深度偽造技術如何使社交工程和身份驗證威脅更嚴重以及如何應對
深度偽造技術對企業來說是一種不斷升級的網絡安全威脅。很多網絡犯罪分子正在投資人工智能和機器學習技術用于網絡攻擊和欺詐,以創建合成或操縱的數字內容(包括圖像、視頻、音頻和文本)。這種技術可以真實地復制或改變外觀、聲音、舉止或詞匯,目的是進行欺詐,讓受害者相信他們看到、聽到、閱讀的內容是真實可信的。
美國聯邦調查局在2021年3月發布警告說,在現有的魚叉式網絡釣魚和社交工程活動中,惡意行為者利用合成或操縱的數字內容進行網絡攻擊的勢頭越來越強勁。由于所用合成介質的復雜程度,這些可能產生更嚴重和更廣泛的影響。因此,企業必須意識到不斷增長的深度偽造網絡威脅,并采取措施抵御深度偽造增強型網絡攻擊和欺詐。
網絡犯罪分子采用深度偽造技術
Information Security Forum公司的高級研究分析師Mark Ward說,“人們常說一些不法內容推動了技術的采用,而當它們第一次出現時,這對于深度偽造來說當然是正確的。該技術目前在其他行領域中流行起來,尤其是在有組織的網絡犯罪集團中。”
Ward說,深度偽造衍生的網絡攻擊目前很少見,由專業團伙或背后有政府支持的團伙執行,只有少數記錄在案的成功案例。他說,“然而,當工具、技術和潛在回報廣為人知時,它將像其他技術一樣廣泛傳播。”
事實證明,犯罪分子正在暗網分享深度偽造技術和專業知識。VMware研究人員發現了介紹深度偽造工具和技術的暗網教程,首席網絡安全策略師RickMc Elroy將其描述為威脅參與者合作以危害企業的最新例子之一。他說,“威脅行為者已經轉向暗網提供定制服務和教程,這些服務和教程結合了旨在繞過和擊敗安全措施的視覺和音頻深度偽造技術。”
深度偽造增強的社交工程
Ward引用了包括暗網聊天在內的證據,表明專門從事復雜社交工程的犯罪集團對深度偽造技術越來越感興趣。他說,“這些團體開展商業電子郵件妥協(BEC)活動,誘騙大型組織的財務和會計人員向詐騙者控制的賬戶發送資金。”目前在犯罪聊天室中討論的工具利用高級管理人員的公開資料獲取視頻、音頻和博客文章來創建令人信服的模擬。
Cyphere公司管理顧問Harman Singh對此表示認同,他說,“這些將被用來滿足轉移現金或快速付款的要求,使這種騙局更容易實施,也更難防范。”他補充說,深度偽造音頻模擬在追蹤企業數據和系統訪問的社交工程攻擊中特別有效。Singh說,“冒充正在出差或不在辦公室的高管重置安全密碼或執行允許他們訪問企業資產的操作是一種伎倆。這樣的內容提供了額外的可信度,并具有重新創建的能力可識別的特征,例如某人的口音和講話模式。”
McElroy表示,由于網絡犯罪分子利用向員工在家遠程工作的機會,這樣的攻擊特別多。他說,“首席信息安全官及其安全團隊目前正目睹深度偽造被用于網絡釣魚攻擊,或被用于危害商業電子郵件和平臺,如Slack和Microsoft Team。通過商業通信平臺開展的網絡釣魚活動為深度偽造提供了一種理想的交付機制,因為企業及其用戶信任他們。”
深度偽造旨在繞過生物識別身份驗證
另一個有風險的深度偽造趨勢是創建內容并用于繞過生物特征驗證。面部和語音識別等生物識別技術提供了額外的安全層,可用于根據某人的獨特特征自動驗證某人的身份。然而,可以準確地重現一個人的外表或聲音以規避這種身份驗證的技術,給依賴它作為其身份和訪問管理策略的一部分的企業帶來了重大風險,在廣泛的遠程工作環境中,犯罪分子正在投資這一技術。
McElroy說:“新冠疫情的爆發和遠程工作時代的大規模轉變導致了大量音頻和視頻數據的產生,這些數據可以輸入機器學習系統以創建引人注目的復制品。”
基于人工智能的身份技術提供商Onfido公司反欺詐副總裁Albert Roux承認,深度偽造確實對基于生物識別的身份驗證構成了嚴重的風險。他說,“任何利用身份驗證來開展業務并保護自己免受網絡犯罪分子侵害的企業都可能受到深度偽造的攻擊。欺詐者已經注意到最近的一些深度偽造視頻,例如Tom Cruise的深度偽造視頻和流行的YouTube創作者,他們意識到可以利用這些深度偽造工具和代碼庫來繞過在線身份驗證檢查。一些免費的開源應用程序使欺詐者即使技術知識有限,也可以更輕松地生成深度偽造視頻和照片。”
防御深度偽造的網絡威脅
無論是通過文本、語音還是視頻操作,欺詐者都會投資深度偽造技術來扭曲數字現實以獲收益,并在混亂和不確定性中發展。McElroy說,“我們正處于進入網絡攻擊者不信任和扭曲新現實的轉折點。”
雖然網絡攻擊所造成的威脅看起來很嚴峻,但企業可以針對它們采取一些防御措施。從培訓和教育到先進技術和威脅情報,所有這些都是為了應對惡意活動的高風險。
對于Ward而言,教育和培訓員工深度偽造社交工程攻擊(尤其是那些最有針對性的攻擊)是降低風險的一個重要因素,他建議將重點放在財務職位的員工身上。他說,“提醒他們注意這種可能性,并允許他們在懷疑時放慢付款過程會很有幫助。如果網絡攻擊者沒有跟上企業采用的最新措施,則徹底改革推動支付的程序可以阻止網絡攻擊者。”
從技術角度來看,Ward支持越來越多的分析系統,這些系統可以在內容顯示出操縱跡象時發現,否則就會被忽略。他說,“威脅情報同樣也可以提供幫助,因為它可以顯示一家企業是否成為攻擊目標,一個部門是否受到審查,或者某個特定群體是否在這一領域變得活躍。深度偽造欺詐需要時間來設置和執行。這可以讓潛在的受害者有足夠的時間來發現警告信號并采取行動。”
Roux說,有效的防御也可以通過隨機分配用戶在使用驗證技術時必須遵循的自我驗證說明來實現。他說,“有成千上萬種可能的請求是深度偽造創作者根本無法預測的,例如朝不同的方向看或閱讀一個短語。反復響應錯誤的用戶可以被標記以進行進一步調查,雖然可以實時操縱深度偽造,但視頻質量顯著下降,因為所需的強大處理能力不利于快速反應。”
