深度偽造和合成身份:關(guān)注身份盜竊的原因
在一個(gè)數(shù)字身份被騙子們模糊和濫用的世界,我們?nèi)绾握瓶財(cái)?shù)字身份?
一家保險(xiǎn)公司最近報(bào)告了一個(gè)針對(duì)其客戶的成功騙局,這是 CEO 欺詐的新型改進(jìn)版本。一位英國(guó) CEO 受騙將 24 萬(wàn)美元轉(zhuǎn)移給了一個(gè)騙子。這個(gè)騙局中對(duì)方使用了一種叫做深度偽造 (Deepfake) 的技術(shù),讓 CEO 相信他是在和一個(gè)具有合法資格的人打交道。
有些人懷疑賬戶的安全性,但是深度偽造技術(shù)堪稱是完美的詐騙工具,因?yàn)樗昧宋覀冊(cè)谌穗H關(guān)系中的信任。無(wú)論是在線上還是線下,信任都在交易中起到關(guān)鍵作用,可以說當(dāng)涉及身份盜竊時(shí),深度偽造技術(shù)無(wú)疑是網(wǎng)絡(luò)犯罪分子工具箱中最危險(xiǎn)的一種。
身份盜竊風(fēng)暴正在醞釀
麥肯錫認(rèn)為數(shù)字身份是一個(gè)市場(chǎng)驅(qū)動(dòng)因素,它能將一個(gè)國(guó)家的整體經(jīng)濟(jì)價(jià)值提高多達(dá) 13%。然而《Javelin Strategy》報(bào)告稱,2017 年有 1670 萬(wàn)美國(guó)成年人的身份被盜。2018 年,美國(guó)聯(lián)邦貿(mào)易委員會(huì) (FTC) 收到的最頻繁的投訴是冒名詐騙。
數(shù)字身份是一把雙刃劍。一方面它能讓消費(fèi)者和員工合法地執(zhí)行在線和離線任務(wù)。另一方面,數(shù)字身份也被人惡意利用影響個(gè)人和工作。
這種兩面性是由于數(shù)字身份的影響無(wú)處不在。我們正在對(duì)個(gè)人進(jìn)行更多的核查和反欺詐檢查,以防止欺詐發(fā)生。然而,與此同時(shí),網(wǎng)絡(luò)犯罪分子也正在尋找其他辦法。隨著面部識(shí)別等新型身份認(rèn)證技術(shù)的出現(xiàn),安全方面也迎來(lái)新的挑戰(zhàn)。
合成身份盜竊vs.真實(shí)身份盜竊
當(dāng)我們的數(shù)字身份卷入欺詐時(shí),利用驗(yàn)證身份還是合成身份是兩種不同情況。
什么是已驗(yàn)證的身份?
經(jīng)過驗(yàn)證的身份越來(lái)越多地與驗(yàn)證和認(rèn)證技術(shù)聯(lián)系在一起,以保證其可靠性來(lái)進(jìn)行有價(jià)值的交易。對(duì)于執(zhí)行這些檢查的服務(wù)方來(lái)說,這是一項(xiàng)開銷很大的工作。據(jù)湯森路透 “確認(rèn)你的客戶” (Know Your Customer, KYC) 調(diào)查估計(jì),KYC 流程每年的成本約為 5 億美元。而且 KYC 流程對(duì)消費(fèi)者來(lái)說非常耗時(shí),而且做好在線驗(yàn)證工作不是一件容易的事情。但是如果身份可以跨聯(lián)合服務(wù)重復(fù)使用,那么對(duì)使用者和服務(wù)方來(lái)說,已驗(yàn)證的身份都是有價(jià)值的資產(chǎn)。
同樣的,經(jīng)過驗(yàn)證的(真實(shí)的)身份對(duì)網(wǎng)絡(luò)犯罪分子來(lái)說也是一種有價(jià)值的商品。事實(shí)證明,身份欺詐給金融交易帶來(lái)了困擾,2018 年網(wǎng)絡(luò)欺詐增加了 55%。
什么是合成身份?
合成身份是用于創(chuàng)建 “混合” 身份的技術(shù)。合成 ID 是由從數(shù)據(jù)泄露中獲取的確定數(shù)據(jù)碎片拼湊而成的。2019 年上半年,數(shù)據(jù)泄露事件增加了 54%,因此有大量數(shù)據(jù)可供犯罪分子選擇。網(wǎng)絡(luò)犯罪分子還通過 “通道分離” 的方法獲取多個(gè) ID 數(shù)據(jù)碎片(例如姓名,出生日期,社會(huì)保險(xiǎn)號(hào)),并把它們混在一起以免被發(fā)現(xiàn)。
從欺詐的角度來(lái)看,哪一種最好用:驗(yàn)證身份還是合成身份?當(dāng)然,答案取決于騙局。如果網(wǎng)絡(luò)犯罪分子可以使用經(jīng)過驗(yàn)證的身份,他們成功實(shí)施犯罪的可能性就更大。然而,如果身份以一種可靠的方式被創(chuàng)建,那么驗(yàn)證身份很難被控制。欺詐者有辦法建立他們自己的驗(yàn)證身份。這對(duì)于提供高安全級(jí)別 ID 服務(wù)的企業(yè)來(lái)說是一個(gè)挑戰(zhàn)。
合成身份是成功的,但真實(shí)的、經(jīng)過驗(yàn)證的身份更是非常有用和強(qiáng)大的工具。更妙的是,如果詐騙者能夠利用本應(yīng)該確保身份的系統(tǒng)來(lái)創(chuàng)建經(jīng)過驗(yàn)證的假身份,那就更好用了。
深度偽造和已驗(yàn)證的身份
身份和生物特征數(shù)據(jù)(如人臉和語(yǔ)音識(shí)別),正越來(lái)越多地用于數(shù)字身份的創(chuàng)建和使用中。人臉識(shí)別被廣泛應(yīng)用于數(shù)字身份用例中。這包括注冊(cè)賬戶時(shí)的身份驗(yàn)證,例如移動(dòng)應(yīng)用程序供應(yīng)商 Yoti,該公司在注冊(cè)時(shí)使用人臉識(shí)別技術(shù)進(jìn)行身份驗(yàn)證。
與 AppleID 一樣,人臉識(shí)別也被用于交易認(rèn)證。語(yǔ)音識(shí)別則被應(yīng)用于數(shù)字助手如亞馬遜 Echo 等數(shù)字助手,用來(lái)與 Avoco Secure 等公司共享身份數(shù)據(jù)。
語(yǔ)音和人臉本就適合應(yīng)用到消費(fèi)者數(shù)字身份用例中。生物識(shí)別技術(shù)可以使用戶體驗(yàn)更簡(jiǎn)單,甚至更有趣。然而,生物識(shí)別技術(shù)自然而然也是騙子的福音。深度偽造技術(shù)利用生物識(shí)別技術(shù),利用人臉或聲音固有的信任,進(jìn)行更精妙、更有效的釣魚活動(dòng)。除非我們建立起相應(yīng)的對(duì)策,否則深度偽造將對(duì)數(shù)字身份行業(yè)造成嚴(yán)重破壞。
現(xiàn)在利用深度偽造創(chuàng)建一個(gè)經(jīng)過驗(yàn)證的憑證已經(jīng)不遠(yuǎn)了,之后深度偽造也會(huì)被用于構(gòu)建一個(gè)高可靠的身份。它將使合成身份更上一層樓,躍入已驗(yàn)證身份的領(lǐng)域。一旦發(fā)生這種情況,網(wǎng)上交易可能更容易受到惡意攻擊。實(shí)際上,犯罪分子將進(jìn)行合法欺詐。
身份欺詐之外
從數(shù)字身份的定義來(lái)看,它是任何在線交易失敗的關(guān)鍵原因。在消費(fèi)者系統(tǒng)的復(fù)雜結(jié)構(gòu)要求下中保持高水平的驗(yàn)證是一項(xiàng)嚴(yán)峻的挑戰(zhàn)。僅授權(quán)帳戶訪問和共享就對(duì)這一領(lǐng)域提出了挑戰(zhàn)。
如果我們繼續(xù)將人臉和語(yǔ)音生物識(shí)別技術(shù)整合到我們的數(shù)字身份平臺(tái)和服務(wù)中,我們必須考慮到深度偽造欺詐。我們必須繼續(xù)加強(qiáng)我們的數(shù)字身份應(yīng)用程序的設(shè)計(jì),以抵御各種攻擊。深度偽造將持續(xù)給那些使用生物識(shí)別技術(shù)進(jìn)行身份驗(yàn)證的系統(tǒng),以及那些使用生物識(shí)別輔助交易驗(yàn)證的系統(tǒng)帶來(lái)挑戰(zhàn)。
人臉和語(yǔ)音為數(shù)字身份系統(tǒng)設(shè)計(jì)者提供了一種方便用戶的驗(yàn)證和交易方式。這些方法滿足了一些殘疾用戶的迫切需求,消除了對(duì)鍵盤的依賴。然而確保“通過設(shè)計(jì)實(shí)現(xiàn)生物識(shí)別技術(shù)的安全”是我們的職責(zé)之一。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
