16 ธันวาคม 2025
iProov เข้าร่วมกับองค์กรชั้นนำด้านความปลอดภัยทางไซเบอร์และเทคโนโลยี โดยมีส่วนร่วมในการต่อสู้กับภัยคุกคามที่ขับเคลื่อนด้วย AI
ลอนดอน สหราชอาณาจักร – 17 ธันวาคม 2025 – วันนี้ iProov ผู้ให้บริการโซลูชันการตรวจสอบตัวตนด้วยไบโอเมตริกส์เชิงวิทยาศาสตร์ชั้นนำของโลก ประกาศว่าสถานการณ์การโจมตีที่สาธิตโดยทีม Red Team ภายในของ iProov ได้รับการเผยแพร่โดย MITRE ATLAS™ ซึ่งเป็นฐานความรู้ระดับโลกที่พัฒนาด้านความปลอดภัยของ AI การลดภัยคุกคาม ความแข็งแกร่ง และความเป็นส่วนตัว กรณีศึกษาดังกล่าวได้ยืนยันถึงช่องโหว่ที่สำคัญและมีความเสี่ยงสูงในกระบวนการตรวจสอบตัวตนระยะไกล Know Your Customer (KYC) ซึ่งอาจทำให้ผู้ใช้ทั่วโลกตกอยู่ในความเสี่ยง
ผลงานของ iProov ซึ่งรวมถึงภาพ รวมของขั้นตอนการทำงาน แสดงให้เห็นว่าการโจมตีด้วยการสลับใบหน้าซึ่งหาได้ง่ายนั้น สามารถหลีกเลี่ยงการตรวจสอบ KYC บนมือถือได้อย่างไร กรณีศึกษาชิ้นนี้ทำให้ iProov อยู่เคียงข้าง ผลงาน จากผู้นำด้านความปลอดภัยทางไซเบอร์และเทคโนโลยีชั้นนำมากมาย เช่น Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike และ Trend Micro ซึ่งทั้งหมดทำงานร่วมกันเพื่อกำหนดรูปแบบเครื่องมือและกรอบการทำงานด้านการป้องกันในอนาคต
“จุดแข็งของ MITRE ATLAS อยู่ที่ความกว้างขวางและคุณภาพของชุมชนที่ให้การสนับสนุน การมีส่วนร่วมจากภาคอุตสาหกรรม สถาบันการศึกษา และภาครัฐ ตั้งแต่ผลการวิเคราะห์ภัยคุกคามจากทีมโจมตี ไปจนถึงข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามในการปฏิบัติงาน ล้วนมีความสำคัญต่อการพัฒนาความถูกต้องและความสมบูรณ์ของฐานความรู้ MITRE ATLAS เมื่อองค์กรต่างๆ แบ่งปันข้อมูลและความเชี่ยวชาญอย่างเปิดเผย เราจะร่วมกันเสริมสร้างความปลอดภัยและความยืดหยุ่นของระบบที่ใช้ AI และประเทศชาติ” ดัก ร็อบบินส์ รองประธาน MITRE Labs กล่าว
“ในช่วง 12 เดือนที่ผ่านมา เราได้เห็นการเพิ่มขึ้นอย่างรวดเร็วของช่องทางการโจมตีที่เกี่ยวข้องกับการตรวจสอบตัวตน ซึ่งส่วนใหญ่เกิดจากความก้าวหน้าของปัญญาประดิษฐ์เชิงสร้างสรรค์ (AI) และเครื่องมือราคาประหยัดที่มีให้ใช้งานอย่างแพร่หลาย” แอนดรูว์ นิวเวลล์ หัวหน้าเจ้าหน้าที่วิทยาศาสตร์ของ iProov กล่าว “การเผยแพร่กรณีศึกษา MITRE ATLAS ล่าสุดนี้เป็นส่วนหนึ่งของกระบวนการสำคัญในการระบุและบันทึกวิธีการดังกล่าว อัตราการเปลี่ยนแปลงมีแนวโน้มที่จะเพิ่มขึ้นเรื่อยๆ ทำให้องค์กรทุกแห่งจำเป็นต้องตรวจสอบการป้องกันของตนเองต่อกลยุทธ์ใหม่เหล่านี้โดยไม่ชักช้า”
กรณีศึกษาชิ้นนี้ยืนยันถึงความสำคัญอย่างยิ่งที่องค์กรควรแสวงหาผู้ขายที่ผ่านการทดสอบตามมาตรฐานยุโรป CEN 18099 ซึ่งกำหนดโปรโตคอลการทดสอบที่เข้มงวดเพื่อป้องกันการโจมตีแบบฉีดข้อมูล และถือเป็นความก้าวหน้าอย่างมากในมาตรฐานความปลอดภัยการตรวจสอบตัวตนระยะไกล
ทำความเข้าใจจุดอ่อน
การตรวจสอบโดย MITRE ในครั้งนี้เน้นย้ำถึงช่องโหว่ด้านความปลอดภัยที่สำคัญในภาคบริการทางการเงิน การธนาคาร และสกุลเงินดิจิทัล ซึ่งการตรวจสอบตัวตนจากระยะไกลเป็นสิ่งจำเป็นสำหรับการลงทะเบียนและการตรวจสอบสิทธิ์ผู้ใช้
ผลการวิจัยแสดงให้เห็นว่าเหตุใดโซลูชันการตรวจสอบความเคลื่อนไหวแบบเรียลไทม์จึงมีความเสี่ยงเป็นพิเศษ:
- การตรวจจับความมีชีวิตแบบแอคทีฟอาศัยการวิเคราะห์สิ่งผิดปกติในภาพและการเคลื่อนไหวของผู้ใช้ ซึ่งปัจจุบันเทคโนโลยี AI ขั้นสูงที่สร้างภาพปลอม (deepfake) สามารถจำลองสิ่งเหล่านี้ได้อย่างแนบเนียน
- การแทนที่กล้องของอุปกรณ์เคลื่อนที่ด้วยแอปพลิเคชันกล้องเสมือนทำให้ผู้โจมตีสามารถหลีกเลี่ยงการควบคุมความปลอดภัยระดับอุปกรณ์ได้
สรุปการโจมตีและผลกระทบต่ออุตสาหกรรม
การทดสอบความปลอดภัยที่ดำเนินการโดย ดร. พานอส ปาปาโดปูลอส หัวหน้าทีม Red Team ของ iProov มุ่งเป้าไปที่กระบวนการตรวจสอบตัวตนที่สำคัญ หรือที่เรียกว่า Know Your Customer (KYC) ซึ่งใช้กันทั่วไปในแอปพลิเคชันบนมือถือในด้านบริการทางการเงิน การธนาคาร และสกุลเงินดิจิทัล
ขั้นตอนการโจมตีประกอบด้วยหลายขั้นตอนที่ซับซ้อน:
- การสอดแนมและการพัฒนาแหล่งข้อมูล: ทีม Red Team ของ iProov รวบรวมข้อมูลประจำตัวผู้ใช้และภาพใบหน้าความละเอียดสูงจากแหล่งข้อมูลออนไลน์ พวกเขาได้รับ Faceswap ซึ่งเป็นแอปพลิเคชันบนเดสก์ท็อปที่ใช้ AI แบบสร้างสรรค์ในการสลับใบหน้าในวิดีโอแบบเรียลไทม์
- การจัดหาเครื่องมือ: จากนั้นพวกเขาใช้ Open Broadcaster Software (OBS) เพื่อสตรีมวิดีโอ ที่สำคัญคือ พวกเขาได้จัดหา Virtual Camera: Live Assist ซึ่งเป็นแอปพลิเคชัน Android ที่ช่วยให้ผู้ใช้สามารถเปลี่ยนฟีดกล้องเริ่มต้นของอุปกรณ์ด้วยสตรีมวิดีโอ และใช้งานได้สำเร็จบนอุปกรณ์ Android แท้ที่ไม่ต้องรูท
- การสร้างวิดีโอ Deepfake: ทีมสีแดงใช้ภาพเหยื่อที่รวบรวมได้ และใช้โปรแกรม Faceswap เพื่อสร้างวิดีโอ Deepfake แบบเรียลไทม์ที่เลียนแบบลักษณะของเหยื่อ
- การเข้าถึงและการหลบเลี่ยงในขั้นต้น: ในระหว่างขั้นตอนการตรวจสอบตัวตนในแอปพลิเคชันบริการทางการเงิน ทีมงานได้สตรีมวิดีโอปลอมโดยใช้ OBS และแอป Virtual Camera วิธีนี้ช่วยหลบเลี่ยงระบบตรวจสอบความมีชีวิตได้อย่างสำเร็จ
- การปลอมแปลงตัวตน: การหลบเลี่ยงนี้ทำให้ ดร. พาโนส ปาปาโดปูลอส สามารถยืนยันตัวตนภายใต้ตัวตนปลอม ซึ่งแสดงให้เห็นว่าศัตรูสามารถเข้าถึงระบบที่มีสิทธิ์พิเศษของเหยื่อ หรือสร้างบัญชีปลอมในแอปพลิเคชันธนาคารหรือสกุลเงินดิจิทัล ส่งผลให้เกิดความเสียหายทางการเงินอย่างมาก
ความสำคัญของการตรวจสอบอย่างต่อเนื่องและมาตรฐานขั้นสูง
ผลงานของ iProov ที่เผยแพร่โดย MITRE ATLAS ให้การตรวจสอบยืนยันจากบุคคลที่สามอย่างอิสระเกี่ยวกับช่องโหว่ที่สำคัญในระบบการตรวจสอบตัวตน KYC บนมือถือ งานวิจัยนี้ยืนยันถึงความสำคัญของการก้าวข้ามช่องโหว่ที่ไม่เป็นไปตามมาตรฐานการตรวจจับความมีชีวิต มาตรฐานยุโรป CEN 18099 ล่าสุด ซึ่งกำหนดโปรโตคอลการทดสอบที่เข้มงวดสำหรับการตรวจจับความมีชีวิต ถือเป็นความก้าวหน้าอย่างมากในมาตรฐานความปลอดภัยทางชีวเมตริก
ขอเชิญชวนให้ร่วมมือ
งานที่ดำเนินการโดยทีม iProov Red Team ให้ข้อมูลแก่ผู้เชี่ยวชาญด้านความปลอดภัยและนักพัฒนา AI ในอุตสาหกรรมต่างๆ เกี่ยวกับภัยคุกคามที่เกิดขึ้นจริงต่อระบบที่ใช้ AI ทำให้สามารถประเมินภัยคุกคามได้อย่างรอบรู้มากขึ้น และดำเนินการทดสอบ Red Team ภายในองค์กรได้อย่างมีประสิทธิภาพ MITRE สนับสนุนความร่วมมือระหว่างภาครัฐ อุตสาหกรรม และสถาบันการศึกษา เพื่อช่วยกำหนดทิศทางการพัฒนาเครื่องมือและกรอบการทำงานในอนาคตด้านความปลอดภัยของ AI การลดภัยคุกคาม ความแข็งแกร่ง ความเป็นส่วนตัว และด้านสำคัญอื่นๆ ของการรับประกันความปลอดภัยของ AI
เกี่ยวกับ MITRE ATLAS™
กรอบงาน MITRE ATLAS™ (Adversarial Threat Landscape for AI Systems) เป็นฐานความรู้ที่เข้าถึงได้ทั่วโลกเกี่ยวกับกลยุทธ์และเทคนิคของฝ่ายตรงข้าม โดยอิงจากการโจมตีในโลกแห่งความเป็นจริง ซึ่งจำลองมาจากกรอบงาน MITRE ATT&CK® ที่มีชื่อเสียง กรณีศึกษาของ iProov: “ การแทรกข้อมูลปลอมแปลง (Deepfake Injection) หลบเลี่ยงการตรวจสอบความมีชีวิต (Liveness Verification) ของ KYC บนมือถือ” ได้รับการอนุมัติให้เผยแพร่สู่สาธารณะ การเผยแพร่ไม่จำกัด (หมายเลขคดี 21-2363) MITRE ATLAS™ และ MITRE ATT&CK® เป็นเครื่องหมายการค้าและเครื่องหมายการค้าจดทะเบียนของ The MITRE Corporation
