Blog
生成式AI技術對金融業KYC流程構成威脅:偽造身份證件圖片日益普遍
生成式AI技術對金融業KYC流程構成威脅:偽造身份證件圖片日益普遍
January 11, 2024
重點摘要:
新聞內文:
為了幫助金融機構、金融科技新創公司和銀行核實客戶身份,「了解你的客戶」(KYC)過程常常涉及「身份證件圖片」,即交叉核對的自拍照片,用以確認某人的真實身份。Wise、Revolut以及加密貨幣平台Gemini和LiteBit等都依賴於身份證件圖片進行安全性審核。
然而,生成式人工智慧可能對這些檢查造成疑慮。
X(前身為Twitter)和Reddit上的熱門貼文展示了如何利用開源和現成軟體,攻擊者可以下載某人的自拍照,用生成式AI工具編輯它,並使用操縱過的身份證件圖片來通過KYC測試。目前尚無證據顯示生成式AI工具已被用來愚弄真實的KYC系統,但以相對輕鬆的方式製作出相當令人信服的偽造身份證件圖片,這一點令人擔憂。
欺騙KYC
在典型的KYC身份證件圖片認證中,客戶會上傳一張自己手持身份證明文件(例如護照或駕照)的照片,這是只有他們自己才能擁有的。人工或演算法會將這張圖片與檔案中的文件和自拍照進行交叉核對,以阻止冒名頂替的企圖。
身份證件圖片認證從來就不是萬無一失的。多年來,詐騙者一直在販售偽造的身份證件和自拍照。但生成式AI開啟了一系列新的可能性。
線上課程展示了如何使用免費的開源圖像生成器「Stable Diffusion」來創造一個人在任何想要的背景下(例如,客廳)的合成渲染圖片。透過一點試錯,攻擊者可以調整渲染圖片,使目標看起來像是手持身份證件。此時,攻擊者可以使用任何圖像編輯器將真實或假的文件插入深度偽造的人物手中。
現在,要使用Stable Diffusion獲得最佳結果需要安裝額外的工具和擴展,並獲得大約十二張目標的圖片。Reddit用戶「_harsh_」,他發布了創造深度偽造身份證自拍照的工作流程,告訴TechCrunch製作一張令人信服的圖片需要大約一到兩天的時間。
但現在的進入門檻顯然比以前低。以前,要創造具有逼真光線、陰影和環境的身份證件圖片需要一些照片編輯軟體的相對高級知識。但現在不一定是這樣。
將深度偽造的KYC圖片供給應用程式比創造它們更容易。在桌面仿真器(例如BlueStacks)上運行的Android應用程式可以被欺騙接受深度偽造圖片,而不是實際攝影鏡頭畫面,而在網頁上的應用程式可以透過允許使用者將任何圖像或影片源轉換為虛擬網路攝影鏡頭的軟體來矇混。
日益增長的威脅
一些應用程式和平台實施了「活體」檢查作為額外的安全性來驗證身份。通常,它們涉及讓使用者拍攝一段短片,展示他們轉動頭部、眨眼或以某種其他方式證明他們確實是真實的人。
但活體檢查也可以使用生成式AI來躲避查驗。
去年初,加密貨幣交易所「Binance」的安全主管Jimmy Su告訴Cointelegraph,當今的深度偽造工具已足以透過要求用戶實際執行動作(如頭部轉動)的活體檢查。
結論是,KYC,這已經是一種或中或失的安全措施,可能很快就會成為實際上無用的安全措施。至少Su認為,深度偽造的圖像和影片尚未達到能夠矇混人類審查員的地步。但這種情況可能只是時間問題。
新聞原址: https://techcrunch.com/2024/01/08/gen-ai-could-make-kyc-effectively-useless/
- 生成式人工智慧技術使得詐騙者能夠輕易製作偽造的身份證件圖片,這可能對金融機構、銀行和金融科技公司進行的「了解你的客戶」(KYC)安全審核構成威脅。
- 線上課程和熱門社群媒體貼文展示了如何使用開源工具「Stable Diffusion」來創造逼真的深度偽造身份證件圖片,使攻擊者能夠在幾天內製作出令人信服的偽造身份證件圖片。
- 雖然某些應用和平台實施了「活體」檢查來驗證身份,但生成式AI技術已足以透過這些檢查,使得KYC流程的有效性受到質疑。
新聞內文:
為了幫助金融機構、金融科技新創公司和銀行核實客戶身份,「了解你的客戶」(KYC)過程常常涉及「身份證件圖片」,即交叉核對的自拍照片,用以確認某人的真實身份。Wise、Revolut以及加密貨幣平台Gemini和LiteBit等都依賴於身份證件圖片進行安全性審核。
然而,生成式人工智慧可能對這些檢查造成疑慮。
X(前身為Twitter)和Reddit上的熱門貼文展示了如何利用開源和現成軟體,攻擊者可以下載某人的自拍照,用生成式AI工具編輯它,並使用操縱過的身份證件圖片來通過KYC測試。目前尚無證據顯示生成式AI工具已被用來愚弄真實的KYC系統,但以相對輕鬆的方式製作出相當令人信服的偽造身份證件圖片,這一點令人擔憂。
欺騙KYC
在典型的KYC身份證件圖片認證中,客戶會上傳一張自己手持身份證明文件(例如護照或駕照)的照片,這是只有他們自己才能擁有的。人工或演算法會將這張圖片與檔案中的文件和自拍照進行交叉核對,以阻止冒名頂替的企圖。
身份證件圖片認證從來就不是萬無一失的。多年來,詐騙者一直在販售偽造的身份證件和自拍照。但生成式AI開啟了一系列新的可能性。
線上課程展示了如何使用免費的開源圖像生成器「Stable Diffusion」來創造一個人在任何想要的背景下(例如,客廳)的合成渲染圖片。透過一點試錯,攻擊者可以調整渲染圖片,使目標看起來像是手持身份證件。此時,攻擊者可以使用任何圖像編輯器將真實或假的文件插入深度偽造的人物手中。
現在,要使用Stable Diffusion獲得最佳結果需要安裝額外的工具和擴展,並獲得大約十二張目標的圖片。Reddit用戶「_harsh_」,他發布了創造深度偽造身份證自拍照的工作流程,告訴TechCrunch製作一張令人信服的圖片需要大約一到兩天的時間。
但現在的進入門檻顯然比以前低。以前,要創造具有逼真光線、陰影和環境的身份證件圖片需要一些照片編輯軟體的相對高級知識。但現在不一定是這樣。
將深度偽造的KYC圖片供給應用程式比創造它們更容易。在桌面仿真器(例如BlueStacks)上運行的Android應用程式可以被欺騙接受深度偽造圖片,而不是實際攝影鏡頭畫面,而在網頁上的應用程式可以透過允許使用者將任何圖像或影片源轉換為虛擬網路攝影鏡頭的軟體來矇混。
日益增長的威脅
一些應用程式和平台實施了「活體」檢查作為額外的安全性來驗證身份。通常,它們涉及讓使用者拍攝一段短片,展示他們轉動頭部、眨眼或以某種其他方式證明他們確實是真實的人。
但活體檢查也可以使用生成式AI來躲避查驗。
去年初,加密貨幣交易所「Binance」的安全主管Jimmy Su告訴Cointelegraph,當今的深度偽造工具已足以透過要求用戶實際執行動作(如頭部轉動)的活體檢查。
結論是,KYC,這已經是一種或中或失的安全措施,可能很快就會成為實際上無用的安全措施。至少Su認為,深度偽造的圖像和影片尚未達到能夠矇混人類審查員的地步。但這種情況可能只是時間問題。
新聞原址: https://techcrunch.com/2024/01/08/gen-ai-could-make-kyc-effectively-useless/