在一個數(shù)字身份被騙子們模糊和濫用的世界，我們?nèi)绾握瓶財?shù)字身份?

[[279294]]

一家保險公司最近報告了一個針對其客戶的成功騙局，這是 CEO 欺詐的新型改進版本。一位英國 CEO 受騙將 24 萬美元轉(zhuǎn)移給了一個騙子。這個騙局中對方使用了一種叫做深度偽造 (Deepfake) 的技術(shù)，讓 CEO 相信他是在和一個具有合法資格的人打交道。

有些人懷疑賬戶的安全性，但是深度偽造技術(shù)堪稱是完美的詐騙工具，因為它利用了我們在人際關(guān)系中的信任。無論是在線上還是線下，信任都在交易中起到關(guān)鍵作用，可以說當涉及身份盜竊時，深度偽造技術(shù)無疑是網(wǎng)絡(luò)犯罪分子工具箱中最危險的一種。

身份盜竊風暴正在醞釀

麥肯錫認為數(shù)字身份是一個市場驅(qū)動因素，它能將一個國家的整體經(jīng)濟價值提高多達 13%。然而《Javelin Strategy》報告稱，2017 年有 1670 萬美國成年人的身份被盜。2018 年，美國聯(lián)邦貿(mào)易委員會 (FTC) 收到的最頻繁的投訴是冒名詐騙。

數(shù)字身份是一把雙刃劍。一方面它能讓消費者和員工合法地執(zhí)行在線和離線任務(wù)。另一方面，數(shù)字身份也被人惡意利用影響個人和工作。

這種兩面性是由于數(shù)字身份的影響無處不在。我們正在對個人進行更多的核查和反欺詐檢查，以防止欺詐發(fā)生。然而，與此同時，網(wǎng)絡(luò)犯罪分子也正在尋找其他辦法。隨著面部識別等新型身份認證技術(shù)的出現(xiàn)，安全方面也迎來新的挑戰(zhàn)。

合成身份盜竊vs.真實身份盜竊

當我們的數(shù)字身份卷入欺詐時，利用驗證身份還是合成身份是兩種不同情況。

什么是已驗證的身份?

經(jīng)過驗證的身份越來越多地與驗證和認證技術(shù)聯(lián)系在一起，以保證其可靠性來進行有價值的交易。對于執(zhí)行這些檢查的服務(wù)方來說，這是一項開銷很大的工作。據(jù)湯森路透 “確認你的客戶” (Know Your Customer, KYC) 調(diào)查估計，KYC 流程每年的成本約為 5 億美元。而且 KYC 流程對消費者來說非常耗時，而且做好在線驗證工作不是一件容易的事情。但是如果身份可以跨聯(lián)合服務(wù)重復(fù)使用，那么對使用者和服務(wù)方來說，已驗證的身份都是有價值的資產(chǎn)。

同樣的，經(jīng)過驗證的(真實的)身份對網(wǎng)絡(luò)犯罪分子來說也是一種有價值的商品。事實證明，身份欺詐給金融交易帶來了困擾，2018 年網(wǎng)絡(luò)欺詐增加了 55%。

什么是合成身份?

合成身份是用于創(chuàng)建 “混合” 身份的技術(shù)。合成 ID 是由從數(shù)據(jù)泄露中獲取的確定數(shù)據(jù)碎片拼湊而成的。2019 年上半年，數(shù)據(jù)泄露事件增加了 54%，因此有大量數(shù)據(jù)可供犯罪分子選擇。網(wǎng)絡(luò)犯罪分子還通過 “通道分離” 的方法獲取多個 ID 數(shù)據(jù)碎片(例如姓名，出生日期，社會保險號)，并把它們混在一起以免被發(fā)現(xiàn)。

從欺詐的角度來看，哪一種最好用：驗證身份還是合成身份?當然，答案取決于騙局。如果網(wǎng)絡(luò)犯罪分子可以使用經(jīng)過驗證的身份，他們成功實施犯罪的可能性就更大。然而，如果身份以一種可靠的方式被創(chuàng)建，那么驗證身份很難被控制。欺詐者有辦法建立他們自己的驗證身份。這對于提供高安全級別 ID 服務(wù)的企業(yè)來說是一個挑戰(zhàn)。

合成身份是成功的，但真實的、經(jīng)過驗證的身份更是非常有用和強大的工具。更妙的是，如果詐騙者能夠利用本應(yīng)該確保身份的系統(tǒng)來創(chuàng)建經(jīng)過驗證的假身份，那就更好用了。

深度偽造和已驗證的身份

身份和生物特征數(shù)據(jù)(如人臉和語音識別)，正越來越多地用于數(shù)字身份的創(chuàng)建和使用中。人臉識別被廣泛應(yīng)用于數(shù)字身份用例中。這包括注冊賬戶時的身份驗證，例如移動應(yīng)用程序供應(yīng)商 Yoti，該公司在注冊時使用人臉識別技術(shù)進行身份驗證。

與 AppleID 一樣，人臉識別也被用于交易認證。語音識別則被應(yīng)用于數(shù)字助手如亞馬遜 Echo 等數(shù)字助手，用來與 Avoco Secure 等公司共享身份數(shù)據(jù)。

語音和人臉本就適合應(yīng)用到消費者數(shù)字身份用例中。生物識別技術(shù)可以使用戶體驗更簡單，甚至更有趣。然而，生物識別技術(shù)自然而然也是騙子的福音。深度偽造技術(shù)利用生物識別技術(shù)，利用人臉或聲音固有的信任，進行更精妙、更有效的釣魚活動。除非我們建立起相應(yīng)的對策，否則深度偽造將對數(shù)字身份行業(yè)造成嚴重破壞。

現(xiàn)在利用深度偽造創(chuàng)建一個經(jīng)過驗證的憑證已經(jīng)不遠了，之后深度偽造也會被用于構(gòu)建一個高可靠的身份。它將使合成身份更上一層樓，躍入已驗證身份的領(lǐng)域。一旦發(fā)生這種情況，網(wǎng)上交易可能更容易受到惡意攻擊。實際上，犯罪分子將進行合法欺詐。

身份欺詐之外

從數(shù)字身份的定義來看，它是任何在線交易失敗的關(guān)鍵原因。在消費者系統(tǒng)的復(fù)雜結(jié)構(gòu)要求下中保持高水平的驗證是一項嚴峻的挑戰(zhàn)。僅授權(quán)帳戶訪問和共享就對這一領(lǐng)域提出了挑戰(zhàn)。

如果我們繼續(xù)將人臉和語音生物識別技術(shù)整合到我們的數(shù)字身份平臺和服務(wù)中，我們必須考慮到深度偽造欺詐。我們必須繼續(xù)加強我們的數(shù)字身份應(yīng)用程序的設(shè)計，以抵御各種攻擊。深度偽造將持續(xù)給那些使用生物識別技術(shù)進行身份驗證的系統(tǒng)，以及那些使用生物識別輔助交易驗證的系統(tǒng)帶來挑戰(zhàn)。

人臉和語音為數(shù)字身份系統(tǒng)設(shè)計者提供了一種方便用戶的驗證和交易方式。這些方法滿足了一些殘疾用戶的迫切需求，消除了對鍵盤的依賴。然而確保“通過設(shè)計實現(xiàn)生物識別技術(shù)的安全”是我們的職責之一。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文