越來越多的深偽技術(Deepfake)攻擊正顯著地在改變威脅環境。這些移花接木影片將變臉詐騙攻擊和身份驗證繞過等攻擊提升到了新的境界。它們可能盜用名人圖像改造影片,用來投放汽車廣告、宣傳“理財投資機會”,甚至冒充知名人士時進行視訊通話。
在2020年,趨勢科技與歐洲刑警組織和聯合國區域犯罪和司法研究院(UNICRI)的聯合報告裡概述了人工智慧技術的惡意使用,並預測了網路犯罪分子對深偽技術的濫用。而我們的預測也很快變成了現實 – 我們已經可以看到相關攻擊的出現。
越來越多的深偽技術攻擊正顯著地改變針對企業、金融機構、名人、政治人物甚至普通民眾的威脅環境。深偽技術的使用將變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC)和身份驗證繞過等攻擊提升到了新的境界。
這些攻擊成功的先決條件和原因如下:
- 所有技術都已經到位。深偽技術的原始碼是公開的,任何想使用的人都可以拿到。
- 公開可用影像的數量足以讓駭客利用深偽技術製作出數百萬個假身份。
- 犯罪集團是此類技術的早期應用者,並且會定期討論用深偽技術來提高現有洗錢和貨幣化計劃的有效性。
- 我們看到了新攻擊場景使用深偽技術的趨勢(如社交工程(social engineering )陷阱攻擊),深偽技術成為關鍵的技術推動力。
讓我們來看看近年來此一新興趨勢是如何發展和演變。
深偽技術盜用身分來進行行銷詐騙
經常可以在新聞和社群媒體上看到名人照片被用於可疑的搜尋引擎最佳化(SEO)活動。通常這些廣告在某種程度上會與所選名人相關,是專門為了誘騙使用者點選照片底下連結而設計。
如圖1顯示了2022年9月13日德國新聞網站N-TV的廣告截圖。我們看到廣告裡的人物可能不知道自己的照片被使用。如果使用者點選這些廣告,就會出現一個汽車廣告頁面(如圖右所示)。選擇類似的廣告會導向另一個行銷頁面(如圖2所示)。
無良廣告集團多年來一直在不同貨幣化計畫中使用這類媒體內容。但最近我們看到這些廣告出現有趣的發展,以及進行這類活動的技術變化。
最近有一些數位媒體和SEO貨幣化團體一直在利用公開媒體內容來製作名人的深偽模型。這些團體在未經本人同意下使用這些名人或網紅的身分為各種行銷活動派送深偽(Deepfake)內容。
圖3強調了一個類似的例子。在Meta上出現了網路資安專家Chris Sistrunk發起的行銷活動。但要注意的是,他既不是活動中產品的代言人,也沒有說過廣告影片裡的任何內容。
本文作者之一還在合法的熱門行動應用程式中看到類似的廣告活動,這些廣告不僅使用了靜態照片,還使用Elon Musk的深偽影片來宣傳“理財投資機會”。
深偽技術的進一步提升是在冒充知名人士時進行視訊通話。
深偽技術服務在地下論壇很受歡迎。在這些討論群組裡,我們看到有許多使用者都以網路銀行和數位金融驗證為目標。對這類服務感興趣的犯罪分子很可能已經擁有受害者身份文件的副本,但他們還需要受害者的影片來竊取或建立帳號。這些帳號以後可能被用於洗錢或非法金融交易等惡意活動。
地下的深偽技術(Deepfake)
針對驗證工具和技術的地下犯罪攻擊經歷過顯著的演變。例如,我們看到帳號驗證服務已經推出了很長一段時間。但隨著電子商務發展使用現代技術及線上聊天系統來進行身份驗證,犯罪分子也發展出新技術並開發繞過這些驗證的方法。
在2020年和2021年初,我們已經看到有些地下論壇使用者為了加密貨幣交易所和個人帳戶在尋找深偽技術專家。
事實上,有些深偽工具已經出現在網路上一陣子了(如在GitHub上)。我們還看到深偽技術及深偽技術偵測工具在地下論壇引起相當程度的關注。
最近出現了一則加密貨幣交易網站幣安的通訊主管遭遇深偽攻擊的新聞。深偽影像被用在Zoom通話中欺騙加密貨幣項目的代表。
如圖7所示,顯示來自圖6中同一地下討論串的對話,討論如何用深偽技術繞過幣安的驗證。自2021年以來,使用者一直在想辦法通過幣安的面對面識別。
在工具方面,也有一些易於使用的機器人可以讓製作深偽影片更加容易。Telegram機器人RoundDFbot就是一個例子。
這些深偽影片已經為許多公眾人物帶來麻煩。名人、高級政府官員、知名企業人士和其他在網路上擁有許多高解析度照片和影片的人最容易成為目標。我們已經看到利用他們臉孔和語音進行的社交工程(social engineering )陷阱詐騙在激增。
因為有這些工具和現有的深偽技術,我們可以預期會看到更多偽造語音和影片來詐騙受害者的攻擊。
深偽技術如何影響現有的攻擊、詐騙和貨幣化計畫
犯罪分子可以將深偽技術用在當前的惡意活動,而且我們已經看到了第一波的攻擊。下面列出了現有攻擊及我們預期在不久將來可以看到的攻擊:
- 訊息詐騙。冒充財務主管並打電話要求匯款是多年來常見的詐騙,現在犯罪分子可以在視訊通話中使用深偽技術。例如,他們可以冒充某人並聯絡其朋友或家人來要求轉帳,或要求為其電話餘額充值。
- 商務電子郵件入侵(BEC)。即便沒有深偽技術,這類攻擊也已經相當成功。而現在,攻擊者可以在通話中使用假視訊來冒充高階主管或業務合作夥伴並要求轉帳。
- 製造帳號。犯罪分子可以利用深偽技術繞過身份驗證,並用被盜身份證件的副本來偽裝成他人在銀行和金融機構(甚至是政府服務)建立帳號。這些犯罪分子可以冒用受害者的身份並繞過通常經由視訊通話完成的驗證。這類帳號在之後可以用於洗錢或其他惡意活動。
- 劫持帳號。犯罪分子可以透過視訊通話接管需身份驗證的帳號。他們可以劫持金融帳號並提取或轉移資金。有些金融機構需要線上視訊驗證才能在網路銀行應用程式中啟用某些功能。顯然地,這類驗證也可能成為深偽技術攻擊的目標。
- 敲詐。駭客可以用深偽技術製作出更強大的勒索或其他相關攻擊。甚至可以植入用深偽技術製作的假證據。
- 假消息。 深偽技術還可以製作更有效的假消息活動用來操縱公眾輿論。有些攻擊(如拉高出貨)依賴於來自知名人士的消息。現在可以利用深偽技術製作出這些消息。這些詐騙肯定會產生金融、政治甚至聲譽上的影響。
- 技術支援詐騙。可以用深偽技術製作出假身份來對毫無戒心的使用者進行社交工程,讓其給出支付憑證或存取IT資產。
- 社交工程攻擊。駭客可以用深偽技術來詐騙被受害者的朋友、家人或同事。像Kevin Mitnick所做過的知名社交工程攻擊也可以有新的做法。
- 劫持物聯網(IoT)裝置。使用語音或臉部識別的裝置(如Amazon的Alexa及許多其他智慧手機品牌)將成為深偽技術犯罪分子的目標。
結論和安全建議
我們已經看到了第一波使用深偽技術的犯罪和惡意活動。但因為以下原因,未來很可能會出現更嚴重的攻擊:
- 社群媒體上暴露的內容足以為數百萬人製作深偽模型。每個國家、城鎮或特定社群都有自己的社群媒體暴露在世界面前。
- 所有技術都已經到位。進行攻擊不需要大量投資,攻擊不僅可以由國家和企業發起,也可以由個人或小型犯罪集團發起。
- 駭客可以冒充和竊取政治家、高階主管或名人的身份。這能夠大大提升某些攻擊的成功率,如金融詐騙、短期假消息活動、輿論操縱和敲詐勒索。
- 普通人的身份可以從公開媒體中取得或重塑。網路犯罪分子可以盜用受害者的身份來進行惡意活動。
- 修改深偽技術模型可能導致從未存在過的身份大量出現。這些身份可用於不同的詐騙計畫。現在已經可以看到這類攻擊的跡象。
個人和組織可以做些什麼來解決或減輕深偽技術攻擊的影響?我們為使用生物識別驗證的一般使用者及組織提供了一些建議。其中有些驗證方式也可以被自動化並廣泛部署。
- 對於敏感或關鍵帳號的身份驗證,多因子身份驗證應該是標準作法。
- 組織應該用三個基本因子來驗證使用者:使用者擁有的東西、使用者知道的東西以及使用者的身份。確保明智地選擇那些“東西”。
- 利用相關案例來進行人員安全意識培訓,對金融機構來說,了解你的客戶(KYC)原則是必要的。深偽技術並非完美,企業員工應該要能夠察覺那些危險訊號。
- 社群媒體使用者應盡量減少高品質照片的曝光。
- 對於敏感帳號(如銀行或公司個人檔案)的驗證,使用者應優先使用較少暴露於公眾面前的生物識別模式,如虹膜和指紋。
- 要在更大範圍內解決這個問題,需要進行重大的政策調整。這些政策應解決當前和之前公開生物特徵資訊的使用問題。還必須考慮現在的網路犯罪活動狀況,並為未來做好準備。
深偽技術及使用該技術的攻擊對安全造成的影響是真實且具破壞性的。正如我們所證明的,這些攻擊的目標不僅是組織和高階主管,還包括了一般個人。由於所需工具及服務的廣泛可用性,讓技術不成熟的攻擊者和團體也能夠使用,這代表著惡意行為可以被大規模的執行。
◼原文出處:How Underground Groups Use Stolen Identities and Deepfakes 作者:Vladimir Kropotov, Fyodor Yarochkin, Craig Gibson, Stephen Hilt
✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚
◉延伸閱讀
加密貨幣騙局再進化,Deepfake 移花接木影片,利用馬斯克背書
讓阿湯哥真假難辨的 Deepfake 技術,是什麼?如何捍衛隱私?
