วันที่ 17 กันยายน 2568
ทีมข่าวกรองภัยคุกคามของ iProov ผู้ให้บริการโซลูชันการยืนยันตัวตนด้วยไบโอเมตริกซ์ชั้นนำระดับโลก ได้ค้นพบเครื่องมือเฉพาะทางขั้นสูงที่ออกแบบมาเพื่อโจมตีด้วยวิดีโอขั้นสูง ซึ่งส่งผลให้การฉ้อโกงข้อมูลประจำตัวทางดิจิทัลทวีความรุนแรงขึ้นอย่างมาก เครื่องมือนี้ถูกนำไปใช้งานผ่านอุปกรณ์ iOS 15 ขึ้นไปที่ผ่านการเจลเบรก และได้รับการออกแบบมาให้หลีกเลี่ยงระบบยืนยันตัวตนด้วยไบโอเมตริกที่อ่อนแอ และที่สำคัญคือสามารถใช้ประโยชน์จากกระบวนการยืนยันตัวตนที่ขาดการป้องกันด้วยไบโอเมตริกซ์โดยสิ้นเชิง การพัฒนานี้ส่งสัญญาณถึงการเปลี่ยนแปลงไปสู่วิธีการโจมตีแบบโปรแกรมและปรับขนาดได้มากขึ้น
การค้นพบนี้มีความสำคัญอย่างยิ่งเมื่อพิจารณาจากแหล่งที่มาที่คาดว่าเครื่องมือดังกล่าวมีต้นกำเนิดมาจากจีน การค้นพบนี้เกิดขึ้นท่ามกลางความตึงเครียดทางภูมิรัฐศาสตร์ที่เพิ่มสูงขึ้นเกี่ยวกับอธิปไตยทางเทคโนโลยีและความปลอดภัยของห่วงโซ่อุปทานดิจิทัล รัฐบาลต่างๆ ให้ความสำคัญกับการลดความเสี่ยง ที่เกิดจากเทคโนโลยีจากประเทศที่ไม่ได้เป็นพันธมิตรมากขึ้น ทำให้การที่เครื่องมือโจมตีที่ซับซ้อนเช่นนี้กลายเป็นประเด็นสำคัญด้านความมั่นคงของชาติ
การโจมตีแบบฉีดข้อมูลดิจิทัล เป็นวิธีการที่ซับซ้อน โดยแทรกภาพอันตรายลงในสตรีมข้อมูลวิดีโอโดยตรง แทนที่จะส่งไปยังกล้อง สำหรับเครื่องมือนี้ กระบวนการนี้แบ่งออกเป็นหลายขั้นตอน:
การโจมตีแบบฉีดวิดีโอ iOS ทำงานอย่างไร
- ข้อกำหนดเบื้องต้น: กลุ่มคุกคามอ้างว่าการโจมตีใช้อุปกรณ์ iOS 15 ขึ้นไปที่ผ่านการเจลเบรก ซึ่งมีการลบข้อจำกัดความปลอดภัยของ Apple ดั้งเดิมออกไป ทำให้สามารถปรับเปลี่ยนระบบอย่างลึกซึ้งได้
- การเชื่อมต่อ: ผู้โจมตีใช้เซิร์ฟเวอร์กลไกการถ่ายโอนการนำเสนอระยะไกล (RPTM) เพื่อเชื่อมต่อคอมพิวเตอร์ของตนกับอุปกรณ์ iOS ที่ถูกบุกรุก
- การฉีด: เครื่องมือจะฉีด deepfake อันซับซ้อน ซึ่งเป็นสื่อสังเคราะห์รูปแบบหนึ่งที่สร้างขึ้นด้วย AI เชิงสร้างสรรค์ จากคอมพิวเตอร์โดยตรงเข้าสู่สตรีมวิดีโอของอุปกรณ์ ซึ่งอาจรวมถึงการสลับหน้า ซึ่งใบหน้าของเหยื่อจะถูกซ้อนทับบนวิดีโออื่น หรือการแสดงภาพเคลื่อนไหว ซึ่งภาพนิ่งจะถูกทำให้เคลื่อนไหวโดยใช้การเคลื่อนไหวของบุคคลอื่น
- บายพาส: กระบวนการนี้จะบายพาสกล้องโดยสมบูรณ์ โดยหลอกแอปพลิเคชันบนอุปกรณ์ให้เชื่อว่าวิดีโอหลอกลวงนั้นเป็นฟีดสดแบบเรียลไทม์
- การหลอกลวง: จากนั้นจะฉีด Deepfake เข้าไปในแอปพลิเคชันเพื่อ ยืนยันตัวตน ซึ่งทำให้ผู้ฉ้อโกงสามารถปลอมตัวเป็นผู้ใช้ที่ถูกกฎหมายหรือสร้างตัวตนปลอมได้
“การค้นพบเครื่องมือ iOS นี้ถือเป็นความก้าวหน้าครั้งสำคัญในด้านการฉ้อโกงข้อมูลประจำตัว และยืนยันแนวโน้มการโจมตีทางอุตสาหกรรม” แอนดรูว์ นิวเวลล์ ประธานเจ้าหน้าที่ฝ่ายวิทยาศาสตร์ของ iProov กล่าว “แหล่งที่มาที่น่าสงสัยของเครื่องมือนี้น่ากังวลอย่างยิ่ง และพิสูจน์ให้เห็นว่าการใช้ความสามารถในการตรวจจับการมีอยู่จริงที่สามารถปรับตัวได้อย่างรวดเร็วเป็นสิ่งสำคัญ เพื่อรับมือกับภัยคุกคามขั้นสูงเหล่านี้ องค์กรต่างๆ จำเป็นต้องมีการควบคุมความปลอดภัยทางไซเบอร์แบบหลายชั้นที่อาศัยข้อมูลจากข้อมูลภัยคุกคามจากสถานการณ์จริง ซึ่งวิเคราะห์โดย ศูนย์ปฏิบัติการความปลอดภัย iProov (iSOC) ผสานกับข้อมูลชีวมิติทางวิทยาศาสตร์และความสามารถ ในการตรวจจับการมีอยู่จริง ที่สามารถปรับตัวได้อย่างรวดเร็ว เพื่อให้มั่นใจว่าผู้ใช้คือบุคคลที่ถูกต้อง บุคคลจริง และสามารถยืนยันตัวตนได้แบบเรียลไทม์”
แนวทางหลายชั้นในการป้องกัน
การเกิดขึ้นของการโจมตีแบบแทรกวิดีโอทำให้วิธีการยืนยันตัวตนแบบเดิมไม่เพียงพอ เพื่อรับมือกับภัยคุกคามนี้ องค์กรต่างๆ จำเป็นต้องใช้วิธีการป้องกันแบบหลายชั้นที่ยืนยันสิ่งต่อไปนี้พร้อมกัน:
- บุคคลที่เหมาะสม: การจับคู่ข้อมูลประจำตัวที่นำเสนอกับเอกสาร/ฐานข้อมูลอย่างเป็นทางการเพื่อยืนยันว่าผู้ใช้คือบุคคลที่อ้างตัว
- บุคคลจริง: ใช้ภาพที่ฝังไว้และการวิเคราะห์ข้อมูลเมตาเพื่อตรวจจับสื่อที่เป็นอันตรายและตรวจยืนยันว่าผู้ใช้เป็นมนุษย์จริง ไม่ใช่การปลอมแปลงทางกายภาพหรือดิจิทัล
- แบบเรียลไทม์: ใช้การ โต้ตอบท้าทาย-ตอบสนองแบบเฉพาะและเฉื่อย เพื่อให้แน่ใจว่าการตรวจสอบเกิดขึ้นแบบสดๆ และไม่ใช่ การโจมตีแบบเล่นซ้ำ
- การตรวจจับและการตอบสนองที่ได้รับการจัดการ: ผสานรวมเทคโนโลยีขั้นสูงเข้ากับความเชี่ยวชาญของมนุษย์เพื่อการติดตามอย่างต่อเนื่อง การตอบสนองต่อเหตุการณ์ และ การค้นหาภัยคุกคามเชิงรุก ซึ่งรวมถึงการใช้ประโยชน์จากทักษะเฉพาะทางเพื่อวิเคราะห์ย้อนกลับสถานการณ์การโจมตีที่อาจเกิดขึ้น และสร้างระบบป้องกันเพื่อบรรเทาผลกระทบ
แนวทางแบบหลายชั้นนี้ทำให้ผู้โจมตีสามารถปลอมแปลงระบบยืนยันตัวตนได้สำเร็จยากขึ้นอย่างทวีคูณ แม้แต่การโจมตีขั้นสูงก็ยังประสบปัญหาในการเอาชนะมาตรการรักษาความปลอดภัยเหล่านี้ทั้งหมดพร้อมกัน ในขณะที่ยังคงรักษาลักษณะเฉพาะตามธรรมชาติของการปฏิสัมพันธ์ระหว่างมนุษย์อย่างแท้จริงไว้ได้
