Một đoạn video deepfake của cựu CEO FTX Sam Bankman-Fried (SBF) đã được lan truyền trên Twitter - những kẻ lừa đảo tìm cách đánh cắp tiền từ người dùng của sàn giao dịch tiền điện tử bị sụp đổ, đã thu hút người xem đến một trang web nơi họ được cho là có thể được bồi thường cho những tổn thất của mình bằng cách gửi mã thông báo tiền điện tử và nhận lại gấp đôi.
Những kẻ lừa đảo, lấy đoạn phim phỏng vấn cũ của Bankman-Fried, đã sử dụng một trình giả lập giọng nói để ghi lại chân dung của anh ta. Đây không phải là lần đầu tiên một deepfake được sử dụng để lừa đảo những người trong ngành công nghiệp tiền điện tử. Vào tháng 7/2022, một vụ lừa đảo tinh vi sử dụng công nghệ deepfake đã tìm cách rút thanh khoản từ sàn giao dịch tiền điện tử Brazil, BlueBenx, bằng cách mạo danh COO của Binance.
Deepfake SBF nổi tiếng gần đây là phần nổi của tảng băng chìm. Bọn tội phạm hiện có quyền truy cập vào công nghệ và phương tiện để tạo ra deepfake cực kỳ thực tế và thuyết phục. Và họ đang sử dụng những deepfake này để khởi động các cuộc tấn công quy mô lớn vào các tổ chức và người dùng của họ trên toàn thế giới.
Bài viết này sẽ:
- Hãy nhìn vào cách bọn tội phạm đang sử dụng deepfake để tấn công các tổ chức
- Kiểm tra xem con người có thể phát hiện thành công deepfake hay không
- Đề xuất các bước mà các tổ chức có thể thực hiện để bảo vệ chống lại mối đe dọa deepfake ngày càng tăng.
Deepfake được sử dụng như thế nào để tấn công các tổ chức?
Hội nghị truyền hình
Đại dịch toàn cầu đã đẩy nhanh quá trình chuyển đổi từ các hoạt động trực tiếp sang từ xa. Nhờ đó, thị trường hội nghị truyền hình đã bùng nổ và dự kiến sẽ tiếp tục phát triển. Giờ đây, nhiều tổ chức đang liên lạc với đồng nghiệp, người dùng và ứng viên từ xa, bọn tội phạm đang sử dụng deepfake để khai thác kênh này.
Họ đang làm điều này theo nhiều cách. Thứ nhất, deepfake đang được sử dụng để tăng cường BEC (Business Email Compromise) truyền thống, còn được gọi là gian lận CEO. BEC là một cuộc tấn công kỹ thuật xã hội có mục tiêu cao, nơi bọn tội phạm mạo danh lãnh đạo của tổ chức để thuyết phục nhân viên thực hiện các hành động, chẳng hạn như thanh toán, chuyển đổi bảng lương và tiết lộ thông tin nhạy cảm. Bằng cách bắt chước khuôn mặt và giọng nói của các cá nhân trong các cuộc gọi video, deepfake có thể làm cho các trò gian lận BEC trở nên thuyết phục hơn nhiều.
Đó không phải là tất cả. Vào năm 2022, FBI cảnh báo rằng deepfake cũng đang được sử dụng để xin việc gian lận cho các vai trò công nghệ từ xa. Đọc thêm về cách deepfake được sử dụng trong các trò gian lận làm việc từ xa tại đây.
Xác minh khuôn mặt
Xác minh khuôn mặt sinh trắc học cho phép người dùng xác minh danh tính của họ và truy cập vào dịch vụ trực tuyến bằng cách quét ID do chính phủ cấp và khuôn mặt của họ. Sau đó, họ có thể sử dụng khuôn mặt của mình mỗi khi họ muốn xác thực và quay lại dịch vụ.
Xác minh khuôn mặt tự động là một phương tiện xác minh danh tính có độ bảo mật cao và có thể sử dụng để giới thiệu. Các phương pháp từ xa khác, chẳng hạn như cuộc gọi video giữa nhân viên với người dùng đòi hỏi tài nguyên tốn kém và rủi ro do lỗi của con người. Tương tự như vậy, như một phương pháp xác thực, xác minh khuôn mặt cung cấp cho các tổ chức cơ hội để đi Không cần mật khẩu và giải quyết các vấn đề về bảo mật và khả năng sử dụng đi kèm Xác thực OTP.
Tuy nhiên, với tư cách là Việc sử dụng xác minh khuôn mặt đã tăng lên, những kẻ xấu đã nghĩ ra những cách mới để phá vỡ các hệ thống này để truy cập trái phép vào các dịch vụ trực tuyến. Một trong những phương pháp này là tạo và sử dụng deepfake. Tiếp theo, chúng ta sẽ khám phá những cách mà bọn tội phạm cố gắng đạt được điều này.
Tội phạm sử dụng deepfake để khai thác xác minh khuôn mặt như thế nào?
Tấn công trình bày
Tấn công thuyết trình là hành động giơ hiện vật lên camera hướng tới người dùng để mạo danh khách hàng hợp pháp của ngân hàng, để cố gắng giả mạo trình tự xác thực khuôn mặt. Những đồ tạo tác này có thể ở dạng hình ảnh tĩnh, video (ví dụ: phát lại các lần xác thực trước đó) và mặt nạ chất lượng cao. Một video deepfake được phát trên một thiết bị và được giữ trước máy ảnh là một ví dụ khác về một cuộc tấn công thuyết trình.
Trình bày deepfake có thể thực tế và thuyết phục. Màn hình không phản chiếu trên màn hình võng mạc làm cho hình ảnh xuất hiện cực kỳ sắc nét để các pixel không thể nhìn thấy bằng mắt thường hoặc ở khoảng cách xem. Để bảo vệ chống lại các cuộc tấn công trình bày, bao gồm cả deepfake được trình bày, các hệ thống xác minh khuôn mặt sinh trắc học phải kết hợp phát hiện sự sống, mà chúng ta sẽ khám phá sau.
Tấn công tiêm kỹ thuật số
Hình ảnh được tiêm kỹ thuật số cho phép bọn tội phạm tiêm deepfake, của các cá nhân tổng hợp hoặc chính hãng, trực tiếp vào luồng dữ liệu hoặc quy trình xác thực.
Các cuộc tấn công tiêm kỹ thuật số là dạng đe dọa nguy hiểm nhất vì chúng khó phát hiện hơn các cuộc tấn công trình bày và có thể được nhân rộng nhanh chóng. Chúng không mang theo manh mối nào mà các hiện vật làm khi chúng được trình bày trước máy ảnh, khiến các cuộc tấn công tinh vi hơn trở nên khó khăn đối với các hệ thống để phân biệt và gần như không thể đối với con người.
Những cuộc tấn công này cũng có khả năng mở rộng hơn nhiều. Quá trình tạo ra một deepfake và trình bày nó cho một máy ảnh có thể có hiệu quả, nhưng nó bị giới hạn về phạm vi. Tên tội phạm chỉ có thể làm điều này tại một thời điểm.
Mặt khác, các cuộc tấn công tiêm kỹ thuật số có thể được chạy từ máy tính của kẻ tấn công. Hoặc chúng có thể được thực hiện bằng cách sử dụng một nghìn thiết bị nhân bản trong một trung tâm dữ liệu được vận hành bởi một mạng tội phạm.
Con người có thể được tin tưởng để phát hiện Deepfake không?
Deepfake SBF bị chế giễu vì chất lượng kém. Một số người dùng Twitter rõ ràng phát hiện ra rằng đó không phải là một video thực sự. Tuy nhiên, nghiên cứu đã chỉ ra rằng con người hoàn toàn không có khả năng phát hiện deepfake, đặc biệt là khi chúng có chất lượng nhất định.
Trong một nghiên cứu được thực hiện bởi Viện nghiên cứu IDIAP, những người tham gia được hiển thị dần dần các deepfake thuyết phục hơn xen kẽ với video thật và được hỏi, 'khuôn mặt của người trong video là thật hay giả?' Chỉ có 24% người tham gia của họ phát hiện thành công một deepfake 'được làm tốt'.
Mặc dù nghiên cứu cho thấy điều ngược lại, con người tự tin một cách vô lý vào khả năng phát hiện thành công deepfake của họ. Trong một cuộc khảo sát gần đây được thực hiện bởi iProov, 57% người tiêu dùng tự tin rằng họ có thể nói sự khác biệt giữa video thực và hình ảnh tổng hợp.
Con người không có khả năng phân biệt giữa người thật và deepfake đặt ra một vấn đề cho các tổ chức tiến hành Xác minh danh tính thông qua hội nghị truyền hình. Đây là sự tự tin không đúng chỗ, vì mắt người có thể dễ dàng bị giả mạo. Các tổ chức có rất ít đảm bảo rằng người dùng mà họ được cấp quyền truy cập vào dịch vụ trực tuyến thông qua hội nghị truyền hình thực sự là thật và không phải là deepfake. Phần mềm chuyên dụng là cần thiết để cung cấp mức độ đảm bảo này.
Làm thế nào các tổ chức có thể bảo vệ chống lại mối đe dọa deepfake?
Phát hiện sự sống
Phát hiện sự sống được tích hợp vào các hệ thống xác minh và xác thực khuôn mặt để phân biệt xem cá nhân khẳng định danh tính của họ có phải là người ngoài đời thực hay không chứ không phải là hiện vật được trình bày.
Có một số cách mà hệ thống xác minh khuôn mặt có thể đạt được điều này. Một là yêu cầu người dùng thực hiện các hành động, chẳng hạn như đọc to một chuỗi các ký tự hoặc chớp mắt hoặc di chuyển đầu của họ. Tuy nhiên, deepfake cũng có thể được mã hóa để làm những điều này. Nó cũng đặt ra một số khó khăn các câu hỏi liên quan đến khả năng tiếp cận và tính toàn diện.
Một cách tiếp cận khác là phát hiện sự sống một cách thụ động: tức là không hướng dẫn người dùng thực hiện các hành động và thay vào đó sử dụng manh mối từ hình ảnh để phân biệt giữa thật và giả. Bằng cách này, công nghệ thực hiện công việc cho người dùng một cách trực quan.
Do đó, công nghệ phát hiện sự sống có thể phát hiện deepfake nếu nó được sử dụng như một phần của cuộc tấn công thuyết trình. Nhưng như đã đề cập trước đây, bọn tội phạm hiện có khả năng tiêm deepfake trực tiếp vào luồng dữ liệu, bỏ qua hoàn toàn hệ thống xác thực.
Sinh trắc học một lần
Đối với các trường hợp sử dụng rủi ro cao, chẳng hạn như mở tài khoản mới hoặc chuyển một khoản tiền lớn, hầu hết các công nghệ phát hiện sự sống không cung cấp mức độ đảm bảo đủ cao. Deepfake có thể mô phỏng một người tự xác minh, điều mà một số công nghệ sống động không thể phát hiện ra. Các phương pháp nâng cao là cần thiết để bảo vệ chống lại các loại mối đe dọa nâng cao.
Sinh trắc học một lần đảm bảo cả sự sống động và người dùng là người thật, xác minh trong thời gian thực, là điều cần thiết trong chiến lược phòng thủ của tổ chức chống lại deepfake
Sinh trắc học một lần là một phương pháp xác thực diễn ra trong thời gian thực để đảm bảo rằng người dùng đang 'sống' và hiện diện thực sự. Sinh trắc học một lần không bao giờ được lặp lại trong cuộc đời của người dùng và có khoảng thời gian giới hạn, không thể tái sử dụng hoặc tái tạo và vô giá trị nếu bị đánh cắp.
Một cách để đạt được điều này với một thiết bị tiêu chuẩn là sử dụng màn hình để chiếu ánh sáng có kiểm soát lên khuôn mặt của người dùng để tạo sinh trắc học một lần. Sau khi sử dụng, nó không thể được phát lại bởi một người cố gắng sử dụng xác thực trước đó để giả mạo hệ thống.
Một ưu điểm khác là nếu nó bị đánh cắp, nó vô giá trị vì nó chỉ có một lần và lỗi thời ngay khi được sử dụng.
Yêu cầu bản demo tại đây để tìm hiểu cách iProov sử dụng phát hiện sự sống và sinh trắc học một lần để đảm bảo rằng người dùng là đúng người, người thật và thực sự có mặt tại thời điểm xác thực.
