Bankalar ve diğer kurumlar tarafından kullanıcıların kimliğini doğrulamaya yardımcı olmak için kullanılan otomatik “canlılık testleri”, derin sahtekarlıklar tarafından kolayca kandırılabilir, yeni bir rapor gösteriyor.
AI tarafından oluşturulan yüzleri kullanarak saldırıları tespit etme konusunda uzmanlaşmış güvenlik firması Sensity, en iyi 10 satıcı tarafından sağlanan kimlik testlerinin güvenlik açığını araştırdı. Sensity, hedef yüzü taranacak bir kimlik kartına kopyalamak için deepfakes kullandı ve ardından satıcıların canlılık testlerini geçmek için aynı yüzü olası bir saldırganın video akışına kopyaladı.
Canlılık testleri genellikle birinden hem gerçek bir insan olduklarını kanıtlamak hem de yüz tanıma özelliğini kullanarak görünüşlerini kimlikleriyle karşılaştırmak için bazen başını çevirerek veya gülümseyerek telefon veya dizüstü bilgisayarındaki bir kameraya bakmasını ister. Finans dünyasında, bu tür çekler genellikle KYC veya “müşterinizi tanıyın” testleri olarak bilinir ve belge ve fatura kontrollerini içeren daha geniş bir doğrulama sürecinin parçası olabilir.
Sensity’nin baş işletme görevlisi Francesco Cavalli, “10 çözümü test ettik ve bunlardan dokuzunun derin sahte saldırılara karşı son derece savunmasız olduğunu gördük” dedi. Sınır.
Cavalli, “Şirketler için ciddi tehditler oluşturabilecek yeni nesil bir yapay zeka gücü var” diyor. “Bu tekniklerle oluşturulan sahte hesaplarla neler yapabileceğinizi hayal edin. Ve kimse onları tespit edemez.”
Sensity, test ettiği kurumsal satıcıların kimliğini paylaştı Sınır, ancak yasal nedenlerle isimlerin yayınlanmamasını istedi. Cavalli, Sensity’nin bazı satıcılarla gizlilik anlaşmaları imzaladığını ve diğer durumlarda yazılımlarını bu şekilde test ederek şirketlerin hizmet şartlarını ihlal etmiş olabileceğinden korktuğunu söylüyor.
Cavalli ayrıca, saldırıları önemli görmemiş görünen satıcıların tepkisinden dolayı hayal kırıklığına uğradığını söyledi. “Onlara ‘bakın bu tür saldırılara karşı savunmasızsınız’ dedik ve ‘umursamıyoruz’ dediler” diyor. “Kurumsal düzeyde ve genel olarak halkın bu tehditlerden haberdar olması gerektiğini düşündüğümüz için yayınlamaya karar verdik.”
Sensity’nin test ettiği satıcılar, bu canlılık kontrollerini bankalar, flört uygulamaları ve kripto para girişimleri de dahil olmak üzere bir dizi müşteriye satıyor. Afrika’da yakın zamanda yapılan bir ulusal seçimde seçmenlerin kimliğini doğrulamak için bir satıcı bile kullanıldı. (Sensity’nin raporundan bu sürecin derin sahtekarlıklar tarafından tehlikeye atıldığına dair bir öneri olmamasına rağmen.)
Cavalli, bu tür derin sahte kimlik sahtekarlıklarının, dolandırıcılığı kolaylaştırmak için kullanılabilecekleri öncelikle bankacılık sistemi için bir tehlike olduğunu söylüyor. “Bir hesap oluşturabilirim; Cavalli, yasa dışı parayı kripto cüzdanlarının dijital banka hesaplarına aktarabilirim” diyor. “Ya da belki bir ipotek isteyebilirim çünkü bugün çevrimiçi kredi şirketleri mümkün olduğunca hızlı kredi vermek için birbirleriyle rekabet ediyor.”
Deepfake’ler ilk kez değil yüz tanıma sistemleri için tehlike olarak tanımlanan. Saldırgan, nispeten basit bir görev olan bir telefondan veya kameradan video akışını ele geçirebildiğinde, öncelikle bir tehdit oluştururlar. Bununla birlikte, Apple’ın Face ID’si gibi derinlik sensörleri kullanan yüz tanıma sistemleri, kimliği yalnızca görsel görünüme değil, aynı zamanda bir kişinin yüzünün fiziksel şekline göre de doğruladıkları için bu tür saldırılara kanamaz.