银行用来验证ID的活性测试对深度伪造攻击“极为脆弱”

一份新的报告显示，银行和其他机构用来帮助验证用户身份的自动“活度测试”很容易被深度假货欺骗。

安全公司Sensity专门利用人工智能生成的人脸识别攻击，该公司调查了10家顶级供应商提供的身份测试的漏洞。Sensity使用deepfakes将目标人脸复制到要扫描的ID卡上，然后将该人脸复制到潜在攻击者的视频流上，以通过供应商的活跃度测试。

活度测试通常要求某人看着手机或笔记本电脑上的摄像头，有时转头或微笑，以证明他们是真人，并通过面部识别将他们的外表与身份进行比较。在金融界，这种检查通常被称为KYC或“了解你的客户”测试，可以构成包括文档和账单检查在内的更广泛验证过程的一部分。

Sensity首席运营官Francesco Cavalli告诉我们：“我们测试了10种解决方案，发现其中9种极易受到deepfake攻击。”科技博客.

卡瓦利表示：“新一代人工智能力量可能对公司构成严重威胁。”“想象一下，你能用这些技术创建的假账户做些什么。没有人能检测到它们。”

Sensity分享了与之测试的企业供应商的身份科技博客，但它要求出于法律原因不要公布这些名字。卡瓦利说，Sensity与一些供应商签署了保密协议，在其他情况下，它担心以这种方式测试软件可能违反了公司的服务条款。

卡瓦利还表示，他对供应商的反应感到失望，他们似乎并不认为此次袭击有重大意义。“我们告诉他们‘看，你很容易受到这种攻击’，他们说‘我们不在乎’，”他说。“我们决定发布它，因为我们认为，在公司层面和总体上，公众应该意识到这些威胁。”

经过Sensity测试的供应商将这些活度检查出售给一系列客户，包括银行、约会应用程序和加密货币初创公司。在最近的非洲全国选举中，一名供应商甚至被用来核实选民的身份。（尽管Sensity的报告中没有暗示这一过程受到了deepfakes的破坏。）

卡瓦利说，这种伪造身份的骗局主要是对银行系统安全的一种危险，它们可以被用来促进欺诈。卡瓦利说：“我可以创建一个账户；我可以将非法资金转入加密钱包的数字银行账户。”“或者我可以申请抵押贷款，因为今天在线贷款公司正在相互竞争，以尽快发放贷款。”

这并不是第一次发现深度假货对面部识别系统构成威胁。当攻击者可以劫持手机或摄像头的视频馈送时，它们主要是一种威胁，这是一项相对简单的任务。然而，使用深度传感器（如苹果的人脸ID）的人脸识别系统不能被这些攻击所欺骗，因为它们不仅基于视觉外观，而且还基于人脸的物理形状来验证身份。