Tin tức công nghệ

Giải Quyết Nguy Cơ Deepfake Đối Với Bảo Mật Sinh Trắc Học

Tháng Năm 27, 2024
5 mins
Khám phá cách công nghệ deepfake đe dọa hệ thống bảo mật sinh trắc học và các biện pháp phòng chống hiệu quả, bao gồm kiểm tra liveness, mã hóa dữ liệu và thuật toán chống giả mạo.

Một ngân hàng tại Hồng Kông gần đây đã trở thành nạn nhân của một vụ lừa đảo mạo danh, trong đó một nhân viên ngân hàng đã bị lừa chuyển 25,6 triệu USD cho bọn trộm cắp sau một cuộc gọi video với CFO của ngân hàng và các đồng nghiệp khác. Nhưng không ai trong số họ là người thật – tất cả đều là deepfake được tạo ra với sự giúp đỡ của trí tuệ nhân tạo.

Sự cố này cho thấy cách tội phạm mạng có thể sử dụng deepfake để lừa gạt con người và thực hiện các vụ gian lận. Nó cũng làm dấy lên lo ngại về những mối đe dọa mà deepfake gây ra cho các hệ thống xác thực sinh trắc học.

Việc sử dụng các dấu hiệu sinh trắc học để xác thực danh tính và truy cập các hệ thống kỹ thuật số đã bùng nổ trong thập kỷ qua và dự kiến ​​sẽ tăng trưởng hơn 20% hàng năm cho đến năm 2030. Tuy nhiên, giống như mọi tiến bộ trong an ninh mạng, những kẻ xấu không bao giờ ở xa phía sau.

Bất cứ thứ gì có thể được lấy mẫu kỹ thuật số đều có thể bị deepfake – một hình ảnh, video, âm thanh hoặc thậm chí văn bản để bắt chước phong cách và cú pháp của người gửi. Với bất kỳ công cụ nào trong số nửa tá công cụ có sẵn rộng rãi và một tập dữ liệu huấn luyện như video trên YouTube, ngay cả một người nghiệp dư cũng có thể tạo ra deepfake thuyết phục.

Các cuộc tấn công deepfake vào xác thực có hai loại, được gọi là tấn công trình bày và tấn công chèn.

Các cuộc tấn công trình bày liên quan đến việc trình bày một hình ảnh giả, kết xuất hoặc video cho máy ảnh hoặc cảm biến để xác thực. Một số ví dụ bao gồm:

  • Tấn công in
  • Hình ảnh 2D
  • Mặt nạ giấy 2D với mắt cắt ra
  • Ảnh hiển thị trên điện thoại thông minh
  • Mặt nạ nhiều lớp 3D
  • Phát lại video đã ghi của người dùng hợp pháp
  • Tấn công deepfake
  • Hoán đổi khuôn mặt
  • Đồng bộ hóa môi
  • Nhân bản giọng nói
  • Chuyển động/thể hiện cử chỉ
  • Chuyển văn bản thành giọng nói

Các cuộc tấn công chèn liên quan đến việc thao túng luồng dữ liệu hoặc kênh truyền thông giữa máy ảnh hoặc máy quét và hệ thống xác thực, tương tự như các cuộc tấn công man-in-the-middle (MITM) đã biết.

Sử dụng phần mềm tự động được thiết kế cho việc kiểm tra ứng dụng, một tội phạm mạng có quyền truy cập vào một thiết bị mở có thể chèn dấu vân tay hoặc nhận diện khuôn mặt vào quy trình xác thực, bỏ qua các biện pháp bảo mật và truy cập trái phép vào các dịch vụ trực tuyến. Các ví dụ bao gồm:

  • Tải lên phương tiện tổng hợp
  • Phát trực tuyến phương tiện thông qua thiết bị ảo (ví dụ: máy ảnh)
  • Thao tác dữ liệu giữa trình duyệt web và máy chủ (tức là người trung gian)

Phòng Chống Deepfake

Một số biện pháp đối phó cung cấp sự bảo vệ chống lại các cuộc tấn công này, thường tập trung vào việc xác định xem dấu hiệu sinh trắc học có đến từ một người thật, sống động hay không.

Các kỹ thuật kiểm tra liveness bao gồm phân tích chuyển động khuôn mặt hoặc xác minh thông tin chiều sâu 3D để xác nhận khớp khuôn mặt, kiểm tra chuyển động và kết cấu của mống mắt (quang học), cảm nhận các xung điện tử (điện dung) và xác minh dấu vân tay dưới bề mặt da (siêu âm).

Cách tiếp cận này là tuyến phòng thủ đầu tiên chống lại hầu hết các loại deepfake, nhưng nó có thể ảnh hưởng đến trải nghiệm người dùng vì nó yêu cầu sự tham gia từ người dùng. Có hai loại kiểm tra liveness:

  • Bảo vệ thụ động chạy trong nền mà không yêu cầu sự tham gia của người dùng để xác minh danh tính của họ. Nó có thể không tạo ra sự cản trở nhưng cung cấp ít bảo vệ hơn.
  • Các phương pháp chủ động yêu cầu người dùng thực hiện một hành động trong thời gian thực, chẳng hạn như cười hoặc nói để xác nhận người dùng đang sống động, cung cấp nhiều bảo mật hơn trong khi thay đổi trải nghiệm người dùng.

Để ứng phó với những mối đe dọa mới này, các tổ chức phải ưu tiên những tài sản nào yêu cầu mức độ bảo mật cao hơn liên quan đến kiểm tra liveness chủ động và khi nào không cần thiết. Nhiều tiêu chuẩn quy định và tuân thủ ngày nay yêu cầu kiểm tra liveness và có thể sẽ có nhiều hơn nữa trong tương lai, khi ngày càng nhiều sự cố như vụ gian lận ngân hàng Hồng Kông được công bố.

Thực Hành Tốt Nhất Chống Deepfake

Một cách tiếp cận đa tầng là cần thiết để chống lại deepfake hiệu quả, kết hợp cả kiểm tra liveness chủ động và thụ động. Liveness chủ động yêu cầu người dùng thực hiện các biểu hiện ngẫu nhiên, trong khi liveness thụ động hoạt động mà không cần sự tham gia trực tiếp của người dùng, đảm bảo xác minh mạnh mẽ.

Ngoài ra, chức năng camera true-depth là cần thiết để ngăn chặn các cuộc tấn công trình bày và bảo vệ chống lại thao tác thiết bị được sử dụng trong các cuộc tấn công chèn. Cuối cùng, các tổ chức nên xem xét các thực hành tốt nhất sau để bảo vệ chống deepfake:

  • Thuật Toán Chống Giả Mạo: Các thuật toán phát hiện và phân biệt giữa dữ liệu sinh trắc học thật và dữ liệu giả mạo có thể phát hiện fakes và xác thực danh tính. Chúng có thể phân tích các yếu tố như kết cấu, nhiệt độ, màu sắc, chuyển động và các chèn dữ liệu để xác định tính xác thực của một dấu hiệu sinh trắc học. Ví dụ, Intel’s FakeCatcher tìm kiếm những thay đổi tinh tế trong các pixel của video cho thấy sự thay đổi lưu lượng máu trên khuôn mặt để xác định xem video có thật hay giả.
  • Mã Hóa Dữ Liệu: Đảm bảo rằng dữ liệu sinh trắc học được mã hóa trong quá trình truyền và lưu trữ để ngăn chặn truy cập trái phép. Các giao thức mã hóa và kiểm soát truy cập nghiêm ngặt có thể ngăn chặn các cuộc tấn công man-in-the-middle và chèn giao thức có thể làm suy yếu tính hợp lệ của một danh tính.
  • Xác Thực Thích Ứng: Sử dụng các tín hiệu bổ sung để xác minh danh tính người dùng dựa trên các yếu tố như mạng, thiết bị, ứng dụng và ngữ cảnh để đưa ra các phương thức xác thực hoặc tái xác thực phù hợp dựa trên mức độ rủi ro của một yêu cầu hoặc giao dịch.
  • Phòng Thủ Đa Tầng: Dựa vào phân tích tĩnh hoặc luồng của video/ảnh để xác minh danh tính người dùng có thể dẫn đến việc các kẻ xấu vượt qua các cơ chế phòng thủ hiện tại. Bằng cách tăng cường các giao dịch có rủi ro cao (ví dụ: chuyển tiền mặt) với một chứng chỉ được ký điện tử xác thực, các hoạt động nhạy cảm có thể được bảo vệ bằng một danh tính kỹ thuật số có thể tái sử dụng. Với cách tiếp cận này, các cuộc gọi video có thể được bổ sung bằng dấu kiểm xanh xác nhận, “Người này đã được xác minh độc lập.”

Củng Cố Hệ Thống Quản Lý Danh Tính

Điều quan trọng cần nhớ là đơn giản thay thế mật khẩu bằng xác thực sinh trắc học không phải là một biện pháp phòng thủ hoàn toàn chống lại các cuộc tấn công danh tính trừ khi nó là một phần của chiến lược quản lý danh tính và truy cập toàn diện nhằm giải quyết rủi ro giao dịch, phòng chống gian lận và tấn công giả mạo.

Để chống lại hiệu quả các mối đe dọa phức tạp do công nghệ deepfake gây ra, các tổ chức phải nâng cao hệ thống quản lý danh tính và truy cập của họ bằng những tiến bộ mới nhất trong công nghệ phát hiện và mã hóa. Cách tiếp cận chủ động này sẽ không chỉ củng cố an ninh của các hệ thống sinh trắc học mà còn nâng cao khả năng phục hồi tổng thể của cơ sở hạ tầng kỹ thuật số trước các mối đe dọa mạng mới nổi.

Tags:
Shares:

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *