本文來自微信公眾號“GoUpSec”。
多年來,生物識別技術(shù)被宣傳為終極身份驗(yàn)證手段,因?yàn)槊總€人的面部、指紋和虹膜信息都獨(dú)一無二且難以被偽造。然而,隨著人工智能技術(shù)的井噴式發(fā)展,生物識別技術(shù),尤其是人臉識別技術(shù)正面臨巨大威脅。
近日,網(wǎng)絡(luò)安全公司Group-IB發(fā)現(xiàn)了首個能夠竊取人臉(識別數(shù)據(jù))的銀行木馬程序,被用于竊取用戶的個人身份信息和電話號碼,以及面部掃描信息。然后,這些圖像被換成人工智能生成的深度造假圖像,可以輕松繞過銀行APP的人臉識別認(rèn)證。
研究人員透露,該“人臉劫持“木馬本月早些時候在越南被使用,攻擊者誘使受害者進(jìn)入惡意應(yīng)用,讓他們進(jìn)行面部掃描,然后從其銀行賬戶中取走了約4萬美元資金。
Group-IB亞太威脅情報團(tuán)隊(duì)的惡意軟件分析師Sharmine Low在一篇博客文章中透露:“黑客開發(fā)了一種專門用于收集面部識別數(shù)據(jù)的新型惡意軟件家族。此外他們還開發(fā)了一種工具,可以使受害者與偽裝成銀行呼叫中心的網(wǎng)絡(luò)犯罪分子直接進(jìn)行交流。”
防不勝防的“人臉劫持“木馬攻擊
Group-IB研究團(tuán)隊(duì)最新發(fā)現(xiàn)的這個能夠“劫持人臉“的全新木馬程序代號GoldPickaxe.iOS,專門針對iOS用戶,它可以攔截短信并收集面部識別數(shù)據(jù)和身份證明文件。黑客可使用這些敏感信息創(chuàng)建深度偽造內(nèi)容,將合成面孔替換為受害者的面孔,未經(jīng)授權(quán)訪問受害者的銀行賬戶。
研究者指出,GoldPickaxe由一個名為GoldFactory的大型中文黑客組織開發(fā),基于該組織此前開發(fā)的安卓銀行木馬GoldDigger,GoldPickaxe是該系列木馬中首個支持iOS設(shè)備的變種此前僅支持安卓設(shè)備)。
GoldFactory木馬的演進(jìn)時間線來源:Group-IB
GoldPickaxe.iOS的分發(fā)方案尤其值得注意,最初黑客利用蘋果的移動應(yīng)用程序測試平臺TestFlight來分發(fā)惡意軟件。被TestFlight剔除后,黑客轉(zhuǎn)而采用更復(fù)雜的多階段社會工程計(jì)劃來說服受害者安裝移動設(shè)備管理(MDM)配置文件。這使得黑客能夠完全控制受害者的設(shè)備。
GoldFactory的常見攻擊策略是組合使用短信轟炸和網(wǎng)絡(luò)釣魚技巧,并經(jīng)常偽裝成政府服務(wù)代理(包括泰國政府服務(wù),如泰國數(shù)字養(yǎng)老金和越南政府信息門戶網(wǎng)站)。研究人員稱,這些木馬程序目前主要針對亞太地區(qū)的老年人,但也有一些“跡象”表明該團(tuán)伙正在向其他地區(qū)擴(kuò)張
銀行APP的噩夢
目前,“人臉劫持“木馬攻擊在泰國的成功率很高,因?yàn)樵搰F(xiàn)在要求用戶通過面部識別而不是一次性密碼(OTP)確認(rèn)大額銀行交易(超過5萬泰銖)。同樣,越南國家銀行也表示有意從今年4月開始強(qiáng)制所有匯款進(jìn)行面部認(rèn)證。
在泰國,黑客將GoldPickaxe.iOS偽裝成一個領(lǐng)取養(yǎng)老金的應(yīng)用程序。受害者在使用該程序時被要求拍攝自己的照片和身份證照片。在iOS版本中,人臉劫持木馬程序甚至還會向受害者發(fā)出一些人臉信息采集指令,例如眨眼、微笑、左右轉(zhuǎn)動頭部、點(diǎn)頭或張嘴。
被竊取的用戶面部視頻隨后被用作換臉人工智能工具創(chuàng)建深度造假視頻的原材料,黑客利用這些深度偽造視頻可以輕松地冒充受害者進(jìn)入銀行應(yīng)用程序。
研究人員指出:“這種方法通常用于創(chuàng)建受害者的綜合面部生物特征檔案,這是在其他欺詐活動中沒有觀察到的新技術(shù)”。
人臉識別真的要完?
“人臉劫持“木馬的出現(xiàn)標(biāo)志著生物識別威脅已經(jīng)成為現(xiàn)實(shí)。根據(jù)iProov最新發(fā)布的威脅情報報告,2023年換臉深度造假攻擊暴增了704%。這家生物識別認(rèn)證公司還發(fā)現(xiàn),欺騙工具使用的深度偽造媒體增加了672%,使用模擬器(模仿用戶設(shè)備)和欺詐內(nèi)容發(fā)起的數(shù)字注入攻擊增加了353%。
iProov的首席科學(xué)官Andrew Newell表示,生成式人工智能為大幅提升了黑客“生產(chǎn)力水平“。他指出:“這些工具成本相對較低,易于訪問,可以用來創(chuàng)建高度令人信服的合成媒體,例如換臉或其他形式的深度偽造內(nèi)容,很容易欺騙人類的眼睛以及過時的生物識別解決方案。”
Gartner預(yù)測,到2026年,30%的企業(yè)將不再信任生物識別工具的可靠性。Gartner副總裁分析師Akif Khan指出:“隨著真假難辨的深度偽造泛濫,企業(yè)可能會開始質(zhì)疑(生物識別)身份驗(yàn)證和認(rèn)證解決方案的可靠性。”
此外,有些人認(rèn)為生物識別比傳統(tǒng)登錄方法更危險——用戶獨(dú)特的生物特征一旦被盜可能會永遠(yuǎn)暴露和失效,因?yàn)橛脩魺o法像更改密碼或通行密鑰那樣更改這些生物特征。
如何保護(hù)自己免受生物識別攻擊
Group-IB提供了一些建議來幫助用戶避免生物識別攻擊,包括:
●不要點(diǎn)擊電子郵件、短信或社交媒體帖子中的可疑鏈接。
●僅從官方平臺(如Google Play商店或Apple App Store)下載應(yīng)用程序。
●如果必須下載第三方應(yīng)用程序,請“謹(jǐn)慎行事”。
●安裝新應(yīng)用時仔細(xì)查看請求的權(quán)限,當(dāng)他們請求輔助功能服務(wù)時“要格外警惕”。
●不要將未知用戶添加到社交應(yīng)用中。
●如果存疑,請直接致電銀行,而不是點(diǎn)擊手機(jī)屏幕上的銀行警報窗口。
此外,安全專家還建議用戶注意手機(jī)是否存在感染惡意軟件的跡象:
●電池電量消耗加快、性能下降、數(shù)據(jù)使用異常或過熱(表明惡意軟件可能在后臺運(yùn)行并消耗資源)。
●出現(xiàn)未曾下載安裝的陌生應(yīng)用程序(一些惡意軟件會偽裝成合法應(yīng)用程序)。
●某些應(yīng)用程序突然增加權(quán)限。
●奇怪的行為,例如手機(jī)自行撥打電話、在未經(jīng)同意的情況下發(fā)送消息或在沒有輸入的情況下訪問應(yīng)用程序。