关于Deepfakes可以愚弄加密货币交易所上的面部识别的分析

　　Deepfakes是一种利用人工智能和深度学习技术制作的假视频或照片。它可以将一个人的脸部特征覆盖在另一个人的面部上，以创造出看似真实的视频或图片。通常，Deepfakes会使用大量的图像和视频数据来训练其算法，使其能够准确模拟目标人物的面部表情和动作。

　　一、基本内容

　　生成式人工智能深度伪造可以煽动错误信息或篡改真人图像以达到不怀好意的目的。根据 Cato Networks 的 CTRL Threat Research 于 10 月 9 日发布的一份研究报告，它们还可以帮助威胁行为者通过双因素身份验证。

　　CTRL Threat Research 所描述的威胁行为者–以 ProKYC 为名–使用 deepfakes 来伪造政府 ID 和欺骗面部识别系统。攻击者在暗网上向有抱负的欺诈者出售这种工具，其最终目的是渗透加密货币交易所。

　　一些交易所要求潜在账户持有人同时提交政府身份证件和视频直播。利用生成式人工智能，攻击者可以轻松创建一个逼真的人脸图像。然后，ProKYC 的深度伪造工具就会将这张照片植入伪造的驾驶执照或护照中。

　　加密货币交易所的面部识别测试需要简短的证据，证明该人就在摄像头前。深度伪造工具会欺骗摄像头，并创建一个人工智能创建的左右看的人的图像。

　　看：Meta 是最新一家为逼真视频创建工具的人工智能巨头。

　　然后，攻击者使用生成的、不存在的人的身份在加密货币交易所创建一个账户。在那里，他们可以利用该账户清洗非法获得的资金或实施其他形式的欺诈。根据 Javelin Research 和美国退休人员协会(AARP)的数据，这种被称为 “新账户欺诈 ”的攻击会在 2023 年造成 53 亿美元的损失。

　　出售入侵网络的方法并不新鲜：“勒索软件即服务”计划让有抱负的攻击者可以购买进入系统的方法。

　　Cato Research 的首席安全战略师 Etay Maor 为企业提供了几条防止使用人工智能创建虚假账户的建议：

　　公司应扫描人工智能生成的视频的共同特征，如非常高质量的视频–人工智能可以生成比标准网络摄像头通常捕获的图像更清晰的图像。

　　观察或扫描人工智能生成的视频中的瑕疵，尤其是眼睛和嘴唇周围的不规则现象。

　　从整个组织中收集威胁情报数据。

　　毛尔在卡托研究公司的研究报告中写道，要在过多或过少的审查之间找到一个平衡点可能很棘手。他写道：如上所述，建立限制性过强的生物识别身份验证系统会导致许多假阳性警报。另一方面，控制不严也会导致欺诈。

　　二、分析研判

　　这篇文章描述了一种使用生成式人工智能深度伪造(Deepfakes)技术来欺骗面部识别系统和进行新账户欺诈的威胁行为，以及如何防止这种威胁。攻击者会利用深度伪造技术制作逼真的政府 ID 和面部图像，然后使用这些虚假身份在加密货币交易所中创建账户，以便清洗非法获得的资金或实施其他形式的欺诈。该研究还提供了几条企业防范此类威胁的建议。

　　从技术上讲，使用Deepfakes技术来欺骗面部识别系统并进行欺诈活动是可能的。然而，需要指出的是，这种攻击需要攻击者拥有大量的目标人物的面部图像和视频数据，使其能够对目标人物的特征进行准确模拟。另外，某些加密货币交易所也采取了其他安全措施来防止此类攻击，例如在面部识别测试中增加多个验证步骤，审核用户提交的证件等。

　　此外，尽管Deepfakes技术本身可能具有负面影响和潜在风险，但它也可以应用于艺术、文化遗产保护、教育和医学等领域。因此，我们需要更好地平衡Deepfakes技术的正面和负面影响，并开发更多有效的防范措施来应对与其相关的威胁。

　　三、应对策略

　　首先，企业可以扫描人工智能生成的视频的共同特征，如非常高质量的视频，以便检测和识别使用Deepfakes技术制作的虚假视频。其次，观察或扫描人工智能生成的视频中的瑕疵，尤其是眼睛和嘴唇周围的不规则现象，来验证内容的真实性。最后，从整个组织中收集威胁情报数据，包括可能受到攻击的人员、部门和系统等信息，以便及时采取防范措施。

　　然而，需要注意的是，在防范Deepfakes技术威胁时，企业需要找到一个平衡点，避免过多或过少的审查措施。过于限制性的身份验证系统可能会导致许多假阳性警报，而过于松散的控制则可能会增加欺诈的风险。