弗兰肯斯坦欺诈” - 其中不同身份的一部分被缝成欺诈性的复合材料。
博客摘要说:“合成ID欺诈使用不同人的名称,地址,生日和社会安全号码(SSN)创建了捏造的身份。一旦组装,可用于申请银行帐户,信贷,贷款和政府福利的ID。”
“任何人的信息都可以用来拼凑在一起- 儿童,老年人和不稳定住房的人通常是针对性的,因为这些人不太可能定期访问信用文件报告并发现可疑活动。”
该报告说,最终必须确保在生物识别身份验证系统中收集的任何数据,并且“代理商领导者需要问自己他们的代理商是否正在与具有有关客户数据安全的良好实践记录的第三方供应商合作。”因为如果科学怪人的欺诈者可以掌握生物特征数据,那么他们可能会想到一些可怕的东西。
完整的白皮书可以在这里下载。
文章主题
|||||||||
