深度偽造和合成身份:關注身份盜竊的原因
在一個數字身份被騙子們模糊和濫用的世界,我們如何掌控數字身份?
一家保險公司最近報告了一個針對其客戶的成功騙局,這是 CEO 欺詐的新型改進版本。一位英國 CEO 受騙將 24 萬美元轉移給了一個騙子。這個騙局中對方使用了一種叫做深度偽造 (Deepfake) 的技術,讓 CEO 相信他是在和一個具有合法資格的人打交道。
有些人懷疑賬戶的安全性,但是深度偽造技術堪稱是完美的詐騙工具,因為它利用了我們在人際關系中的信任。無論是在線上還是線下,信任都在交易中起到關鍵作用,可以說當涉及身份盜竊時,深度偽造技術無疑是網絡犯罪分子工具箱中最危險的一種。
身份盜竊風暴正在醞釀
麥肯錫認為數字身份是一個市場驅動因素,它能將一個國家的整體經濟價值提高多達 13%。然而《Javelin Strategy》報告稱,2017 年有 1670 萬美國成年人的身份被盜。2018 年,美國聯邦貿易委員會 (FTC) 收到的最頻繁的投訴是冒名詐騙。
數字身份是一把雙刃劍。一方面它能讓消費者和員工合法地執行在線和離線任務。另一方面,數字身份也被人惡意利用影響個人和工作。
這種兩面性是由于數字身份的影響無處不在。我們正在對個人進行更多的核查和反欺詐檢查,以防止欺詐發生。然而,與此同時,網絡犯罪分子也正在尋找其他辦法。隨著面部識別等新型身份認證技術的出現,安全方面也迎來新的挑戰。
合成身份盜竊vs.真實身份盜竊
當我們的數字身份卷入欺詐時,利用驗證身份還是合成身份是兩種不同情況。
什么是已驗證的身份?
經過驗證的身份越來越多地與驗證和認證技術聯系在一起,以保證其可靠性來進行有價值的交易。對于執行這些檢查的服務方來說,這是一項開銷很大的工作。據湯森路透 “確認你的客戶” (Know Your Customer, KYC) 調查估計,KYC 流程每年的成本約為 5 億美元。而且 KYC 流程對消費者來說非常耗時,而且做好在線驗證工作不是一件容易的事情。但是如果身份可以跨聯合服務重復使用,那么對使用者和服務方來說,已驗證的身份都是有價值的資產。
同樣的,經過驗證的(真實的)身份對網絡犯罪分子來說也是一種有價值的商品。事實證明,身份欺詐給金融交易帶來了困擾,2018 年網絡欺詐增加了 55%。
什么是合成身份?
合成身份是用于創建 “混合” 身份的技術。合成 ID 是由從數據泄露中獲取的確定數據碎片拼湊而成的。2019 年上半年,數據泄露事件增加了 54%,因此有大量數據可供犯罪分子選擇。網絡犯罪分子還通過 “通道分離” 的方法獲取多個 ID 數據碎片(例如姓名,出生日期,社會保險號),并把它們混在一起以免被發現。
從欺詐的角度來看,哪一種最好用:驗證身份還是合成身份?當然,答案取決于騙局。如果網絡犯罪分子可以使用經過驗證的身份,他們成功實施犯罪的可能性就更大。然而,如果身份以一種可靠的方式被創建,那么驗證身份很難被控制。欺詐者有辦法建立他們自己的驗證身份。這對于提供高安全級別 ID 服務的企業來說是一個挑戰。
合成身份是成功的,但真實的、經過驗證的身份更是非常有用和強大的工具。更妙的是,如果詐騙者能夠利用本應該確保身份的系統來創建經過驗證的假身份,那就更好用了。
深度偽造和已驗證的身份
身份和生物特征數據(如人臉和語音識別),正越來越多地用于數字身份的創建和使用中。人臉識別被廣泛應用于數字身份用例中。這包括注冊賬戶時的身份驗證,例如移動應用程序供應商 Yoti,該公司在注冊時使用人臉識別技術進行身份驗證。
與 AppleID 一樣,人臉識別也被用于交易認證。語音識別則被應用于數字助手如亞馬遜 Echo 等數字助手,用來與 Avoco Secure 等公司共享身份數據。
語音和人臉本就適合應用到消費者數字身份用例中。生物識別技術可以使用戶體驗更簡單,甚至更有趣。然而,生物識別技術自然而然也是騙子的福音。深度偽造技術利用生物識別技術,利用人臉或聲音固有的信任,進行更精妙、更有效的釣魚活動。除非我們建立起相應的對策,否則深度偽造將對數字身份行業造成嚴重破壞。
現在利用深度偽造創建一個經過驗證的憑證已經不遠了,之后深度偽造也會被用于構建一個高可靠的身份。它將使合成身份更上一層樓,躍入已驗證身份的領域。一旦發生這種情況,網上交易可能更容易受到惡意攻擊。實際上,犯罪分子將進行合法欺詐。
身份欺詐之外
從數字身份的定義來看,它是任何在線交易失敗的關鍵原因。在消費者系統的復雜結構要求下中保持高水平的驗證是一項嚴峻的挑戰。僅授權帳戶訪問和共享就對這一領域提出了挑戰。
如果我們繼續將人臉和語音生物識別技術整合到我們的數字身份平臺和服務中,我們必須考慮到深度偽造欺詐。我們必須繼續加強我們的數字身份應用程序的設計,以抵御各種攻擊。深度偽造將持續給那些使用生物識別技術進行身份驗證的系統,以及那些使用生物識別輔助交易驗證的系統帶來挑戰。
人臉和語音為數字身份系統設計者提供了一種方便用戶的驗證和交易方式。這些方法滿足了一些殘疾用戶的迫切需求,消除了對鍵盤的依賴。然而確保“通過設計實現生物識別技術的安全”是我們的職責之一。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
