Sebuah video deepfake dari mantan CEO FTX Sam Bankman-Fried (SBF) telah beredar di Twitter - penipu yang ingin mencuri dana dari pengguna dari pertukaran kripto yang runtuhmemikat pengunjung ke sebuah situs web di mana mereka seharusnya bisa mendapatkan kompensasi atas kerugian mereka dengan mengirimkan token kripto dan menerima dua kali lipat sebagai imbalannya.
Para penipu, yang mengambil rekaman wawancara lama dari Bankman-Fried, menggunakan emulator suara untuk menangkap kemiripannya. Ini bukan pertama kalinya deepfake digunakan untuk menipu mereka yang berkecimpung di industri kripto. Pada Juli 2022, sebuah penipuan canggih yang menggunakan teknologi deepfake berhasil menguras likuiditas dari bursa kripto Brasil, BlueBenx, dengan menyamar sebagai COO Binance.
Pemalsuan SBF yang terkenal baru-baru ini adalah puncak gunung es. Penjahat sekarang memiliki akses ke teknologi dan sarana untuk membuat deepfake yang sangat realistis dan meyakinkan. Dan mereka menggunakan deepfakes ini untuk melancarkan serangan berskala besar terhadap organisasi dan penggunanya di seluruh dunia.
Artikel ini akan menjelaskannya:
- Lihatlah bagaimana para penjahat menggunakan deepfakes untuk menyerang organisasi
- Memeriksa apakah manusia berhasil mendeteksi deepfakes
- Merekomendasikan langkah-langkah yang dapat diambil oleh organisasi untuk mempertahankan diri dari ancaman deepfake yang terus berkembang.
Bagaimana Deepfakes Digunakan Untuk Menyerang Organisasi?
Konferensi Video
Pandemi global mempercepat transisi dari aktivitas tatap muka ke aktivitas jarak jauh. Berkat hal ini, pasar konferensi video telah berkembang pesat dan diperkirakan akan terus tumbuh. Sekarang banyak organisasi berkomunikasi dengan kolega, pengguna, dan kandidat pekerjaan dari jarak jauh, penjahat menggunakan deepfakes untuk mengeksploitasi saluran ini.
Mereka melakukan hal ini dengan beberapa cara. Salah satunya, deepfakes digunakan untuk meningkatkan BEC (Business Email Compromise) tradisional, yang juga dikenal sebagai penipuan CEO. BEC adalah serangan rekayasa sosial yang sangat ditargetkan di mana penjahat menyamar sebagai pemimpin organisasi untuk meyakinkan staf agar melakukan tindakan, seperti melakukan pembayaran, mengganti gaji, dan membocorkan informasi sensitif. Dengan meniru wajah dan suara seseorang selama panggilan video, deepfake dapat membuat penipuan BEC jauh lebih meyakinkan.
Bukan itu saja. Pada tahun 2022, FBI memperingatkan bahwa deepfakes juga digunakan untuk penipuan lamaran kerja untuk peran teknologi jarak jauh. Baca lebih lanjut tentang bagaimana deepfake digunakan dalam penipuan kerja jarak jauh di sini.
Verifikasi Wajah
Verifikasi wajah biometrik memungkinkan pengguna untuk memverifikasi identitas mereka dan mendapatkan akses ke layanan online dengan memindai kartu identitas yang dikeluarkan pemerintah dan wajah mereka. Mereka kemudian dapat menggunakan wajah mereka setiap kali mereka ingin mengautentikasi dan kembali ke layanan.
Verifikasi wajah otomatis adalah cara verifikasi identitas yang sangat aman dan dapat digunakan untuk proses orientasi. Metode jarak jauh lainnya, seperti panggilan video dari staf ke pengguna membutuhkan sumber daya yang mahal dan berisiko kesalahan manusia. Demikian juga, sebagai metode autentikasi, verifikasi wajah memberikan kesempatan kepada organisasi untuk tanpa kata sandi dan menyelesaikan masalah keamanan dan kegunaan yang menyertainya Otentikasi OTP.
Akan tetapi, karena penggunaan verifikasi wajah telah meningkatpelaku kejahatan telah menemukan cara-cara baru untuk menghindari sistem ini untuk mendapatkan akses tidak sah ke layanan online. Salah satu metode ini adalah pembuatan dan penggunaan deepfakes. Selanjutnya, kita akan mengeksplorasi cara-cara yang digunakan oleh para penjahat untuk mencapai hal ini.
Bagaimana Penjahat Menggunakan Deepfakes Untuk Mengeksploitasi Verifikasi Wajah?
Serangan Presentasi
Serangan presentasi adalah tindakan mengangkat artefak ke kamera yang menghadap ke pengguna untuk menyamar sebagai pelanggan bank yang sah, untuk mencoba dan memalsukan urutan autentikasi wajah. Artefak ini dapat berupa gambar statis, video (misalnya pemutaran ulang upaya autentikasi sebelumnya), dan topeng berkualitas tinggi. Video deepfake yang diputar di perangkat dan dipegang di depan kamera adalah contoh lain dari serangan presentasi.
Deepfake yang disajikan bisa realistis dan meyakinkan. Layar non-reflektif pada layar retina membuat gambar tampak sangat tajam sehingga piksel tidak terlihat oleh mata telanjang atau pada jarak pandang. Untuk mempertahankan diri dari serangan presentasi, termasuk deepfake yang disajikan, sistem verifikasi wajah biometrik harus menyertakan deteksi keaktifan, yang akan kita bahas nanti.
Serangan Injeksi Digital
Citra yang disuntikkan secara digital memungkinkan penjahat untuk menyuntikkan deepfakes, baik yang sintetis maupun yang asli, secara langsung ke dalam aliran data atau proses otentikasi.
Serangan injeksi digital adalah bentuk ancaman yang paling berbahaya karena lebih sulit dideteksi daripada serangan presentasi dan dapat direplikasi dengan cepat. Serangan ini tidak membawa petunjuk seperti halnya artefak ketika ditampilkan di depan kamera, membuat serangan yang lebih canggih sulit dibedakan oleh sistem dan nyaris mustahil bagi manusia.
Serangan ini juga jauh lebih terukur. Proses menciptakan deepfake dan menampilkannya ke kamera bisa efektif, tetapi cakupannya terbatas. Penjahat hanya dapat melakukan ini satu per satu.
Di sisi lain, serangan injeksi digital dapat dijalankan dari komputer penyerang. Atau bisa juga dilakukan dengan menggunakan ribuan perangkat kloning di pusat data yang dioperasikan oleh jaringan kriminal.
Dapatkah Manusia Dipercaya Untuk Menemukan Deepfakes?
Deepfake SBF diejek karena kualitasnya yang buruk. Beberapa pengguna Twitter dengan jelas melihat bahwa itu bukan video asli. Bagaimanapun, penelitian telah menunjukkan bahwa manusia sepenuhnya tidak kompeten untuk mengenali deepfake, terutama ketika mereka memiliki kualitas tertentu.
Dalam sebuah studi yang dilakukan oleh Lembaga Penelitian IDIAPpeserta diperlihatkan deepfake yang semakin meyakinkan yang diselingi dengan video asli dan ditanya, "apakah wajah orang dalam video itu asli atau palsu? Hanya 24% dari partisipan yang berhasil mendeteksi deepfake yang 'dibuat dengan baik'.
Meskipun penelitian menunjukkan hal yang sebaliknya, manusia sangat percaya diri dengan kemampuan mereka untuk berhasil mendeteksi deepfake. Dalam survei terbaru yang dilakukan oleh iProov, 57% konsumen yakin bahwa mereka dapat membedakan antara video asli dan citra sintetis.
Ketidakmampuan manusia untuk membedakan antara orang yang nyata dan yang palsu menimbulkan masalah bagi organisasi yang melakukan verifikasi identitas melalui konferensi video. Ini adalah kepercayaan yang salah tempat, karena mata manusia dapat dengan mudah dipalsukan. Organisasi hanya memiliki sedikit jaminan bahwa pengguna yang mereka berikan akses ke layanan online melalui konferensi video memang nyata, dan bukan tiruan. Perangkat lunak khusus diperlukan untuk memberikan tingkat jaminan ini.
Bagaimana Organisasi Dapat Mempertahankan Diri dari Ancaman Deepfake?
Deteksi Kehidupan
Deteksi kehidupan dimasukkan ke dalam sistem verifikasi dan otentikasi wajah untuk membedakan apakah individu yang menyatakan identitas mereka adalah orang yang nyata dan bukan artefak yang ditampilkan.
Ada beberapa cara yang dapat dilakukan oleh sistem verifikasi wajah untuk mencapai hal ini. Salah satunya adalah dengan meminta pengguna untuk melakukan tindakan, seperti membaca urutan karakter dengan keras atau mengedipkan mata atau menggerakkan kepala. Namun, deepfake dapat dikodekan untuk melakukan hal-hal ini dengan baik. Hal ini juga menimbulkan beberapa masalah yang rumit pertanyaan mengenai aksesibilitas dan inklusivitas.
Pendekatan lainnya adalah mendeteksi kehidupan secara pasif: yaitu tidak menginstruksikan pengguna untuk melakukan tindakan dan sebagai gantinya menggunakan petunjuk dari citra untuk membedakan antara yang asli dan palsu. Dengan cara ini, teknologi ini bekerja untuk pengguna secara intuitif.
Oleh karena itu, teknologi pendeteksi keaktifan dapat mendeteksi deepfake jika digunakan sebagai bagian dari serangan presentasi. Tetapi seperti yang telah disebutkan sebelumnya, penjahat sekarang memiliki kemampuan untuk menyuntikkan deepfake secara langsung ke dalam aliran data, melewati sistem autentikasi sama sekali.
Biometrik Satu Kali
Untuk kasus penggunaan yang berisiko tinggi, seperti membuka akun baru atau mentransfer sejumlah besar uang, sebagian besar teknologi pendeteksi keaslian tidak memberikan tingkat jaminan yang cukup tinggi. Deepfakes dapat meniru seseorang yang memverifikasi diri mereka sendiri, yang tidak dapat dikenali oleh beberapa teknologi keaslian. Metode-metode canggih diperlukan untuk mengamankan dari jenis-jenis ancaman tingkat lanjut.
Biometrik satu kali yang memastikan keaktifan dan bahwa pengguna adalah orang yang benar-benar hidup, memverifikasi secara real-time, sangat penting dalam strategi pertahanan organisasi terhadap pemalsuan.
Biometrik sekali pakai adalah metode autentikasi yang dilakukan secara real-time untuk memastikan bahwa pengguna 'hidup' dan benar-benar hadir. Biometrik sekali pakai tidak akan pernah diulang selama masa hidup pengguna dan memiliki durasi waktu yang terbatas, yang tidak dapat digunakan kembali atau dibuat ulang dan tidak berharga jika dicuri.
Salah satu cara untuk mencapai hal ini dengan perangkat standar adalah dengan menggunakan layar untuk memproyeksikan pencahayaan terkontrol ke wajah pengguna untuk membuat biometrik sekali pakai. Setelah digunakan, alat ini tidak dapat diputar ulang oleh orang yang mencoba menggunakan autentikasi sebelumnya untuk memalsukan sistem.
Keuntungan lainnya adalah jika dicuri, tidak ada harganya karena hanya sekali pakai dan akan usang begitu digunakan.
Minta demo di sini untuk mengetahui bagaimana iProov menggunakan deteksi keaktifan dan biometrik satu kali untuk memastikan bahwa pengguna adalah orang yang tepat, orang yang nyata, dan benar-benar hadir pada saat otentikasi.
