
Neseniai vienas Honkongo bankas tapo apsimetinėjimo sukčiavimo auka, kai banko darbuotojas po vaizdo skambučio su banko finansų direktoriumi ir kitais kolegomis buvo apgaule pervesti vagims 25,6 mln. Tačiau nė vienas iš jų nebuvo tikri žmonės – visi buvo dirbtinio intelekto pagalba sukurti padirbiniai.
Šis incidentas iliustruoja, kaip kibernetiniai nusikaltėliai gali naudoti gilias klastotes, kad apgautų žmones ir sukčiautų. Tai taip pat kelia susirūpinimą dėl grėsmių, kurias giliosios klastotės kelia biometrinėms autentifikavimo sistemoms.
Biometrinių žymeklių naudojimas tapatybei patvirtinti ir skaitmeninėms sistemoms pasiekti per pastarąjį dešimtmetį išaugo ir, kaip tikimasi, iki 2030 m. kasmet padidės daugiau nei 20 %. Tačiau, kaip ir kiekviena pažanga kibernetinio saugumo srityje, blogi vaikinai neatsilieka.
Viskas, kas gali būti paimta skaitmeniniu būdu, gali būti suklastota – vaizdas, vaizdo įrašas, garso įrašas ar net tekstas, imituojantis siuntėjo stilių ir sintaksę. Turėdamas bet kurį iš pusšimčio plačiai prieinamų įrankių ir mokymo duomenų rinkinį, pvz., „YouTube“ vaizdo įrašus, net mėgėjas gali sukurti įtikinamus gilius klastojimus.
Suklastotos autentifikavimo atakos būna dviejų rūšių, žinomos kaip pateikimo ir injekcijos atakos.
Pristatymo atakos apima netikro vaizdo, atvaizdavimo ar vaizdo įrašo pateikimą fotoaparatui arba jutikliui, kad būtų galima autentifikuoti. Kai kurie pavyzdžiai:
Spausdinti atakas
- 2D vaizdas
- 2D popierinė kaukė su iškirptomis akimis
- Nuotrauka rodoma išmaniajame telefone
- 3D sluoksniuota kaukė
- Pakartokite užfiksuoto teisėto vartotojo vaizdo įrašo ataką
Deepfake atakos
- Veido keitimas
- Lūpų sinchronizavimas
- Balso klonavimas
- Gestų / išraiškų perdavimas
- Iš rašto į kalbą
Įpurškimo atakos apima manipuliavimą duomenų srautu arba ryšio kanalu tarp kameros ar skaitytuvo ir autentifikavimo sistemos, panašiai kaip gerai žinomos MITM (man-in-the-middle) atakos.
Naudodamas automatizuotą programinę įrangą, skirtą programų testavimui, kibernetinis nusikaltėlis, turintis prieigą prie atviro įrenginio, gali įvesti perduodamą piršto atspaudą arba veido ID į autentifikavimo procesą, apeidamas saugos priemones ir neteisėtai prieidamas prie internetinių paslaugų. Pavyzdžiai:
- Sintetinių laikmenų įkėlimas
- Medijos srautinis perdavimas per virtualų įrenginį (pvz., fotoaparatus)
- Duomenų manipuliavimas tarp žiniatinklio naršyklės ir serverio (ty žmogus viduryje)
Apsauga nuo gilių klastočių
Keletas atsakomųjų priemonių siūlo apsaugą nuo šių išpuolių, dažniausiai nukreiptų į nustatymą, ar biometrinis žymeklis yra iš tikro, gyvo asmens.
Gyvumo testavimo metodai apima veido judesių analizę arba 3D gylio informacijos patikrinimą, kad būtų galima patvirtinti veido atitiktį, rainelės judėjimo ir tekstūros tyrimą (optinis), elektroninių impulsų jutimą (talpinį) ir piršto atspaudo patikrinimą po odos paviršiumi (ultragarsu).
Šis metodas yra pirmoji gynybos linija nuo daugelio gilių klastočių rūšių, tačiau jis gali turėti įtakos naudotojo patirčiai, nes reikalauja vartotojo dalyvavimo. Yra dviejų tipų gyvumo patikros:
- Pasyvi apsauga veikia fone, nereikalaujant naudotojų įvesties, kad būtų patvirtinta jų tapatybė. Jis gali nesukelti trinties, bet suteikia mažiau apsaugos.
- Aktyvūs metodaikurios reikalauja, kad naudotojai atliktų veiksmą realiuoju laiku, pvz., šypsotųsi arba kalbėtų, kad patvirtintų, jog vartotojas yra tiesiogiai, ir užtikrina didesnį saugumą, keičiant naudotojo patirtį.
Reaguodamos į šias naujas grėsmes, organizacijos turi nustatyti prioritetą, kuriam turtui reikalingas aukštesnis saugumo lygis, susijęs su aktyvaus gyvumo testavimu, o kada jis nereikalingas. Daugeliui reguliavimo ir atitikties standartų šiandien reikia nustatyti gyvybingumą, o ateityje gali būti dar daugiau, nes paaiškės daugiau incidentų, tokių kaip Honkongo banko sukčiavimas.
Geriausia kovos su klastojimu praktika
Norint veiksmingai kovoti su giliomis klastotėmis, būtinas daugiasluoksnis metodas, apimantis ir aktyvų, ir pasyvų gyvumo patikrinimą. Aktyvus gyvumas reikalauja, kad vartotojas atliktų atsitiktines išraiškas, o pasyvus gyvumas veikia be tiesioginio vartotojo dalyvavimo, užtikrinant tvirtą patikrinimą.
Be to, norint išvengti pristatymo atakų ir apsaugoti nuo manipuliavimo įrenginiu, naudojamo injekcijos atakose, reikia tikros kameros funkcionalumo. Galiausiai, organizacijos, siekdamos apsisaugoti nuo padirbinėjimo, turėtų atsižvelgti į šiuos geriausios praktikos pavyzdžius:
-
Apsaugos nuo sukčiavimo algoritmai: Algoritmai, aptinkantys ir atskiriantys tikrus biometrinius duomenis nuo suklastotų duomenų, gali sugauti klastotes ir patvirtinti tapatybę. Jie gali analizuoti tokius veiksnius kaip tekstūra, temperatūra, spalva, judėjimas ir duomenų įvedimas, kad nustatytų biometrinio žymeklio autentiškumą. Pavyzdžiui, „Intel“ programa „FakeCatcher“ ieško subtilių vaizdo įrašo pikselių pakeitimų, rodančių veido kraujotakos pokyčius, kad nustatytų, ar vaizdo įrašas yra tikras, ar netikras.
- Duomenų šifravimas: Siuntimo ir saugojimo metu biometriniai duomenys turi būti užšifruoti, kad būtų išvengta neteisėtos prieigos. Griežta prieigos kontrolė ir šifravimo protokolai gali užkirsti kelią žmogui viduryje ir protokolų injekcijoms, kurios gali pakenkti tapatybės galiojimui.
- Adaptyvusis autentifikavimas: Naudokite papildomus signalus, kad patikrintumėte vartotojo tapatybę pagal tokius veiksnius kaip tinklai, įrenginiai, programos ir kontekstas, kad tinkamai pateiktumėte autentifikavimo arba pakartotinio autentifikavimo metodus, pagrįstus užklausos ar operacijos rizikos lygiu.
-
Daugiasluoksnė gynyba: Pasikliaujant statine arba srautine vaizdo įrašų/nuotraukų analize, siekiant patikrinti naudotojo tapatybę, blogi veikėjai gali apeiti esamus gynybos mechanizmus. Padidinus didelės rizikos operacijas (pvz., grynųjų pinigų pervedimus) patvirtintais, skaitmeniniu parašu patvirtintais kredencialais, jautrios operacijos gali būti apsaugotos pakartotinai naudojama skaitmenine tapatybe. Taikant šį metodą, vaizdo skambučius būtų galima papildyti žalia varnele, nurodančia: „Šis asmuo buvo nepriklausomai patvirtintas“.
Tapatybės valdymo sistemų stiprinimas
Svarbu atsiminti, kad paprasčiausias slaptažodžių pakeitimas biometriniu autentifikavimu nėra patikima apsauga nuo tapatybės atakų, nebent tai būtų visapusės tapatybės ir prieigos valdymo strategijos, skirtos operacijų rizikai, sukčiavimo prevencijai ir klastojimo atakoms, dalis.
Siekdamos veiksmingai kovoti su sudėtingomis giliųjų klastojimo technologijų keliamomis grėsmėmis, organizacijos turi patobulinti savo tapatybės ir prieigos valdymo sistemas naujausiomis aptikimo ir šifravimo technologijų pažanga. Šis iniciatyvus požiūris ne tik sustiprins biometrinių sistemų saugumą, bet ir padidins bendrą skaitmeninės infrastruktūros atsparumą kylančioms kibernetinėms grėsmėms.
Šioms strategijoms teikti pirmenybę bus būtina siekiant apsisaugoti nuo tapatybės vagystės ir užtikrinti ilgalaikį biometrinio autentifikavimo patikimumą.