14 dicembre 2022
Un video deepfake dell'ex CEO di FTX Sam Bankman-Fried (SBF) è stato diffuso su Twitter - i truffatori stanno cercando di rubare i fondi agli utenti della borsa criptovaluta crollata, ha attirato gli spettatori su un sito web in cui si supponeva che potessero essere compensati per le loro perdite inviando token cripto e ricevendo in cambio il doppio.
I truffatori, prendendo vecchi filmati di interviste di Bankman-Fried, hanno usato un emulatore vocale per catturare le sue sembianze. Non è la prima volta che un deepfake viene utilizzato per truffare gli operatori del settore delle criptovalute. Nel luglio 2022, una sofisticata truffa che utilizzava la tecnologia deepfake è riuscita a prosciugare la liquidità della borsa brasiliana di criptovalute BlueBenx, spacciandosi per il COO di Binance.
Il recente deepfake di alto profilo di SBF è la punta dell'iceberg. I criminali hanno ora accesso alla tecnologia e ai mezzi per creare deepfake incredibilmente realistici e convincenti. E stanno usando questi deepfake per lanciare attacchi su larga scala alle organizzazioni e ai loro utenti in tutto il mondo.
Questo articolo:
- Guarda come i criminali usano i deepfakes per attaccare le organizzazioni
- Esaminare se gli esseri umani sono in grado di rilevare con successo i deepfakes
- Raccomandare le misure che le organizzazioni possono adottare per difendersi dalla crescente minaccia dei deepfake.
Come vengono utilizzati i deepfake per attaccare le organizzazioni?
Videoconferenza
La pandemia globale ha accelerato la transizione dalle attività in presenza a quelle a distanza. Grazie a ciò, il mercato delle videoconferenze ha ha avuto un boom e si prevede che continuerà a crescere. Ora che molte organizzazioni comunicano con colleghi, utenti e candidati al lavoro da remoto, i criminali utilizzano i deepfake per sfruttare questo canale.
Lo fanno in diversi modi. In primo luogo, i deepfake vengono utilizzati per migliorare la tradizionale BEC (Business Email Compromise), nota anche come frode del CEO. Il BEC è un attacco di social engineering altamente mirato in cui i criminali impersonano il leader di un'organizzazione per convincere il personale a eseguire azioni, come effettuare pagamenti, cambiare le buste paga e divulgare informazioni sensibili. Imitando i volti e le voci delle persone durante le videochiamate, i deepfake possono rendere le truffe BEC molto più convincenti.
Non è tutto. Nel 2022, l'FBI ha avvertito che i deepfake vengono utilizzati anche per le domande di assunzione fraudolente per ruoli tecnologici a distanza. Per saperne di più su come vengono utilizzati i deepfakes nelle truffe di lavoro a distanza, leggete qui.
Verifica del volto
La verifica biometrica del volto consente agli utenti di verificare la propria identità e di accedere a un servizio online mediante la scansione di un documento d'identità rilasciato dal governo e del proprio volto. Potranno poi utilizzare il loro volto ogni volta che vorranno autenticarsi e tornare al servizio.
La verifica automatica del volto è un mezzo di verifica dell'identità altamente sicuro e utilizzabile per l'onboarding. Altri metodi remoti, come le videochiamate tra dipendenti, richiedono risorse costose e rischiano l'errore umano. Allo stesso modo, come metodo di autenticazione, la verifica del volto offre alle organizzazioni l'opportunità di andare senza password e risolve i problemi di sicurezza e di usabilità che derivano da Autenticazione OTP.
Tuttavia, poiché il l'uso della verifica del volto è aumentatoI malintenzionati hanno ideato nuovi modi per aggirare questi sistemi e ottenere un accesso non autorizzato ai servizi online. Uno di questi metodi è la creazione e l'utilizzo di deepfakes. Di seguito analizzeremo i modi in cui i criminali cercano di raggiungere questo obiettivo.
In che modo i criminali utilizzano i deepfake per sfruttare la verifica dei volti?
Attacchi alla presentazione
L'attacco di presentazione consiste nel presentare un artefatto alla telecamera rivolta verso l'utente per impersonare un cliente legittimo della banca e tentare di falsificare la sequenza di autenticazione del volto. Questi artefatti possono assumere la forma di immagini statiche, video (ad esempio, replay di precedenti tentativi di autenticazione) e maschere di alta qualità. Un video deepfake riprodotto su un dispositivo e tenuto davanti alla telecamera è un altro esempio di attacco di presentazione.
I deepfake presentati possono essere realistici e convincenti. Lo schermo non riflettente di un display a retina fa apparire le immagini estremamente nitide, in modo che i pixel non siano visibili a occhio nudo o a distanza di visione. Per difendersi dagli attacchi di presentazione, compresi i deepfake presentati, i sistemi di verifica biometrica del volto devono incorporare il rilevamento della vivacità, che analizzeremo in seguito.
Attacchi di iniezione digitale
Le immagini iniettate digitalmente consentono ai criminali di iniettare deepfakes, sia di individui sintetici che autentici, direttamente nel flusso di dati o nel processo di autenticazione.
Attacchi di iniezione digitale sono la forma di minaccia più pericolosa perché sono più difficili da rilevare rispetto agli attacchi di presentazione e possono essere replicati rapidamente. Non portano con sé nessuno degli indizi che gli artefatti hanno quando vengono presentati alla telecamera, rendendo gli attacchi più sofisticati difficili da distinguere per i sistemi e quasi impossibili per gli esseri umani.
Questi attacchi sono anche molto più scalabili. Il processo di creazione di un deepfake e di presentazione a una telecamera può essere efficace, ma ha una portata limitata. Il criminale può farlo solo uno alla volta.
Gli attacchi di iniezione digitale, invece, possono essere eseguiti dal computer di un aggressore. Oppure possono essere eseguiti utilizzando un migliaio di dispositivi clonati in un centro dati gestito da una rete criminale.
Ci si può fidare degli esseri umani per individuare i deepfakes?
Il deepfake di SBF è stato deriso per la sua scarsa qualità. Alcuni utenti di Twitter hanno chiaramente notato che non si trattava di un video reale. Comunque sia, la ricerca ha dimostrato che gli esseri umani sono del tutto incapaci di individuare i deepfake, soprattutto quando sono di una certa qualità.
In uno studio condotto dal Istituto di ricerca IDIAPAi partecipanti sono stati mostrati deepfake progressivamente più convincenti, intervallati da video reali, e gli è stato chiesto: "Il volto della persona nel video è reale o falso?". Solo il 24% dei partecipanti è riuscito a riconoscere un deepfake "ben fatto".
Nonostante le ricerche dimostrino il contrario, gli esseri umani sono ingiustificatamente fiduciosi nella loro capacità di individuare con successo i deepfake. In un recente sondaggio condotto da iProov, il 57% dei consumatori era sicuro di poter distinguere un video reale da un'immagine sintetica.
L'incapacità umana di distinguere tra una persona reale e un deepfake pone un problema alle organizzazioni che conducono verifica dell'identità tramite videoconferenza. Si tratta di una fiducia mal riposta, poiché l'occhio umano può essere facilmente falsificato. Le organizzazioni hanno poche garanzie che gli utenti a cui viene concesso l'accesso a un servizio online tramite videoconferenza siano effettivamente reali e non un deepfake. È necessario un software specializzato per fornire questo livello di garanzia.
Come possono le organizzazioni difendersi dalla minaccia Deepfake?
Rilevamento della vivacità
Il rilevamento della vivacità è incorporato nei sistemi di verifica del volto e di autenticazione per distinguere se l'individuo che afferma la propria identità è una persona reale e non un artefatto presentato.
Un sistema di verifica del volto può raggiungere questo obiettivo in diversi modi. Uno di questi è chiedere all'utente di eseguire delle azioni, come leggere una sequenza di caratteri ad alta voce, sbattere le palpebre o muovere la testa. Tuttavia, i deepfake possono essere codificati per fare queste cose altrettanto bene. Questo solleva anche alcuni problemi domande relative all'accessibilità e all'inclusività.
Un altro approccio consiste nel rilevare la vivacità in modo passivo, ossia senza istruire l'utente a eseguire azioni e utilizzando invece gli indizi delle immagini per distinguere tra reale e falso. In questo modo la tecnologia svolge il lavoro per l'utente in modo intuitivo.
La tecnologia di rilevamento della vivacità può quindi rilevare un deepfake se viene utilizzato come parte di un attacco di presentazione. Ma, come detto in precedenza, i criminali hanno ora la possibilità di iniettare deepfake direttamente nel flusso di dati, aggirando completamente il sistema di autenticazione.
Biometria una tantum
Per i casi d'uso ad alto rischio, come l'apertura di un nuovo conto o il trasferimento di un'ingente somma di denaro, la maggior parte delle tecnologie di rilevamento della vivacità non fornisce un livello di garanzia sufficiente. I deepfake possono emulare una persona che si autoverifica, cosa che alcune tecnologie di liveness non sono in grado di individuare. Sono necessari metodi avanzati per garantire la sicurezza contro i tipi di minacce avanzate.
La biometria una tantum che assicura sia la vivacità sia che l'utente sia una persona in carne e ossa, verificando in tempo reale, è essenziale nella strategia di difesa di un'organizzazione contro i deepfake.
Un biometrico unico è un metodo di autenticazione che avviene in tempo reale per garantire che un utente sia "vivo" e realmente presente. Un biometrico monouso non viene mai ripetuto nel corso della vita dell'utente e ha una durata limitata, non può essere riutilizzato o ricreato e non ha valore se viene rubato.
Un modo per ottenere questo risultato con un dispositivo standard consiste nell'utilizzare lo schermo per proiettare un'illuminazione controllata sul volto dell'utente e creare una biometria unica. Una volta utilizzato, non può essere riprodotto da una persona che tenti di utilizzare un'autenticazione precedente per falsificare il sistema.
Un altro vantaggio è che, in caso di furto, non ha alcun valore perché è una tantum e diventa obsoleta non appena viene utilizzata.
Richiedete una demo qui per scoprire come iProov utilizza il rilevamento della vivacità e la biometria una tantum per garantire che l'utente sia la persona giusta, reale e realmente presente al momento dell'autenticazione.