社群媒體上的生物辨識特徵如何影響您的未來？

化妝教學影片、高解析度專業攝影照片、參與不眨眼挑戰，這些在社群網站曝光的貼文，會有哪些資安風險？
生物辨識技術被某些人推崇為比密碼辨識還安全且更容易使用的替代方案。然而，在我們身上的生物特徵卻不像密碼那樣可以輕易變更，因此若萬一遭到外洩，將有很大的可能對使用者帶來深遠影響。
你有想過你在網路上發布的照片、影片和音訊，可能會洩露出敏感的生物辨識特徵，成為網路駭客利用的目標？這些特徵幾乎終生不變，不僅可以在現今的攻擊中使用，也能在未來對你構成威脅。

下載報告「一朝外洩，一輩子蒙受其害：社群媒體生物特徵資料如何影響未來生活」(Leaked Today, Exploited for Life: How Social Media Biometric Patterns Affect Your Future)

化妝影片會暴露臉部、虹膜、耳朵、聲音以及手掌

內容創作者一般都使用最頂級的相機及燈光設備來拍攝影片，許多時尚與美容專業人士有時還會用到近拍特寫，像這樣的影片會暴露許多他們的生物辨識特徵。

那麼，駭客可以拿您臉部的高解析度影片來做些什麼？

利用Deepfake（深偽技術）使用您的臉部和聲音特徵製作虛擬角色。
盜取使用語音驗證的帳號 (例如，念出清單中的某個片語，或唸出某個隨機產生的片語來通過認證)。
盜取使用臉部辨識驗證的帳號。

專業攝影會暴露個人的臉部、耳朵形狀及指紋

高畫質的照片會讓駭客更容易取得生物辨識特徵，進而用於驗證或識別用途。

駭客能局部放大高解析度照片 (例如一些專業活動所用的那種) 來取得可用的生物辨識資料。比方說，我們可以在範例照片中清楚看到模特兒的指紋。另一個例子是耳朵的形狀，耳朵形狀儘管不能用於認證，但卻可以用來比對監視錄影畫面中的人物。

如果是專業影像，影像中的 Metadata 還可提供更多有關被拍攝者的資訊，進一步提高了駭客攻擊的成功率。除了社群媒體之外，企業入口網站或新聞也會經常用到一些照片，這些照片也會含有一些關於個人的細節。

不眨眼挑戰會暴露眼睛的形狀、虹膜及臉部特徵

今日，生物辨識技術在認證上扮演著比 10 年前更重要的角色，許多裝置和網路帳號現在都透過臉部辨識或掃描眼睛來認證。

從社群媒體上取得照片之後，駭客就能做到以下事情：

使用生物辨識認證來進入偷到的裝置。
在使用生物辨識進行認證的平台上，以某人的名義建立帳號。
假扮成某人並使用他們的個人或企業帳號。

手部藝術會暴露指紋和手掌形狀

不論是手機的相機或手持式影音部落格攝影機，目前都在快速演進和進步，而且 HD 或 4K 影片已經是社群媒體貼文的標準。不幸地，有些人的裝置已經強到可以讓歹徒擷取到有用的指紋資料。

這之所以特別危險，是因為指紋已經成為許多裝置 (從智慧型手機到公司筆電) 以及帳號預設的認證機制。在某些國家，您甚至可以使用指紋來購買商品或服務。

這項個人資料變得可以公開取得，而且在許多情況下，甚至是被積極推廣的，目的就是希望讓更多人看到這些影片。如果是一些名人和專業人士，可能有數百萬人會看到他們的影片和照片。但他們卻很難控制這些生物辨識特徵資料不被流傳，他們甚至不曉得誰能取得這些資料、內容如何被使用，以及這些資料將被保存多久。

長久以來，生物辨識資料一直被應用於資安、犯罪調查、鑑識分析，以及大樓門禁。但現在，生物辨識資料已經成為主流，有數千萬人每天都在使用臉部辨識和指紋辨識系統。這意味著，假使處理這類生物辨識特徵資料的技術和流程出現了漏洞或弱點，那麼這數千萬人將立即受到影響。除了前述的情境之外，經由社群媒體暴露的生物辨識資料還有以下風險：

訊息與身分冒用詐騙。有了社群媒體上暴露的生物辨識資料和資訊，駭客就能聯繫和詐騙受害者的親朋好友。
變臉詐騙。駭客可在電話當中使用Deepfake（深偽技術）來假扮成您的同事或業務合作夥伴，騙他們執行匯款。
趨勢科技AI 防詐達人App加入防堵以深偽 (deepfake)形成的換臉詐騙行為，可即時識別以人工智慧變更換臉的影片或直播畫面，藉此避免惡意人士以名人臉譜、熟識面孔進行詐騙。
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
建立新的帳號。駭客可使用網路上暴露的資料來騙過身分認證服務，進而在銀行或金融機構 (甚至是政府機關) 建立新的帳號，然後將這些帳號用於惡意活動。
恐嚇。使用社群媒體上暴露的生物辨識資料，駭客就能製作更有效的恐嚇材料。
假訊息。駭客可能假扮成名人來操弄大眾輿論，這樣的手法肯定會造成金融、政治，甚至聲譽上的後果。
接管裝置。駭客可能竊取或掌控物聯網裝置或其他使用語音或臉部辨識的裝置。

除了生物辨識特徵之外，還有一些「非」生物辨識特徵可能被用來識別或分析個人，包括：無法去除 (或幾乎無法去除) 的特徵，例如胎記或刺青，以及可去除的特徵 (如衣服和配件)。這些特徵可用來分析一個人的社會地位、種族、年齡等等。此外，駭客也可能利用社群媒體上暴露的名牌服裝、太陽眼鏡、帽子、包包等等來決定其攻擊和犯罪的優先對象。

◎瞭解更多 **趨勢科技AI 防詐達人**
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載

哪裡可以看到這類生物辨識特徵？

許多平台及許多類型的媒體，都可以看到這類暴露在外的生物辨識特徵。比方說，即時通訊軟體 (如 Telegram 群組聊天)、社群媒體平台、政府與企業入口網站，以及各大新聞媒體。

我們可以做些什麼？

生物辨識資料的一項問題就是：它不像密碼，一旦洩露之後，幾乎不可能變更。我們怎樣才能更換一副新的虹膜或指紋呢？它就像您一輩子無法變更的密碼，一旦遭到公開，不論 5 年、10 年之後都還是能夠使用。所以您很重要必須知道的就是，您到底有哪些個人生物辨識資訊已經被公開，這些資訊的曝光將對您造成什麼影響。

對一般使用者來說，我們建議您使用一些較不容易被曝光的生物辨識特徵 (如指紋) 來進行認證或驗證敏感的帳號。最好可以降低網路影像的畫質，甚至將某些特徵模糊掉。對於正在使用生物辨識特徵的企業來說，最基本的應該要有三項認證因子：❶使用者擁有的東西、❷使用者知道的東西，以及❸代表使用者本人的東西。當三者結合起來，再搭配每個帳號專屬的某些東西時，就能構成非常有效的認證或驗證機制。最後，任何需要處理敏感資料和資訊的企業都應該標準採用多重認證 (MFA)。

欲了解有關這項威脅的更多資訊以及如何防範攻擊，請閱讀我們的報告「一朝外洩，一輩子蒙受其害：社群媒體生物特徵資料如何影響未來生活」(Leaked Today, Exploited for Life: How Social Media Biometric Patterns Affect Your Future)。

下載研究報告