隨著AI技術的飛速發展，遠程身份驗證系統正面臨著前所未有的挑戰。據iProov最新報告，一系列新型攻擊手段正不斷威脅著企業和個人的信息安全，遠程身份驗證系統的漏洞亟待彌補。

創新且易于獲取的工具讓威脅行為者一夜之間變得更加狡猾，由于新方法的出現，威脅向量的數量不斷增加。

雖然消費者身份欺詐一直備受關注，但2024年影響最大、損失最慘重的攻擊卻瞄準了勞動力遠程身份驗證系統。這種向企業目標轉移的趨勢揭示了一個令人擔憂的現象：威脅行為者正在利用遠程工作流程和企業通信渠道以造成最大影響。

通過瞄準遠程招聘流程、虛擬工作場所通信和高管視頻會議，攻擊者獲得的收益遠高于傳統消費者欺詐。這種從個人目標向組織目標的轉變，暴露出了勞動力身份驗證中的一個危險漏洞，而當前的企業安全框架難以應對這一漏洞。

遠程身份驗證系統攻擊的主要趨勢

原生攝像頭攻擊從2023年的試驗階段演變為2024年的主要威脅，增長率高達2665%，部分原因是主流應用商店被滲透。最令人擔憂的是，這些攻擊不需要對設備進行root或越獄，使得技術水平較低的威脅行為者也能輕易實施。

與2023年相比，換臉攻擊激增了300%，威脅行為者將重點轉向了使用活體檢測協議的系統。他們利用共享情報，利用各種換臉工具攻擊易受攻擊的系統。

2024年，又發現了31個在線威脅行為者團體，其中最大的一個有6400名用戶。網絡犯罪即服務生態系統不斷壯大，現在有近24000名用戶出售攻擊技術。圖像轉視頻轉換成為一種新的合成身份攻擊向量，其過程簡單，分兩步進行，可能對市場上許多活體檢測解決方案造成影響。

簡單的獨狼式攻擊已演變為一個復雜的多行為者市場。iProov的報告強調了一種向長期欺詐策略轉變的趨勢，威脅行為者將盜竊、購買和合成衍生的身份嵌入到日常在線身份訪問點中。

一些最狡猾的攻擊使用潛伏戰術：代碼在長時間內保持休眠狀態，悄悄準備對網絡造成破壞。相比之下，其他犯罪分子復制攻擊的速度比以往任何時候都快，在不同行業同時開展行動，并將其觸角伸向遠程工作系統和企業通信。

iProov首席科學官安德魯·紐厄爾博士表示：“例如，深度偽造技術的商品化和商業化對組織和個人構成了重大威脅。曾經只有高技術水平的行為者才能實施的攻擊，如今由于一個易于訪問的工具和服務市場，低技術水平的行為者也能以最小的技術專長實現最大效果。”

針對遠程身份驗證的攻擊規模巨大，iProov發現多個向量的攻擊呈指數級增長，并且越來越關注高價值的企業目標。報告中的研究結果顯示，可能存在超過115000種潛在的攻擊組合。

合成身份欺詐的危險日益加劇

合成身份欺詐(SIF)是增長最快的欺詐類型，其影響尤為令人擔憂。這種復雜的欺詐方案結合了合法數據(如通常從兒童、老年人或已故人員那里盜取的有效社會保險號)和偽造的個人信息，以創建令人信服的虛假身份。

SIF之所以特別難以打擊，是因為它能夠規避傳統的欺詐檢測系統。與常規身份盜竊不同，在常規身份盜竊中，系統可以根據真實受害者的報告標記被盜信息，而SIF則創建了完全新的身份，這些身份同時包含了真實和虛假的元素。

紐厄爾博士表示：“隨著攻擊性工具的迅速增殖，安全措施難以跟上步伐。我們正在走向一個世界，在那里，人類眼睛無法判斷數字媒體的真實性，這不僅對傳統目標構成問題，而且對任何依賴數字媒體真實性建立信任的組織或個人都構成問題。”

靜態的、一次性的安全措施、集體的虛假安全感以及人為錯誤(最近一項iProov研究中，只有0.1%的參與者能夠可靠地區分真實內容和虛假內容)凸顯了當前防御措施的局限性。報告還強調，標準的檢測和遏制協議的發展速度跟不上威脅的發展速度，使組織在長時間內處于脆弱狀態。

紐厄爾博士表示：“依賴過時的安全措施就像給欺詐者敞開大門一樣。要取得成功，就需要持續監測、快速適應能力，以及在新型攻擊模式被廣泛利用之前檢測和應對它們的能力。”

對個人而言，欺詐的影響是顯著的，而對企業而言，則可能導致嚴重的財務損失。根據聯邦貿易委員會消費者哨兵網絡的數據，2023年因身份盜竊造成的損失超過100億美元，而企業因每次數據泄露而承擔的和解成本顯著超過3.5億美元。

快速、高效且經過驗證的身份驗證的未來不在于單一技術或方法，而在于多層次、動態的策略。