ธันวาคม 14, 2022

วิดีโอ Deepfake ของ Sam Bankman-Fried (SBF) อดีต CEO ของ FTX ได้รับการเผยแพร่บน Twitter – นักต้มตุ๋นที่ต้องการขโมยเงินจากผู้ใช้ ของการแลกเปลี่ยน crypto ที่ล่มสลายล่อลวงผู้ชมไปยังเว็บไซต์ที่พวกเขาคาดว่าจะได้รับการชดเชยการสูญเสียโดยการส่งโทเค็น crypto และรับผลตอบแทนสองเท่า

มิจฉาชีพนําภาพสัมภาษณ์เก่าของ Bankman-Fried ใช้โปรแกรมจําลองเสียงเพื่อจับภาพความเหมือนของเขา นี่ไม่ใช่ครั้งแรกที่มีการใช้ Deepfake เพื่อหลอกลวงผู้ที่อยู่ในอุตสาหกรรมคริปโต ในเดือนกรกฎาคม 2022 การหลอกลวงที่ซับซ้อนโดยใช้เทคโนโลยี Deepfake สามารถระบายสภาพคล่องออกจากการแลกเปลี่ยน crypto ของบราซิล BlueBenx โดยแอบอ้างเป็น COO ของ Binance

SBF Deepfake ที่มีชื่อเสียงล่าสุดคือส่วนปลายของภูเขาน้ําแข็ง ขณะนี้อาชญากรสามารถเข้าถึงเทคโนโลยีและวิธีการสร้าง Deepfake ที่สมจริงและน่าเชื่อถืออย่างไม่น่าเชื่อ และพวกเขากําลังใช้ Deepfake เหล่านี้เพื่อเริ่มการโจมตีขนาดใหญ่ที่องค์กรและผู้ใช้ทั่วโลก

บทความนี้จะ:

  • ดูว่าอาชญากรใช้ Deepfake เพื่อโจมตีองค์กรอย่างไร
  • ตรวจสอบว่ามนุษย์สามารถตรวจจับ Deepfake ได้สําเร็จหรือไม่
  • แนะนําขั้นตอนที่องค์กรสามารถทําได้เพื่อป้องกันภัยคุกคาม Deepfake ที่เพิ่มขึ้น

Deepfakes ถูกใช้เพื่อโจมตีองค์กรอย่างไร?

การประชุมทางวิดีโอ

การระบาดใหญ่ทั่วโลกเร่งการเปลี่ยนจากกิจกรรมแบบตัวต่อตัวเป็นกิจกรรมระยะไกล ด้วยเหตุนี้ตลาดการประชุมทางวิดีโอจึงมี เฟื่องฟูและคาดว่าจะเติบโตอย่างต่อเนื่อง ขณะนี้หลายองค์กรกําลังสื่อสารกับเพื่อนร่วมงานผู้ใช้และผู้สมัครงานจากระยะไกลอาชญากรกําลังใช้ deepfakes เพื่อใช้ประโยชน์จากช่องทางนี้

พวกเขากําลังทําสิ่งนี้ในหลายวิธี ประการหนึ่ง Deepfake ถูกใช้เพื่อปรับปรุง BEC แบบดั้งเดิม (Business Email Compromise) หรือที่เรียกว่าการฉ้อโกง CEO BEC เป็นการโจมตีทางวิศวกรรมสังคมที่มีเป้าหมายสูง ซึ่งอาชญากรแอบอ้างเป็นหัวหน้าองค์กรเพื่อโน้มน้าวให้พนักงานดําเนินการต่างๆ เช่น การชําระเงิน การเปลี่ยนบัญชีเงินเดือน และการเปิดเผยข้อมูลที่ละเอียดอ่อน ในการเลียนแบบใบหน้าและเสียงของบุคคลระหว่างแฮงเอาท์วิดีโอ Deepfake สามารถทําให้การหลอกลวง BEC น่าเชื่อถือมากขึ้น

ไม่เพียงเท่านั้น ในปี 2022 FBI เตือนว่า Deepfakes ยังถูกใช้สําหรับการสมัครงานที่ฉ้อโกงสําหรับบทบาทเทคโนโลยีระยะไกล อ่านเพิ่มเติมเกี่ยวกับวิธีการใช้ Deepfake ในการหลอกลวงการทํางานระยะไกลที่นี่

การยืนยันใบหน้า

การตรวจสอบใบหน้าด้วยไบโอเมตริกซ์ช่วยให้ผู้ใช้สามารถยืนยันตัวตนและเข้าถึงบริการออนไลน์ได้โดยการสแกนบัตรประจําตัวที่ออกโดยหน่วยงานราชการและใบหน้า จากนั้นพวกเขาสามารถใช้ใบหน้าได้ทุกครั้งที่ต้องการตรวจสอบสิทธิ์และกลับมาใช้บริการ

การตรวจสอบใบหน้าอัตโนมัติเป็นวิธียืนยันตัวตนที่มีความปลอดภัยสูงและใช้งานได้สําหรับการเริ่มต้นใช้งาน วิธีการระยะไกลอื่นๆ เช่น แฮงเอาท์วิดีโอระหว่างพนักงานกับผู้ใช้ต้องใช้ทรัพยากรที่มีค่าใช้จ่ายสูงและเสี่ยงต่อความผิดพลาดของมนุษย์ ในทํานองเดียวกันในฐานะวิธีการตรวจสอบสิทธิ์การตรวจสอบใบหน้าช่วยให้องค์กรมีโอกาสไป ไร้รหัสผ่าน และแก้ไขปัญหาด้านความปลอดภัยและการใช้งานที่มาพร้อมกับ การตรวจสอบ OTP

อย่างไรก็ตาม เนื่องจาก การใช้การยืนยันใบหน้าเพิ่มขึ้นผู้ไม่หวังดีได้คิดวิธีใหม่ในการหลีกเลี่ยงระบบเหล่านี้เพื่อเข้าถึงบริการออนไลน์โดยไม่ได้รับอนุญาต หนึ่งในวิธีการเหล่านี้คือการสร้างและการใช้ Deepfake ต่อไปเราจะสํารวจวิธีที่อาชญากรพยายามบรรลุเป้าหมายนี้

อาชญากรใช้ Deepfakes เพื่อใช้ประโยชน์จากการยืนยันใบหน้าอย่างไร

การโจมตีการนําเสนอ

การโจมตีการนําเสนอคือการถือสิ่งประดิษฐ์ไปยังกล้องที่ผู้ใช้หันหน้าเข้าหาเพื่อปลอมตัวเป็นลูกค้าธนาคารที่ถูกต้องตามกฎหมายเพื่อพยายามปลอมแปลงลําดับการตรวจสอบใบหน้า สิ่งประดิษฐ์เหล่านี้สามารถอยู่ในรูปแบบของภาพนิ่ง วิดีโอ (เช่น การเล่นซ้ําของความพยายามในการตรวจสอบสิทธิ์ครั้งก่อน) และมาสก์คุณภาพสูง วิดีโอ Deepfake ที่เล่นบนอุปกรณ์และถือไว้หน้ากล้องเป็นอีกตัวอย่างหนึ่งของการโจมตีการนําเสนอ

Deepfakes ที่นําเสนอสามารถเป็นจริงและน่าเชื่อถือ หน้าจอที่ไม่สะท้อนแสงบนจอแสดงผลเรตินาทําให้ภาพดูคมชัดมากเพื่อไม่ให้พิกเซลมองเห็นได้ด้วยตาเปล่าหรือในระยะการมองเห็น เพื่อป้องกันการโจมตีการนําเสนอ รวมถึง Deepfake ที่นําเสนอ ระบบตรวจสอบใบหน้าไบโอเมตริกซ์จะต้องรวมการตรวจจับความมีชีวิตชีวา ซึ่งเราจะสํารวจในภายหลัง

การโจมตีแบบฉีดดิจิทัล

ภาพที่ฉีดแบบดิจิทัลช่วยให้อาชญากรสามารถฉีด Deepfake ไม่ว่าจะเป็นบุคคลสังเคราะห์หรือบุคคลจริงลงในสตรีมข้อมูลหรือกระบวนการตรวจสอบสิทธิ์ได้โดยตรง

การโจมตีแบบฉีดดิจิทัล เป็นรูปแบบภัยคุกคามที่อันตรายที่สุด เนื่องจากตรวจจับได้ยากกว่าการโจมตีด้วยการนําเสนอ และสามารถทําซ้ําได้อย่างรวดเร็ว พวกมันไม่มีเงื่อนงําใด ๆ ที่สิ่งประดิษฐ์ทําเมื่อนําเสนอต่อกล้องทําให้การโจมตีที่ซับซ้อนยิ่งขึ้นเป็นสิ่งที่ท้าทายสําหรับระบบในการแยกแยะและแทบจะเป็นไปไม่ได้สําหรับมนุษย์

การโจมตีเหล่านี้ยังสามารถปรับขนาดได้มากขึ้น กระบวนการสร้าง Deepfake และนําเสนอต่อกล้องอาจมีประสิทธิภาพ แต่มีขอบเขตจํากัด อาชญากรสามารถทําได้ทีละคนเท่านั้น

ในทางกลับกันการโจมตีแบบฉีดดิจิทัลสามารถเรียกใช้จากคอมพิวเตอร์ของผู้โจมตี หรือสามารถทําได้โดยใช้อุปกรณ์โคลนนับพันเครื่องในศูนย์ข้อมูลที่ดําเนินการโดยเครือข่ายอาชญากร

มนุษย์สามารถเชื่อถือได้ในการตรวจจับ Deepfakes หรือไม่?

SBF Deepfake ถูกเยาะเย้ยเพราะคุณภาพไม่ดี ผู้ใช้ Twitter บางคนเห็นอย่างชัดเจนว่าไม่ใช่วิดีโอจริง อย่างไรก็ตาม การวิจัยได้แสดงให้เห็นว่ามนุษย์ไม่สามารถตรวจจับ Deepfake ได้ทั้งหมด โดยเฉพาะอย่างยิ่งเมื่อพวกมันมีคุณภาพที่แน่นอน

ในการศึกษาที่ดําเนินการโดย สถาบันวิจัย IDIAPผู้เข้าร่วมได้แสดงให้เห็น Deepfake ที่น่าเชื่อถือมากขึ้นเรื่อยๆ สลับกับวิดีโอจริง และถามว่า 'ใบหน้าของบุคคลในวิดีโอเป็นของจริงหรือของปลอม?' มีผู้เข้าร่วมเพียง 24% เท่านั้นที่ตรวจพบ Deepfake ที่ 'ทํามาอย่างดี' ได้สําเร็จ

แม้จะมีการวิจัยที่แสดงให้เห็นตรงกันข้าม แต่มนุษย์ก็มั่นใจอย่างไม่ยุติธรรมในความสามารถในการตรวจจับ Deepfake ได้สําเร็จ ในการสํารวจล่าสุดที่จัดทําโดย iProov ผู้บริโภค 57% มั่นใจว่าพวกเขาสามารถบอกความแตกต่างระหว่างวิดีโอจริงและภาพสังเคราะห์ได้

การที่มนุษย์ไม่สามารถแยกแยะระหว่างบุคคลจริงกับ Deepfake ก่อให้เกิดปัญหาสําหรับองค์กรที่ดําเนินการ การยืนยันตัวตนผ่านการประชุมทางวิดีโอ นี่เป็นความมั่นใจที่ผิดที่ เนื่องจากดวงตาของมนุษย์สามารถปลอมแปลงได้ง่าย องค์กรมีความมั่นใจเพียงเล็กน้อยว่าผู้ใช้ที่พวกเขาได้รับอนุญาตให้เข้าถึงบริการออนไลน์ผ่านการประชุมทางวิดีโอนั้นเป็นของจริงและไม่ใช่ Deepfake จําเป็นต้องใช้ซอฟต์แวร์พิเศษเพื่อให้การรับประกันระดับนี้

องค์กรจะป้องกันภัยคุกคาม Deepfake ได้อย่างไร?

การตรวจจับความมีชีวิตชีวา

การตรวจจับความมีชีวิตชีวา รวมอยู่ในระบบการตรวจสอบใบหน้าและการตรวจสอบสิทธิ์เพื่อแยกแยะว่าบุคคลที่ยืนยันตัวตนของตนเป็นบุคคลในชีวิตจริงหรือไม่และไม่ใช่สิ่งประดิษฐ์ที่นําเสนอ

มีหลายวิธีที่ระบบตรวจสอบใบหน้าสามารถทําได้ หนึ่งคือการขอให้ผู้ใช้ดําเนินการต่างๆ เช่น อ่านออกเสียงลําดับของอักขระ หรือกะพริบหรือขยับศีรษะ อย่างไรก็ตาม Deepfake สามารถเข้ารหัสเพื่อทําสิ่งเหล่านี้ได้เช่นกัน นอกจากนี้ยังทําให้เกิดความยุ่งยาก คําถามเกี่ยวกับการเข้าถึงและการไม่แบ่งแยก

อีกวิธีหนึ่งคือการตรวจจับความมีชีวิตชีวาอย่างเฉยเมย: กล่าวคือไม่สั่งให้ผู้ใช้ดําเนินการและใช้เบาะแสจากภาพเพื่อแยกความแตกต่างระหว่างของจริงและของปลอมแทน วิธีนี้ทําให้เทคโนโลยีทํางานให้กับผู้ใช้โดยสัญชาตญาณ

เทคโนโลยีการตรวจจับความมีชีวิตชีวาจึงสามารถตรวจจับ Deepfake ได้หากใช้เป็นส่วนหนึ่งของการโจมตีการนําเสนอ อาชญากรมีความสามารถในการฉีด Deepfake ลงในสตรีมข้อมูลโดยตรง โดยข้ามระบบการตรวจสอบสิทธิ์โดยสิ้นเชิง

ไบโอเมตริกซ์แบบครั้งเดียว

สําหรับกรณีการใช้งานที่มีความเสี่ยงสูงเช่นการเปิดบัญชีใหม่หรือการโอนเงินจํานวนมากเทคโนโลยีการตรวจจับความมีชีวิตชีวาส่วนใหญ่ไม่ได้ให้ความมั่นใจในระดับสูงเพียงพอ Deepfakes สามารถเลียนแบบบุคคลที่ยืนยันตัวตนได้ ซึ่งเทคโนโลยีความมีชีวิตชีวาบางอย่างไม่สามารถมองเห็นได้ จําเป็นต้องมีวิธีการขั้นสูงเพื่อรักษาความปลอดภัยจากประเภทภัยคุกคามขั้นสูง

ไบโอเมตริกซ์แบบใช้ครั้งเดียวที่รับประกันทั้งความมีชีวิตชีวาและผู้ใช้เป็นบุคคลจริงที่ตรวจสอบแบบเรียลไทม์เป็นสิ่งสําคัญในกลยุทธ์การป้องกันขององค์กรจากการปลอมแปลง

ไบโอเมตริกซ์แบบใช้ครั้งเดียวเป็นวิธีการรับรองความถูกต้องที่เกิดขึ้นแบบเรียลไทม์เพื่อให้มั่นใจว่าผู้ใช้ 'ถ่ายทอดสด' และมีอยู่จริง ไบโอเมตริกซ์แบบใช้ครั้งเดียวจะไม่เกิดขึ้นซ้ําในช่วงชีวิตของผู้ใช้ และมีระยะเวลาจํากัด ซึ่งไม่สามารถใช้ซ้ําหรือสร้างขึ้นใหม่ได้ และจะไร้ค่าหากถูกขโมย

วิธีหนึ่งในการบรรลุเป้าหมายนี้ด้วยอุปกรณ์มาตรฐานคือการใช้หน้าจอเพื่อฉายแสงที่ควบคุมลงบนใบหน้าของผู้ใช้เพื่อสร้างไบโอเมตริกซ์แบบใช้ครั้งเดียว เมื่อใช้แล้ว บุคคลที่พยายามใช้การรับรองความถูกต้องก่อนหน้านี้เพื่อปลอมแปลงระบบจะไม่สามารถเล่นได้ซ้ํา

ข้อดีอีกอย่างคือถ้าถูกขโมยก็ไร้ค่าเพราะเป็นครั้งเดียวและล้าสมัยทันทีที่ใช้

ขอการสาธิตที่นี่ เพื่อดูว่า iProov ใช้การตรวจจับความมีชีวิตชีวาและไบโอเมตริกซ์แบบครั้งเดียวเพื่อให้มั่นใจว่าผู้ใช้คือบุคคลที่เหมาะสม

การหลอกลวงคริปโต FTX เน้นย้ําถึงภัยคุกคามของ Deepfake