KYC veya “Müşterinizi Tanıyın”, finansal kurumların, fintech girişimlerinin ve bankaların müşterilerinin kimliğini doğrulamasına yardımcı olmayı amaçlayan bir süreçtir. KYC kimlik doğrulamasının, bir kişinin söylediği kişi olduğunu doğrulamak için kullanılan “kimlik görüntüleri” veya çapraz kontrol edilen selfie’leri içermesi alışılmadık bir durum değil. Wise, Revolut ve kripto para platformları Gemini ve LiteBit, güvenlik için kimlik görüntülerine güvenenler arasında yer alıyor.
Ancak üretken yapay zeka bu kontrollere şüphe tohumları ekebilir.
X (eski adıyla Twitter) ve Reddit’teki viral gönderiler, bir saldırganın açık kaynak ve kullanıma hazır yazılımdan yararlanarak bir kişinin selfie’sini nasıl indirebileceğini, bunu üretken yapay zeka araçlarıyla düzenleyebileceğini ve KYC’yi geçmek için değiştirilmiş kimlik görüntüsünü nasıl kullanabileceğini gösteriyor Ölçek. Henüz yapay zeka araçlarının gerçek bir KYC sistemini kandırmak için kullanıldığına dair bir kanıt yok. Ancak derin sahte kimlik görüntülerinin nispeten ikna edici olması alarma neden oluyor.
KYC’yi kandırmak
Tipik bir KYC kimlik resmi kimlik doğrulamasında, müşteri, yalnızca kendisinin sahip olabileceği bir kimlik belgesini (örneğin pasaport veya ehliyet) tutarken çekilmiş bir fotoğrafını yükler. Bir kişi – veya bir algoritma – kimliğe bürünme girişimlerini engellemek için (umarız) dosyadaki belgeler ve özçekimlerle görüntüye çapraz referans verir.
Kimlik görüntüsü kimlik doğrulaması hiçbir zaman kusursuz olmamıştır. Dolandırıcılar oldu satış Yıllardır sahte kimlikler ve selfieler. Ancak gen yapay zekası bir dizi yeni olasılığın önünü açıyor.
Çevrimiçi öğreticiler Ücretsiz, açık kaynaklı bir görüntü oluşturucu olan Stable Diffusion’ın, istenen herhangi bir arka planda (örneğin oturma odası) bir kişinin sentetik görüntülerini oluşturmak için nasıl kullanılabileceğini gösterin. Saldırgan, küçük bir deneme yanılma yöntemiyle, hedefin bir kimlik belgesi tutuyormuş gibi görünmesini sağlayacak şekilde görüntüde değişiklik yapabilir. Bu noktada saldırgan, gerçek veya sahte bir belgeyi sahte kişinin eline vermek için herhangi bir görüntü düzenleyiciyi kullanabilir.
Artık Kararlı Yayılma ile en iyi sonuçları elde etmek, ek araçlar ve uzantılar kurmayı ve hedefin yaklaşık bir düzine görüntüsünün elde edilmesini gerektiriyor. Deepfake ID selfie’leri oluşturmak için bir iş akışı yayınlayan _harsh_ kullanıcı adını kullanan bir Reddit kullanıcısı, TechCrunch’a ikna edici bir görüntü oluşturmanın yaklaşık 1-2 gün sürdüğünü söyledi.
Ancak giriş engeli kesinlikle eskisinden daha düşük. Gerçekçi aydınlatma, gölgeler ve ortamlarla kimlik görüntüleri oluşturma kullanılmış fotoğraf düzenleme yazılımı konusunda biraz ileri düzeyde bilgi gerektirir. Şimdi, durum mutlaka böyle değil.
Deepfake KYC görüntülerini bir uygulamaya beslemek, bunları oluşturmaktan çok daha kolaydır. Bluestacks gibi bir masaüstü emülatöründe çalışan Android uygulamaları, canlı kamera yayını yerine derin sahte görüntüleri kabul edecek şekilde kandırılabilirken, web’deki uygulamalar, kullanıcıların herhangi bir görüntü veya video kaynağını sanal bir web kamerasına dönüştürmesine olanak tanıyan yazılım tarafından engellenebilir.
Büyüyen tehdit
Bazı uygulamalar ve platformlar, kimliği doğrulamak için ek güvenlik olarak “canlılık” kontrolleri uygular. Tipik olarak, kullanıcının başını çevirdiği, gözlerini kırptığı veya başka bir şekilde gerçek bir insan olduğunu gösterdiği kısa bir video çekmesini içerir.
Ancak canlılık kontrolleri de gen yapay zeka kullanılarak atlanabilir.
Geçtiğimiz yılın başlarında, kripto para borsası Binance’in baş güvenlik sorumlusu Jimmy Su, söylenmiş Cointelegraph, günümüzde deepfake araçlarının, kullanıcıların gerçek zamanlı olarak kafa çevirme gibi eylemler gerçekleştirmesini gerektirenler bile canlılık kontrollerini geçmek için yeterli olduğunu söylüyor.
Çıkarılan sonuç, zaten tesadüfi olan KYC’nin yakında bir güvenlik önlemi olarak etkili bir şekilde işe yaramaz hale gelebileceğidir. Su, derin sahte görsellerin ve videoların, insan incelemecileri kandırabilecek noktaya ulaştığına inanmıyor. Ancak bunun değişmesi an meselesi olabilir.