每年一度的身份验证威胁报告从已经到来,带来了一个强有力的信息:事情已经改变了。无论我们是透过镜子、越过卢比孔河、越过不归路还是越过界限,快速的技术发展和用于欺诈和生物识别身份犯罪的技术可用性的增加已经使传统的安全和身份验证系统变得过时。
“2014 年,创建合成身份需要广泛的技术专业知识、专业设备和大量时间投入,”iProov 首席科学官 Andrew Newell 博士说。但到 2025 年,将出现一个易于访问的工具和服务市场,技术专业知识最少的不良行为者可以利用这些工具和服务实时生成高质量的合成媒体。视频和音频的种类已经商品化和商业化。
然而,尽管机器学习、生成对抗网络 (GAN)、深度学习、面部交换和其他人工智能工具正在推动人工智能技术的爆炸式增长。,改变的不仅仅是技术。事实上,对连帽衫黑客和敌对外国势力的刻板印象与新的事物相形见绌。以简单订阅的形式向客户提供外包欺诈服务的网络。这些犯罪服务网络与东南亚的侵犯人权行为有关,将欺诈视为一种残酷但利润丰厚的商业模式,并以前所未有的规模发动袭击。
“随着攻击性工具的快速扩散不断加速,安全措施正在努力跟上,”纽厄尔博士说。 “我们正在进入一个人眼无法确定数字媒体真实性的世界,这不仅对传统目标来说是一个问题,对任何依赖数字媒体真实性的组织或个人来说都是一个问题。”。
注入攻击、换脸攻击虚拟相机
该报告取自 iProov 安全运营中心 (iSOC) 整理的数据,该中心收集并分析威胁目标系统,包括暗网监控、检测到和阻止的攻击的模式分析以及攻击工具和方法的技术评估。最令人震惊的发现是所谓的“本地虚拟摄像头和面部交换攻击急剧增加”。
生物识别,其中伪造的媒体被“注入”到提要中,正在以惊人的速度劫持摄像机。根据该报告,原生虚拟摄像头攻击已成为主要威胁媒介,增长了 2665%,部分原因是主流应用商店的渗透。
与 2023 年相比增加了 300%,“威胁行为者将重点转移到使用活体检测协议的系统上。”在线犯罪即服务生态系统现在拥有约 24,000 个销售攻击技术的实体,这些技术使以前复杂的操作(例如图像到视频转换)变得只需单击几个按钮即可轻松完成。有些人使用恶意睡眠代码,在激活之前会长时间处于休眠状态。
事实上,该报告的广泛影响令人不安,因为它们不仅显示了欺诈者的技术敏捷性,而且还显示了更有条理的组织和战略侵略。该报告指出,人们正在转向长期欺诈策略,有目的地针对欺诈预防技术,例如,并交叉授粉为欺诈者提供数千种潜在的攻击组合。
“依赖过时的安全措施就像为欺诈者敞开了前门,”纽厄尔博士说。为了确保系统访问和高价值交易的安全,对分层、强大的身份验证的需求从未如此强烈。
生物识别安全成为欺诈者的目标
在一个博客对于 Interface,ISMS.online 首席产品官 Sam Peters 赞同 iProov 报告中表达的担忧,即欺诈者不再仅仅针对个人或企业,还针对旨在阻止他们的工具。
生物识别安全措施,例如指纹识别已被广泛采用——彼得斯写道,这使它们成为攻击者的主要目标。 “这种威胁需要我们的关注,因为与可以更改、泄露的密码不同是永久性的,从而放大了与盗窃相关的风险。”
虽然彼得斯的一些担忧集中在可能被黑客窃取个人信息的可穿戴技术上,但他也对通过日益复杂的深度学习和图像生成模型创建的深度伪造品敲响了警钟,并指出“其范围不仅限于金融欺诈,还可能完全破坏生物识别系统。”
“通过将深度伪造技术与被盗的生物识别数据相结合,攻击者可以制造出极具说服力的骗局,使个人和企业都容易受到攻击。”
彼得斯说,安全的秘诀包括监管(和合规性)以及增强和支持的分层安全性。,包括多重身份验证 (MFA) 和活体检测。
并且需要各方面的努力。 “设备制造商必须优先考虑其产品中的安全功能,纳入端到端加密和数据最小化实践等措施——GDPR 的关键原则。”他指出,已建立的标准和框架,例如ISO/IEC 27001可以“提供明确的策略来识别可靠的供应商并加强认证实践。”
复杂信号分析可检测马萨诸塞州身份欺诈:Socure
已发表案例研究关于它如何“识别并制止针对马萨诸塞州身份被盗的大型金融机构的零售银行和信用卡业务的欺诈活动激增”。
当大量可疑的申请开始来自自称出生于 1975 年至 1990 年间的马萨诸塞州居民时,Socure 观察了四个关键领域的模式,表明存在协同欺诈行为。
许多人使用与身份相关的乱码电子邮件句柄来识别特定域。特别是,luuinet.com 电子邮件域已与 5,500 个与马萨诸塞州身份相关的应用程序相关联。
来自马萨诸塞州的申请量在半夜不断增加。 IP 地址来自美国各地,强烈建议使用 VPN 或代理服务。 “值得注意的是,”Socure 说,“超过 89% 的标记应用程序来自距声明地址 100 英里以上的地理位置。”大多数与应用程序相关的电话号码都被标记为活动受限。
“在这次攻击中专门使用马萨诸塞州的身份强烈表明,是这项努力的核心。使用乱码电子邮件句柄表明是自动生成的。”
该公司表示,“有强有力的证据表明,中国的攻击者是这次袭击的幕后黑手。”
“原来luuinet.com是2023年在中国注册的域名。”在比较马萨诸塞州的申请高峰时,Socure 的数据显示,“申请量的高峰与中国的工作日时间非常吻合。”
主要收获是什么? “现代的必须利用先进的人工智能驱动的解决方案,可以实时检测细微的模式、异常和合成身份元素。”
弗兰肯斯坦欺诈案以被篡改的身份闯入现场
就在您认为欺诈再可怕不过的时候,汤普森路透社发布了一份关于所谓的“弗兰肯斯坦欺诈”的白皮书 –其中不同身份的部分被缝合在一起形成一个欺诈性的组合。
一篇博客摘要称,“合成身份欺诈利用不同人的姓名、地址、出生日期和社会安全号码 (SSN) 来创建伪造的身份。一旦组装完毕,伪造的身份可用于申请银行账户、信贷、贷款和政府福利。”
“任何人的信息都可以用来拼凑– 儿童、老年人和住房不稳定的人经常成为目标,因为这些人不太可能定期访问信用档案报告并发现可疑活动。”
报告称,归根结底,生物识别系统中收集的任何数据都必须受到保护,“机构领导者需要扪心自问,他们的机构是否正在与在客户数据安全方面拥有良好实践记录的第三方供应商合作。”因为如果弗兰肯斯坦欺诈者掌握了生物识别数据,他们可能会想做出一些可怕的事情。
完整的白皮书可供在这里下载。
文章主题
|||||||||
