自面部生物特征验证技术问世以来,骗子们一直在寻找绕过它的方法——从简单的纸质面具到高级的深度伪造技术。
深度伪造技术在过去几年中呈上升趋势,导致各国努力应对AI生成账户的传播。2022年7月,欧洲联盟计划强制科技公司在其平台上监控操纵性账户和内容。而在2023年,欧盟公布了AI法案,该法案将人工智能技术分为几组风险,因为欧盟认为它们可以用于犯罪目的。
随着深度伪造技术如野火般的传播——以及监管审查的加强——对企业来说,确保他们的面部识别系统无懈可击是必要的。这就是为什么我们准备了这篇文章,介绍了绕过面部识别的两种主要方法,以及选择最佳面部验证解决方案的提示。
重点内容
方法1:欺骗
方法2:绕过
选择抵抗黑客攻击的活体检测的提示
方法1:欺骗
谈到欺骗,可以使用的技术范围广泛。一些最原始的包括硅胶面具——令人惊讶的是,这些面具多年来一直能够欺骗大型科技公司。然而,现在,骗子们正在涉足更高级的欺骗形式,包括深度伪造。让我们深入了解每种方法。
使用图片
在社交媒体时代,骗子可以获取几乎任何人的照片,并用它来欺骗面部验证。因此,如果面部生物特征技术不分析图像的某些特征,骗子可以简单地使用社交媒体图像来破解设备和账户。
骗子也可以使用类似的方法来获取人们的银行账户。例如,巴西一名34岁的小偷通过把客户的照片放在假人身上,成功获得了几个账户,并申请了贷款。
使用视频
你可能会认为,如果验证技术要求用户做出随机的动作,如眨眼或瞪眼,那就不可能欺骗系统。不幸的是,这并非真实情况,因为动作可以提前录制——而一些验证系统无法识别这种预录制的视频。
使用面具
有些硅胶面具逼真到无法检测骗子是否戴着一副。罪犯用这种方法冒充法国国防部长,成功窃取了5500万欧元。他们通过通过Skype打电话给国家元首、富商和大型慈善机构,声称他们需要钱来营救被恐怖分子绑架的人。如果生物特征技术不扫描皮肤纹理、血流和其他特征,硅胶面具是可行的。
使用深度伪造
深度伪造利用机器学习生成虚假的人物,或者利用被操纵的照片和视频冒充现有的人。中国一名男子最近在一次他认为是和朋友的视频通话后,给一名骗子汇去了622,000美元。目前,任何通过远程方式与客户打交道的行业都可能受到深度伪造的威胁。
平台的统计数据显示,从2022年到2023年,深度伪造欺诈的普遍性显著增加:
从2022年到2023年,深度伪造在所有欺诈类型中的比例在加拿大增长了4500%,在美国增长了1200%,在德国增长了407%,在英国增长了392%。
在2023年第一季度,最多的深度伪造产自英国和西班牙,分别占全球深度伪造欺诈的11.8%和11.2%,其次是德国(6.7%)和荷兰(4.7%)。美国排名第五,占全球深度伪造欺诈案件的4.3%。
上一季度,澳大利亚(5.3%)、阿根廷(5.1%)和中国(4.9%)有很高比例的欺诈案件是由深度伪造构成的。
具体数字来看,从2022年到2023年,深度伪造在欺诈中占的比例在加拿大从0.1%增长到4.6%,在美国从0.2%增长到2.6%,在德国从1.5%增长到7.6%,在英国从1.2%增长到5.9%。
深度伪造技术可以轻易地用于绕过面部识别。由于任何人都可以使用免费的生成器以极低的成本创建一个深度伪造,因此很容易通过换脸来获取他人的账户。然而,一种有效的深度伪造检测技术可以通过分析提供的图像上的伪影来识别深度伪造。
骗子可以接管手机摄像头,注入预录制的视频或深度伪造。如果数据没有正确加密,也可以在互联网上截获。服务器也可能被黑客攻击。
方法2:绕过
绕过活体检测并不包括冒充身份。相反,骗子通过替换或编辑生物识别数据来黑进活体检测系统。
每种活体检测技术都有三个黑客可以攻击的弱点:
- 用户进行生物识别检查的设备
- 用户的生物识别数据通过该连接达到服务器的互联网连接
- 检查生物识别数据的服务器
选择抵抗黑客攻击的活体检测的提示
在选择生物识别验证解决方案时,公司应确保它能防范欺骗和绕过。首先,它应该区分真实面孔和人工物体,如深度伪造或预录制视频。为此,解决方案必须分析如下参数:
- 图像深度
- 眼睛反射
- 皮肤纹理
- 血液流动
面部识别可以在可嵌入其他应用的验证套件的界面中进行。可以通过网络摄像头、智能手机和其他配备摄像头的设备进行。通常,你需要做的就是让用户移动他们的头,同时系统拍摄一系列照片(而非视频),并分析每一张照片是否有欺骗的迹象。
可以按照以下方式测试技术:
- 向系统展示一张静态图像
- 尝试闭着眼睛通过验证
- 使用面部欺骗道具,例如面具、深度伪造或视频
任何可靠的技术都应该能检测到这些欺诈尝试。
询问解决方案提供商他们使用的数据加密机制也至关重要,这些机制应该是最新的,并能抵抗重放攻击或中间人攻击。