道高一尺,魔高一丈,企業組織用來了解客戶的「認識你的客戶(Know Your Customer,KYC)」機制,有歹徒企圖收買真實資料來魚目混珠,用來捏造身分通過這種驗證機制。
專精於生物辨識身分驗證解決方案的資安業者iProov指出,他們發現駭客於暗網研究如何繞過企業KYC的旁路攻擊手法,該公司的安全營運中心於暗網發現一批資料,內含大量的身分證明文件、對應的臉部圖片,經他們確認這些資料就是駭客打算用來通過KYC驗證流程的工具。值得留意的是,研究人員指出,這些資料似乎並非偷來的,而是當事人同意的情況下付費取得。這些駭客主要活動範圍在拉丁美洲(LATAM),但類似的手法曾出現在東歐地區,不過研究人員暫時無法確認兩組犯罪集團之間是否有所關聯。
研究人員指出,這項發現對企業組織執行KYC帶來多重挑戰,因為他們不僅要檢測文件偽造情況,還必須能察覺未經授權濫用他人真實個資的問題。
根據KYC的流程,該公司提及在文件審核、臉部比對、生命特徵檢測(Liveness Detection)等層面,都有可能受到挑戰。
針對文件審核的部分,由於這些歹徒使用了真實的個資,一般的偽造偵測機制有可能難以察覺異狀;而對於臉部比對的流程,基於歹徒運用與個資相符的大頭照,若是相關檢測系統僅將使用者提供的照片和文件進行比對,很可能就通過相關驗證。
而對生命特徵檢測的部分,依據歹徒手法的程度不同,可能會播放事先錄好的使用者語音、利用深偽(Deepfake)技術換臉,甚至是利用自行打造的AI模型及專屬軟體產生能通過相關驗證的合成面孔。
對此,iProov認為,企業組織應該透過四種層面的驗證來執行KYC流程,分別是:對的人、真實人類、即時回應,以及使用代管偵測與回應(MDR)機制,使得歹徒想要騙過身分驗證機制的難度變高,而能避免他們能濫用真實資料突破KYC的現象。
熱門新聞
2024-12-31
2025-01-02
2025-01-02
2024-12-31
2025-01-02
2024-12-31
2025-01-02
2024-12-31