สิงหาคม 20, 2024
ในยุคของการจ้างงานทางไกลอย่างแพร่หลายเหตุการณ์ที่มีชื่อเสียงเมื่อเร็ว ๆ นี้ได้เน้นย้ําถึงภัยคุกคามที่เพิ่มขึ้นของการฉ้อโกงข้อมูลประจําตัวที่ซับซ้อนในพนักงาน บริษัทรักษาความปลอดภัยทางไซเบอร์รายใหญ่ KnowBe4 ตกเป็นเหยื่อของแผนการที่ซับซ้อนซึ่งบุคคลใช้ข้อมูลประจําตัวที่ถูกขโมยและภาพที่ปรับปรุงด้วย AI เพื่อรักษาความปลอดภัยตําแหน่งไอทีระยะไกล
กรณีนี้เน้นย้ําถึงความจําเป็นเร่งด่วนสําหรับมาตรการยืนยันตัวตนขั้นสูงสําหรับการเริ่มต้นใช้งานพนักงานทางไกล ซึ่งเป็นความท้าทายที่เทคโนโลยีไบโอเมตริกซ์ล้ําสมัยของ iProov อยู่ในตําแหน่งที่ไม่เหมือนใครในการจัดการ
เหตุการณ์: เมื่อโปรโตคอลการจ้างงานแบบดั้งเดิมล้มเหลว
KnowBe4 ซึ่งเชี่ยวชาญด้านการฝึกอบรมการตระหนักรู้ด้านความปลอดภัยพบว่าวิศวกรซอฟต์แวร์ระยะไกลที่พวกเขาเพิ่งจ้างมานั้นเป็น ตัวคุกคามจากเกาหลีเหนือโดยใช้ข้อมูลประจําตัวของสหรัฐฯ ที่ถูกขโมยและภาพถ่ายที่ปรับปรุงด้วย AI แม้จะใช้โปรโตคอลการจ้างงานอย่างละเอียด รวมถึงการ สัมภาษณ์ทางวิดีโอ การตรวจสอบประวัติ และการตรวจสอบข้อมูลอ้างอิง แต่การหลอกลวงก็ถูกเปิดเผยหลังจากที่พนักงานใหม่เริ่มโหลดมัลแวร์ลงในอุปกรณ์ของบริษัทเท่านั้น
การโจมตีครั้งนี้มีความซับซ้อนสูง แฮ็กเกอร์ใช้ข้อมูลประจําตัวของสหรัฐฯ ที่ถูกต้องแต่ถูกขโมยและภาพถ่ายที่ปรับปรุงด้วย AI ที่ได้มาจากภาพสต็อกเพื่อผ่านโปรโตคอลการจ้างงานของบริษัท พวกเขายังจัดส่งเวิร์กสเตชันไปยังที่อยู่ที่ใช้เป็น "ฟาร์มแล็ปท็อปล่อไอที" และเข้าถึงผ่าน VPN เพื่อจําลองเวลาทําการของสหรัฐฯ
เหตุการณ์นี้แสดงให้เห็นถึงศักยภาพของการละเมิดความปลอดภัยที่ร้ายแรง และเน้นย้ําถึงข้อจํากัดของกระบวนการจ้างงานและการตรวจสอบแบบดั้งเดิมในยุคดิจิทัล ซึ่งเป็นอันตรายที่ iProov ได้เตือนตั้งแต่แคมเปญ "Work From Clone" ของเราเมื่อสองปีที่แล้ว (อ่านเพิ่มเติมเกี่ยวกับการหลอกลวงการทํางาน Deepfake ที่นี่)
ภัยคุกคาม Deepfake เป็นมากกว่าเทรนด์
Deepfake เป็นวิดีโอหรือรูปภาพที่สร้างโดย AI ที่แสดงให้เห็นผู้คนพูดหรือทําในสิ่งที่พวกเขาไม่เคยทําจริง ๆ ซึ่งเป็นความท้าทายอย่างมากต่อวิธีการยืนยันตัวตนแบบดั้งเดิม
แม้ว่าเราจะมุ่งเน้นไปที่ Deepfake หรือภาพที่ดัดแปลงในสภาพแวดล้อมระดับมืออาชีพ แต่การปลอมแปลงข้อมูลประจําตัวและ Deepfake ก็แพร่หลายในพื้นที่อื่นๆ เช่นกัน พิจารณาตัวอย่างในโลกแห่งความเป็นจริงเหล่านี้:
- การเมือง: Deepfakes กําลังกลายเป็นเครื่องมือที่ทรงพลังในการรณรงค์บิดเบือนข้อมูลทางการเมือง โดยมีนัยยะที่อาจเกิดขึ้นต่อประชาธิปไตยโลกและความซื่อสัตย์ในการเลือกตั้ง ยุคการเมือง Deepfake มาถึงแล้ว กรณีที่มีชื่อเสียงล่าสุด ได้แก่ ไบเดนสังเคราะห์ที่เรียกร้องให้ชาวนิวแฮมป์เชียร์ไม่ลงคะแนนเสียง ในการเลือกตั้งขั้นต้นที่กําลังจะมาถึง ภาพระเบิดที่เพ นตากอนสร้างขึ้นโดย AI ทําให้ตลาดหุ้นลดลงชั่วครู่
- โซเชียลมีเดีย: Instagram และ TikTok ได้เห็นการเพิ่มขึ้นของ "อวตารดิจิทัล" ซึ่งเป็นผู้มีอิทธิพลที่สร้างโดย AI ซึ่งไม่ได้เป็นตัวแทนของคนจริง แต่มีส่วนร่วมกับผู้ติดตามราวกับว่าพวกเขาเป็นมนุษย์
- แอพหาคู่: มีรายงานการ "ตกปลาดุก" และการหลอกลวงโรแมนติกโดยใช้รูปโปรไฟล์ที่สร้างโดย AI และแม้แต่ Deepfake แบบเรียลไทม์ ทําให้ผู้ใช้แยกแยะระหว่างโปรไฟล์จริงและปลอมได้ยากขึ้น นี่คือเหตุผลที่แอพจํานวนมากเช่น Tinder แนะนํามาตรการยืนยันตัวตน
- การหลอกลวงทางการเงิน/สกุลเงินดิจิทัล: วิดีโอ Deepfake ของบุคคลที่มีชื่อเสียงอย่าง Elon Musk ถูกใช้เพื่อโปรโมตแผนการสกุลเงินดิจิทัลที่ฉ้อโกง ดังที่เน้นในวิดีโอด้านล่าง:
ตัวอย่างเหล่านี้เน้นย้ําว่าเทคโนโลยี Deepfake และการปลอมแปลงข้อมูลประจําตัวถูกนํามาใช้ในขอบเขตต่างๆ ของชีวิตอย่างไร เมื่อตระหนักถึงแนวโน้มที่กว้างขึ้นเหล่านี้ เราจึงสามารถเตรียมตัวให้พร้อมในการระบุและป้องกันภัยคุกคาม Deepfake ที่อาจเกิดขึ้นในพนักงานได้ดียิ่งขึ้น
องค์ประกอบเฉพาะของการฉ้อโกง Deepfake ในที่ทํางานนี้เป็นส่วนหนึ่งของแนวโน้มที่ใหญ่ขึ้นที่ FBI เผยแพร่ในเดือนมิถุนายน 2022 ซึ่งอาชญากรไซเบอร์ใช้ข้อมูลประจําตัวสังเคราะห์ ซึ่งโดยปกติจะเป็นการรวมกันของ Deepfake และข้อมูลระบุตัวตนส่วนบุคคล (PII) ที่ถูกขโมย เพื่อสมัครตําแหน่งการทํางานทางไกล
Ajay Amlani – SVP หัวหน้าฝ่ายอเมริกาของ iProov – เน้นย้ําถึงความซับซ้อนของการโจมตีเหล่านี้ในการให้สัมภาษณ์ล่าสุดกับ IT Brew: "คุณสามารถเปลี่ยนรูปลักษณ์ของคุณในขณะที่คุณกําลังโทรเพื่อให้สามารถแสดงตัวตนในฐานะใครก็ตามที่คุณต้องการเป็นตัวแทนของตัวเอง – ชาย หญิง เด็กอายุ 12 ปี อายุ 46 ปี ต่างประเทศ ต่างเชื้อชาติ"
ภัยคุกคามนี้เร่งด่วนกว่าที่เคย และต้องการการรักษาความปลอดภัยที่สําคัญต่อภารกิจเพื่อให้แน่ใจว่าบุคคลนั้นเป็นบุคคล ที่เหมาะสม
แรงจูงใจเบื้องหลังการโจมตีเหล่านี้
แม้ว่าบางครั้งเงินเดือนรายเดือนจะเป็นแรงจูงใจที่ชัดเจน แต่ก็อาจมีเป้าหมายที่ชั่วร้ายกว่านั้นมาก Amlani ชี้แจงว่า: "ด้วยการรักษาความปลอดภัยบทบาทด้านเทคโนโลยีภายในบริษัท ผู้โจมตีจะสามารถเข้าถึง PII ของลูกค้า ข้อมูลทางการเงิน ฐานข้อมูลไอทีขององค์กร และ/หรือข้อมูลที่เป็นกรรมสิทธิ์"
อาชญากรไซเบอร์สามารถใช้การเข้าถึงนี้เพื่อ:
- จับบริษัทเพื่อเรียกค่าไถ่
- ดําเนินการโจมตีทางไซเบอร์เพิ่มเติม
- ขโมยทรัพย์สินทางปัญญา
- ขายข้อมูลที่ละเอียดอ่อนบนเว็บมืด
สิ่งที่ทําให้เหตุการณ์เหล่านี้น่ากังวลเป็นพิเศษคือความสามารถในการปรับขนาด Deepfake สามารถทําซ้ําได้อย่างรวดเร็ว (โดยเฉพาะอย่างยิ่งกับความก้าวหน้า ใน Generative AI) ซึ่งหมายความว่าเป็นเรื่องง่ายที่อาชญากรจะโจมตีซ้ําแล้วซ้ําอีก การได้งานในองค์กรต่างๆ หลายแห่งอาจนําไปสู่ผลประโยชน์ทางการเงินที่สําคัญต่ออาชญากรหรือองค์กรอาชญากรรมของพวกเขา ตลอดจนอันตรายอย่างมากต่อองค์กรที่จ้างงาน
ข้อจํากัดของวิธีการยืนยันในปัจจุบัน (ทําไมเราไม่สามารถพึ่งพาดวงตาของเราเพียงอย่างเดียวได้)
หลายองค์กรพึ่งพาการสัมภาษณ์ทางวิดีโอเป็นส่วนหนึ่งของกระบวนการจ้างงานทางไกล อย่างไรก็ตาม วิธีนี้ไม่น่าเชื่อถือมากขึ้นเรื่อย ๆ ในการตรวจจับ Deepfake จากการวิจัยของ iProov แสดงให้เห็นว่า "ด้วยปลั๊กอินง่ายๆ ผู้โจมตีสามารถสร้างสิ่งที่เรียกว่า 'Deepfake แบบเรียลไทม์' จากนั้นวิดีโอสามารถสตรีมไปยังช่องทางการสื่อสารการโทรการประชุมทางวิดีโอได้ นี่เป็นวิธีการโจมตีที่ใช้ในเหตุการณ์ Deepfake ที่ใช้ซูม Arup มูลค่า 25 ล้านดอลลาร์
ยิ่งไปกว่านั้นความสามารถของมนุษย์ในการตรวจจับ Deepfake นั้นแทบไม่มีอยู่จริงกับ Deepfake ที่ซับซ้อนที่สุด การสํารวจของ iProov พบว่า 57% ของผู้ตอบแบบสอบถามเชื่อว่าพวกเขาสามารถบอกความแตกต่าง ระหว่างวิดีโอจริงและดีปปลอมได้ อย่างไรก็ตาม ความมั่นใจนี้ถูกวางผิดที่ การศึกษาพบว่ามนุษย์ไม่เก่งอย่างท่วมท้นในการแยกแยะใบหน้าจริงจาก Deepfake โดยการศึกษาชิ้นหนึ่งพบว่ามีเพียง 24% ของอาสาสมัครเท่านั้นที่สามารถตรวจจับ Deepfake ที่ทํามาอย่างดีได้
สถาบันอลันทัวริงยืนยันว่าตอนนี้ "มีความท้าทายมากขึ้นเรื่อยๆ อาจเป็นไปไม่ได้ด้วยซ้ําในการแยกแยะระหว่างสื่อของแท้และสื่อสังเคราะห์อย่างน่าเชื่อถือ"
การตรวจสอบโดยมนุษย์และการสัมภาษณ์แฮงเอาท์วิดีโอไม่ใช่ วิธีแก้ปัญหาที่เป็นไปได้ – การตรวจจับความมีชีวิตชีวาด้วยไบโอเมตริกซ์ตามหลักวิทยาศาสตร์เป็นสิ่งสําคัญ
โซลูชันของ iProov: ไบโอเมตริกซ์ตามวิทยาศาสตร์
ลักษณะของการปฐมนิเทศและการทํางานทางไกลทําให้เกิดระยะห่างทางกายภาพระหว่างนายจ้างและลูกจ้าง พวกเขาอาจไม่เคยพบกันด้วยตนเอง ทําให้ยากขึ้นเรื่อยๆ ที่จะยืนยันว่าใครบางคนเป็นคนที่พวกเขาบอกว่าเป็นเมื่อสมัครงาน
ความท้าทายของการยืนยันตัวตนจากระยะไกลยังรวมถึงพนักงานที่ขยายออกไปที่หลากหลาย ผู้รับเหมา พนักงานห่วงโซ่อุปทาน พนักงานตามฤดูกาล พนักงานชั่วคราว และพนักงานที่ไม่ใช่พนักงานอื่นๆ ล้วนนําเสนอความท้าทายในการตรวจสอบที่ไม่เหมือนใครในยุคดิจิทัล หมวดหมู่แรงงานที่หลากหลายเหล่านี้มักมีปฏิสัมพันธ์ทางกายภาพที่จํากัดกับองค์กรที่พวกเขาสนับสนุน เนื่องจากองค์กรต่างๆ พึ่งพาพนักงานที่ยืดหยุ่นและกระจายตัวมากขึ้นความต้องการการรับรองความถูกต้องจากระยะไกลที่มีประสิทธิภาพจึงกลายเป็นสิ่งสําคัญยิ่งสําหรับพนักงานทุกประเภท
เพื่อต่อสู้กับภัยคุกคามที่กําลังพัฒนานี้ iProov ขอเสนอ ชุดโซลูชันไบโอเมตริกซ์ พร้อมโซลูชันสําหรับการเริ่มต้นใช้งานและการรับรองความถูกต้องจากระยะไกล โซลูชันเหล่านี้เป็นมากกว่าวิธีการยืนยันตัวตนแบบดั้งเดิม และนําเสนอโซลูชันอเนกประสงค์ที่สามารถนําไปใช้ได้อย่างสม่ําเสมอกับการจ้างงานสมัยใหม่
ชุดโซลูชันไบโอเมตริกซ์ให้:
- การป้องกันการโจมตีด้วยการนําเสนอ: แยกความแตกต่างระหว่างบุคคลจริงและการโจมตีด้วยการนําเสนอ เพื่อป้องกันการใช้ภาพถ่าย วิดีโอ หรือมาสก์เพื่อปลอมแปลงระบบ
- การป้องกันการฉีดดิจิทัล: ตรวจจับการโจมตีแบบดิจิทัล รวมถึงการโจมตีที่ใช้ Deepfake ที่เลี่ยงผ่านเซ็นเซอร์ของอุปกรณ์
- การจัดการภัยคุกคามที่ใช้งานอยู่: ตรวจจับและตอบสนองต่อภัยคุกคามที่เกิดขึ้นใหม่แบบเรียลไทม์ ด้วยการอัปเดตอย่างต่อเนื่องโดยไม่หยุดชะงักต่อลูกค้าหรือผู้ใช้ปลายทาง
- iProov ผลลัพธ์ชั้นนําของอุตสาหกรรม ด้วย อัตราความสําเร็จ >98%
... และอื่น ๆ อีกมากมาย ด้วยการใช้ชุดโซลูชันไบโอเมตริกซ์ของ iProov องค์กรสามารถลดความเสี่ยงที่เกี่ยวข้องกับการฉ้อโกงการจ้างงานทางไกลได้อย่างมาก เทคโนโลยีนี้ไม่เพียงแต่ป้องกันภัยคุกคามในทันที แต่ยังสร้างรากฐานสําหรับแนวทางปฏิบัติในการทํางานทางไกลที่ปลอดภัยในอนาคต
เรียนรู้เพิ่มเติมเกี่ยวกับ iProov Biometric Solutions Suite ในอินโฟกราฟิกนี้
คุณสามารถใช้ เครื่องมือ Biometric Adoption Navigator ของเราได้ที่นี่ เพื่อดูว่าชุดโซลูชัน iProov เหมาะกับคุณหรือไม่
วิธีการทํางาน: การนํา iProov ไปใช้ในกระบวนการจ้างงานของคุณ
ในสถานการณ์การจ้างงานทางไกล ผู้สมัครสามารถยืนยันตัวเองได้เมื่อส่งใบสมัคร พวกเขาจะสแกนเอกสารประจําตัวที่มีรูปถ่าย เช่น ใบขับขี่หรือหนังสือเดินทาง จากนั้นสแกนใบหน้าเพื่อพิสูจน์ว่าพวกเขาเป็นคนที่พวกเขาพูด
เทคโนโลยีของ iProov เป็นมากกว่าการจับคู่ใบหน้าธรรมดา ช่วยให้มั่นใจได้ว่าบุคคลนั้นไม่เพียง แต่เป็นคนที่พวกเขาอ้างว่าเป็น แต่ยังเป็นคนจริงและกําลังยืนยันตัวตนในขณะนี้ แนวทางสามง่ามนี้ – บุคคลที่ถูกต้อง บุคคลจริง รับรองความถูกต้องในขณะนี้ – มีความสําคัญอย่างยิ่งในการต่อสู้กับการฉ้อโกงข้อมูลประจําตัวที่ซับซ้อน เช่น เหตุการณ์ Knowbe4
ความเร่งด่วนของภัยคุกคาม: ปกป้ององค์กรของคุณวันนี้
ภัยคุกคามของการฉ้อโกงข้อมูลประจําตัวที่ซับซ้อนในการจ้างงานทางไกลไม่ใช่ปัญหาในอนาคต แต่กําลังเกิดขึ้นในขณะนี้ Amlani เตือนว่า "เป็นสาขาการฉ้อโกงที่เติบโตอย่างรวดเร็วในการแอบอ้างเป็นคนอื่น โดยเฉพาะอย่างยิ่งในระหว่างกระบวนการจ้างงาน ฉันได้ยินจากผู้นําการจ้างงานหลายคนว่าพวกเขาเริ่มเห็นการโจมตีประเภทนี้ไม่เพียง แต่มาจากบุคคลที่หวังจะเก็บเงินเดือนหลายใบ แต่จริงๆ แล้วมาจากศัตรูที่พยายามเข้าถึงระบบของตน"
Stu Sjouwerman ผู้ก่อตั้งและซีอีโอของ KnowBe4 เน้นย้ําถึงความสําคัญของการเรียนรู้จากเหตุการณ์ของพวกเขา: "หากมันเกิดขึ้นกับเรา มันก็สามารถเกิดขึ้นได้กับเกือบทุกคน อย่าปล่อยให้มันเกิดขึ้นกับคุณ"
การปลุกสําหรับองค์กรทั่วโลก
เนื่องจากการทํางานทางไกลและการใช้บุคลากรที่เพิ่มขึ้นอย่างต่อเนื่ององค์กรจึงต้องให้ความสําคัญกับภัยคุกคามของการฉ้อโกงข้อมูลประจําตัวที่ซับซ้อนอย่างจริงจัง การใช้กระบวนการยืนยันตัวตนที่มีประสิทธิภาพสามารถลดความเสี่ยงของการฉ้อโกงการจ้างงานได้อย่างมาก และป้องกันการละเมิดความปลอดภัยที่อาจเกิดขึ้นจากภัยพิบัติ
ด้วยการใช้ประโยชน์จากเทคโนโลยีการตรวจสอบไบโอเมตริกซ์ขั้นสูงของ iProov บริษัทต่างๆ สามารถนําทางภูมิทัศน์ที่ซับซ้อนนี้ เพื่อให้มั่นใจถึงความสมบูรณ์ของพนักงานและความปลอดภัยของระบบในโลกดิจิทัลที่เพิ่มมากขึ้น เมื่อเทคโนโลยี Deepfake พัฒนาขึ้น การป้องกันของเราก็ต้องเช่นกัน ความมุ่งมั่นของ iProov ในการวิจัยและพัฒนาอย่างต่อเนื่องทําให้มั่นใจได้ว่าเทคโนโลยีของบริษัทจะนําหน้าภัยคุกคามที่เกิดขึ้นใหม่