14 décembre 2022

Une fausse vidéo de l'ancien PDG de FTX, Sam Bankman-Fried (SBF), a circulé sur Twitter - des fraudeurs cherchant à voler des fonds aux utilisateurs. de la bourse de crypto-monnaies qui s'est effondréeLes téléspectateurs ont été attirés par un site web où ils pouvaient prétendument être dédommagés de leurs pertes en envoyant des jetons cryptographiques et en recevant le double en retour.

Les fraudeurs ont utilisé un émulateur de voix pour capturer l'image de Bankman-Fried à partir de vieux enregistrements d'interviews. Ce n'est pas la première fois qu'un deepfake est utilisé pour escroquer les acteurs du secteur des cryptomonnaies. En juillet 2022, une escroquerie sophistiquée utilisant la technologie deepfake a réussi à drainer les liquidités de la bourse de crypto-monnaies brésilienne BlueBenx, en se faisant passer pour le directeur des opérations de Binance.

Le récent deepfake très médiatisé du SBF n'est que la partie émergée de l'iceberg. Les criminels ont désormais accès à la technologie et aux moyens nécessaires pour créer des "deepfakes" incroyablement réalistes et convaincants. Ils les utilisent pour lancer des attaques à grande échelle contre des organisations et leurs utilisateurs dans le monde entier.

Cet article :

  • Découvrez comment les criminels utilisent les "deepfakes" pour attaquer les organisations
  • Examiner si les humains peuvent détecter avec succès les deepfakes
  • Recommander des mesures que les organisations peuvent prendre pour se défendre contre la menace croissante des deepfakes.

Comment les Deepfakes sont-ils utilisés pour attaquer les organisations ?

Vidéoconférence

La pandémie mondiale a accéléré la transition des activités en personne vers les activités à distance. Grâce à cela, le marché de la vidéoconférence a a connu un essor fulgurant et devrait continuer à croître. Maintenant que de nombreuses organisations communiquent avec des collègues, des utilisateurs et des candidats à distance, les criminels utilisent des "deepfakes" pour exploiter ce canal.

Ils le font de plusieurs manières. Tout d'abord, les "deepfakes" sont utilisés pour renforcer les attaques traditionnelles de type BEC (Business Email Compromise), également connues sous le nom de "CEO fraud" (fraude au chef d'entreprise). Il s'agit d'une attaque d'ingénierie sociale très ciblée dans laquelle les criminels se font passer pour le dirigeant d'une organisation afin de convaincre le personnel d'effectuer des actions, telles que des paiements, des changements de paie et la divulgation d'informations sensibles. En imitant les visages et les voix des personnes lors des appels vidéo, les deepfakes peuvent rendre les escroqueries BEC beaucoup plus convaincantes.

Ce n'est pas tout. En 2022, le FBI a averti que les "deepfakes" étaient également utilisés pour des demandes d'emploi frauduleuses pour des postes techniques à distance. Pour en savoir plus sur l'utilisation des deepfakes dans les escroqueries au travail à distance, cliquez ici.

Vérification des visages

La vérification biométrique du visage permet aux utilisateurs de vérifier leur identité et d'accéder à un service en ligne en scannant une pièce d'identité délivrée par le gouvernement et leur visage. Ils peuvent ensuite utiliser leur visage chaque fois qu'ils souhaitent s'authentifier et revenir au service.

La vérification automatisée du visage est un moyen hautement sécurisé et utilisable de vérification de l'identité pour l'intégration. D'autres méthodes à distance, telles que les appels vidéo entre employés et utilisateurs, nécessitent des ressources coûteuses et présentent un risque d'erreur humaine. De même, en tant que méthode d'authentification, la vérification faciale offre aux organisations la possibilité d'aller plus loin. sans mot de passe et résout les problèmes de sécurité et de facilité d'utilisation liés à l'utilisation de l'Internet. Authentification OTP.

Toutefois, comme le l'utilisation de la vérification des visages a augmentéMais depuis que le système a été mis en place, les acteurs malveillants ont conçu de nouveaux moyens de contourner ces systèmes pour obtenir un accès non autorisé aux services en ligne. L'une de ces méthodes est la création et l'utilisation de "deepfakes". Nous examinerons ensuite les moyens utilisés par les criminels pour y parvenir.

Comment les criminels utilisent-ils les Deepfakes pour exploiter la vérification des visages ?

Attaques de présentation

Une attaque par présentation consiste à présenter un artefact à la caméra orientée vers l'utilisateur pour se faire passer pour un client légitime de la banque, afin d'essayer d'usurper la séquence d'authentification faciale. Ces artefacts peuvent prendre la forme d'images statiques, de vidéos (par exemple, la rediffusion de tentatives d'authentification précédentes) et de masques de haute qualité. Une fausse vidéo diffusée sur un appareil et tenue devant la caméra est un autre exemple d'attaque par présentation.

Les deepfakes présentés peuvent être réalistes et convaincants. L'écran non réfléchissant d'un écran rétinien rend les images extrêmement nettes, de sorte que les pixels ne sont pas visibles à l'œil nu ou à distance. Pour se défendre contre les attaques par présentation, y compris les "deepfakes" présentés, les systèmes de vérification biométrique des visages doivent intégrer la détection de la vivacité, que nous étudierons plus loin.

Attaques par injection numérique

L'imagerie injectée numériquement permet aux criminels d'injecter des faux, qu'il s'agisse d'individus synthétiques ou authentiques, directement dans le flux de données ou le processus d'authentification.

Attaques par injection numérique sont la forme de menace la plus dangereuse car elles sont plus difficiles à détecter que les attaques par présentation et peuvent être reproduites rapidement. Elles ne comportent aucun des indices que les artefacts ont lorsqu'ils sont présentés à la caméra, ce qui rend les attaques les plus sophistiquées difficiles à distinguer pour les systèmes et presque impossibles pour les humains.

Ces attaques sont également beaucoup plus évolutives. Le processus consistant à créer un deepfake et à le présenter à une caméra peut être efficace, mais sa portée est limitée. Le criminel ne peut le faire qu'une fois à la fois.

Les attaques par injection numérique, en revanche, peuvent être exécutées à partir de l'ordinateur d'un attaquant. Elles peuvent également être réalisées à l'aide d'un millier d'appareils clonés dans un centre de données exploité par un réseau criminel.

Peut-on faire confiance aux humains pour repérer les "deepfakes" ?

Le deepfake de SBF a été moqué pour sa mauvaise qualité. Certains utilisateurs de Twitter ont clairement repéré qu'il ne s'agissait pas d'une vraie vidéo. Quoi qu'il en soit, la recherche a montré que les humains sont totalement incapables de repérer les deepfakes, surtout lorsqu'ils sont d'une certaine qualité.

Dans une étude menée par la Institut de recherche IDIAPDans cette étude, on a montré aux participants des deepfakes de plus en plus convaincants entrecoupés de vraies vidéos et on leur a demandé : "Le visage de la personne dans la vidéo est-il réel ou faux ? Seuls 24 % des participants ont réussi à détecter un deepfake "bien fait".

Malgré les recherches qui démontrent le contraire, les humains ont une confiance injustifiée dans leur capacité à détecter les "deepfakes". Dans une enquête récente menée par iProov, 57 % des consommateurs étaient convaincus de pouvoir faire la différence entre une vidéo réelle et une image de synthèse.

L'incapacité humaine à faire la différence entre une personne réelle et un deepfake pose un problème aux organisations qui mènent des activités de recherche et de développement. la vérification de l'identité par vidéoconférence. Cette confiance est mal placée, car l'œil humain peut facilement être usurpé. Les organisations ont peu d'assurance que les utilisateurs auxquels elles accordent l'accès à un service en ligne par le biais de la vidéoconférence sont bien réels et ne sont pas des "deepfakes". Un logiciel spécialisé est nécessaire pour fournir ce niveau d'assurance.

Comment les organisations peuvent-elles se défendre contre la menace Deepfake ?

Détection du caractère vivant

La détection du caractère vivant est incorporée dans les systèmes de vérification et d'authentification des visages afin de déterminer si l'individu qui affirme son identité est une personne réelle et non un artefact présenté.

Un système de vérification du visage peut y parvenir de plusieurs manières. L'une d'entre elles consiste à demander à l'utilisateur d'effectuer des actions, comme lire une séquence de caractères à haute voix, cligner des yeux ou bouger la tête. Or, les "deepfakes" peuvent être codés pour faire ces choses tout aussi bien. Cela soulève également des questions délicates les questions relatives à l'accessibilité et à l'inclusion.

Une autre approche consiste à détecter le caractère vivant de manière passive, c'est-à-dire sans demander à l'utilisateur d'effectuer des actions et en utilisant plutôt les indices de l'imagerie pour distinguer le vrai du faux. De cette manière, la technologie fait le travail pour l'utilisateur de manière intuitive.

La technologie de détection de la vivacité peut donc détecter un deepfake s'il est utilisé dans le cadre d'une attaque de présentation. Mais, comme indiqué précédemment, les criminels ont désormais la possibilité d'injecter des deepfakes directement dans le flux de données, en contournant complètement le système d'authentification.

Biométrie à usage unique

Pour les cas d'utilisation à haut risque, tels que l'ouverture d'un nouveau compte ou le transfert d'une grosse somme d'argent, la plupart des technologies de détection de la vivacité n'offrent pas un niveau d'assurance suffisant. Les "deepfakes" peuvent imiter une personne qui se vérifie elle-même, ce que certaines technologies de détection de la vivacité ne peuvent pas repérer. Des méthodes avancées sont nécessaires pour se prémunir contre les types de menaces avancées.

La biométrie à usage unique qui garantit à la fois l'existence et l'authenticité de l'utilisateur, vérifiée en temps réel, est essentielle dans la stratégie de défense d'une organisation contre les "deepfakes".

Une biométrie à usage unique est une méthode d'authentification qui se déroule en temps réel pour garantir que l'utilisateur est "vivant" et réellement présent. Une biométrie à usage unique n'est jamais répétée au cours de la vie d'un utilisateur et a une durée de vie limitée. Elle ne peut pas être réutilisée ou recréée et n'a aucune valeur si elle est volée.

L'un des moyens d'y parvenir avec un appareil standard consiste à utiliser l'écran pour projeter un éclairage contrôlé sur le visage de l'utilisateur afin de créer une biométrie à usage unique. Une fois utilisée, elle ne peut pas être reproduite par une personne qui tenterait d'utiliser une authentification antérieure pour usurper le système.

Un autre avantage est qu'en cas de vol, il n'a aucune valeur car il est unique et obsolète dès qu'il est utilisé.

Demandez une démonstration ici pour découvrir comment iProov utilise la détection de la vivacité et la biométrie à usage unique pour s'assurer que l'utilisateur est la bonne personne, une personne réelle et réellement présente au moment de l'authentification.

L'escroquerie cryptographique de FTX met en évidence la menace des deepfakes