在一个数字身份被骗子们模糊和滥用的世界,我们如何掌控数字身份?
一家保险公司最近报告了一个针对其客户的成功骗局,这是 CEO 欺诈的新型改进版本。一位英国 CEO 受骗将 24 万美元转移给了一个骗子。这个骗局中对方使用了一种叫做深度伪造 (Deepfake) 的技术,让 CEO 相信他是在和一个具有合法资格的人打交道。
有些人怀疑账户的安全性,但是深度伪造技术堪称是完美的诈骗工具,因为它利用了我们在人际关系中的信任。无论是在线上还是线下,信任都在交易中起到关键作用,可以说当涉及身份盗窃时,深度伪造技术无疑是网络犯罪分子工具箱中最危险的一种。
身份盗窃风暴正在酝酿
麦肯锡认为数字身份是一个市场驱动因素,它能将一个国家的整体经济价值提高多达 13%。然而《Javelin Strategy》报告称,2017 年有 1670 万美国成年人的身份被盗。2018 年,美国联邦贸易委员会 (FTC) 收到的最频繁的投诉是冒名诈骗。
数字身份是一把双刃剑。一方面它能让消费者和员工合法地执行在线和离线任务。另一方面,数字身份也被人恶意利用影响个人和工作。
这种两面性是由于数字身份的影响无处不在。我们正在对个人进行更多的核查和反欺诈检查,以防止欺诈发生。然而,与此同时,网络犯罪分子也正在寻找其他办法。随着面部识别等新型身份认证技术的出现,安全方面也迎来新的挑战。
合成身份盗窃vs.真实身份盗窃
当我们的数字身份卷入欺诈时,利用验证身份还是合成身份是两种不同情况。
什么是已验证的身份?
经过验证的身份越来越多地与验证和认证技术联系在一起,以保证其可靠性来进行有价值的交易。对于执行这些检查的服务方来说,这是一项开销很大的工作。据汤森路透 “确认你的客户” (Know Your Customer, KYC) 调查估计,KYC 流程每年的成本约为 5 亿美元。而且 KYC 流程对消费者来说非常耗时,而且做好在线验证工作不是一件容易的事情。但是如果身份可以跨联合服务重复使用,那么对使用者和服务方来说,已验证的身份都是有价值的资产。
同样的,经过验证的(真实的)身份对网络犯罪分子来说也是一种有价值的商品。事实证明,身份欺诈给金融交易带来了困扰,2018 年网络欺诈增加了 55%。
什么是合成身份?
合成身份是用于创建 “混合” 身份的技术。合成 ID 是由从数据泄露中获取的确定数据碎片拼凑而成的。2019 年上半年,数据泄露事件增加了 54%,因此有大量数据可供犯罪分子选择。网络犯罪分子还通过 “通道分离” 的方法获取多个 ID 数据碎片(例如姓名,出生日期,社会保险号),并把它们混在一起以免被发现。
从欺诈的角度来看,哪一种最好用:验证身份还是合成身份?当然,答案取决于骗局。如果网络犯罪分子可以使用经过验证的身份,他们成功实施犯罪的可能性就更大。然而,如果身份以一种可靠的方式被创建,那么验证身份很难被控制。欺诈者有办法建立他们自己的验证身份。这对于提供高安全级别 ID 服务的企业来说是一个挑战。
合成身份是成功的,但真实的、经过验证的身份更是非常有用和强大的工具。更妙的是,如果诈骗者能够利用本应该确保身份的系统来创建经过验证的假身份,那就更好用了。
深度伪造和已验证的身份
身份和生物特征数据(如人脸和语音识别),正越来越多地用于数字身份的创建和使用中。人脸识别被广泛应用于数字身份用例中。这包括注册账户时的身份验证,例如移动应用程序供应商 Yoti,该公司在注册时使用人脸识别技术进行身份验证。
与 AppleID 一样,人脸识别也被用于交易认证。语音识别则被应用于数字助手如亚马逊 Echo 等数字助手,用来与 Avoco Secure 等公司共享身份数据。
语音和人脸本就适合应用到消费者数字身份用例中。生物识别技术可以使用户体验更简单,甚至更有趣。然而,生物识别技术自然而然也是骗子的福音。深度伪造技术利用生物识别技术,利用人脸或声音固有的信任,进行更精妙、更有效的钓鱼活动。除非我们建立起相应的对策,否则深度伪造将对数字身份行业造成严重破坏。
现在利用深度伪造创建一个经过验证的凭证已经不远了,之后深度伪造也会被用于构建一个高可靠的身份。它将使合成身份更上一层楼,跃入已验证身份的领域。一旦发生这种情况,网上交易可能更容易受到恶意攻击。实际上,犯罪分子将进行合法欺诈。
身份欺诈之外
从数字身份的定义来看,它是任何在线交易失败的关键原因。在消费者系统的复杂结构要求下中保持高水平的验证是一项严峻的挑战。仅授权帐户访问和共享就对这一领域提出了挑战。
如果我们继续将人脸和语音生物识别技术整合到我们的数字身份平台和服务中,我们必须考虑到深度伪造欺诈。我们必须继续加强我们的数字身份应用程序的设计,以抵御各种攻击。深度伪造将持续给那些使用生物识别技术进行身份验证的系统,以及那些使用生物识别辅助交易验证的系统带来挑战。
人脸和语音为数字身份系统设计者提供了一种方便用户的验证和交易方式。这些方法满足了一些残疾用户的迫切需求,消除了对键盘的依赖。然而确保“通过设计实现生物识别技术的安全”是我们的职责之一。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
