多年來，生物識別技術(shù)被宣傳為終極身份驗證手段，因為每個人的面部、指紋和虹膜信息都獨一無二且難以被偽造。然而，隨著人工智能技術(shù)的井噴式發(fā)展，生物識別技術(shù)，尤其是人臉識別技術(shù)正面臨巨大威脅。

近日，網(wǎng)絡(luò)安全公司Group-IB發(fā)現(xiàn)了首個能夠竊取人臉（識別數(shù)據(jù)）的銀行木馬程序，被用于竊取用戶的個人身份信息和電話號碼，以及面部掃描信息。然后，這些圖像被換成人工智能生成的深度造假圖像，可以輕松繞過銀行APP的人臉識別認證。

研究人員透露，該“人臉劫持“木馬本月早些時候在越南被使用，攻擊者誘使受害者進入惡意應(yīng)用，讓他們進行面部掃描，然后從其銀行賬戶中取走了約4萬美元資金。

Group-IB亞太威脅情報團隊的惡意軟件分析師Sharmine Low在一篇博客文章中透露：“黑客開發(fā)了一種專門用于收集面部識別數(shù)據(jù)的新型惡意軟件家族。此外他們還開發(fā)了一種工具，可以使受害者與偽裝成銀行呼叫中心的網(wǎng)絡(luò)犯罪分子直接進行交流?！?/p>

防不勝防的“人臉劫持“木馬攻擊

Group-IB研究團隊最新發(fā)現(xiàn)的這個能夠“劫持人臉“的全新木馬程序代號GoldPickaxe.iOS，專門針對iOS用戶，它可以攔截短信并收集面部識別數(shù)據(jù)和身份證明文件。黑客可使用這些敏感信息創(chuàng)建深度偽造內(nèi)容，將合成面孔替換為受害者的面孔，未經(jīng)授權(quán)訪問受害者的銀行賬戶。

研究者指出，GoldPickaxe由一個名為GoldFactory的大型中文黑客組織開發(fā)，基于該組織此前開發(fā)的安卓銀行木馬GoldDigger，GoldPickaxe是該系列木馬中首個支持iOS設(shè)備的變種此前僅支持安卓設(shè)備）。

GoldFactory木馬的演進時間線

GoldPickaxe.iOS的分發(fā)方案尤其值得注意，最初黑客利用蘋果的移動應(yīng)用程序測試平臺TestFlight來分發(fā)惡意軟件。被TestFlight剔除后，黑客轉(zhuǎn)而采用更復(fù)雜的多階段社會工程計劃來說服受害者安裝移動設(shè)備管理（MDM）配置文件。這使得黑客能夠完全控制受害者的設(shè)備。

GoldFactory的常見攻擊策略是組合使用短信轟炸和網(wǎng)絡(luò)釣魚技巧，并經(jīng)常偽裝成政府服務(wù)代理（包括泰國政府服務(wù)，如泰國數(shù)字養(yǎng)老金和越南政府信息門戶網(wǎng)站）。研究人員稱，這些木馬程序目前主要針對亞太地區(qū)的老年人，但也有一些“跡象”表明該團伙正在向其他地區(qū)擴張。

銀行APP的噩夢

目前，“人臉劫持“木馬攻擊在泰國的成功率很高，因為該國現(xiàn)在要求用戶通過面部識別而不是一次性密碼(OTP)確認大額銀行交易（超過5萬泰銖）。同樣，越南國家銀行也表示有意從今年4月開始強制所有匯款進行面部認證。

在泰國，黑客將GoldPickaxe.iOS偽裝成一個領(lǐng)取養(yǎng)老金的應(yīng)用程序。受害者在使用該程序時被要求拍攝自己的照片和身份證照片。在iOS版本中，人臉劫持木馬程序甚至還會向受害者發(fā)出一些人臉信息采集指令，例如眨眼、微笑、左右轉(zhuǎn)動頭部、點頭或張嘴。

被竊取的用戶面部視頻隨后被用作換臉人工智能工具創(chuàng)建深度造假視頻的原材料，黑客利用這些深度偽造視頻可以輕松地冒充受害者進入銀行應(yīng)用程序。

研究人員指出：“這種方法通常用于創(chuàng)建受害者的綜合面部生物特征檔案，這是在其他欺詐活動中沒有觀察到的新技術(shù)”。

人臉識別真的要完？

“人臉劫持“木馬的出現(xiàn)標志著生物識別威脅已經(jīng)成為現(xiàn)實。根據(jù)iProov最新發(fā)布的威脅情報報告，2023年換臉深度造假攻擊暴增了704%。這家生物識別認證公司還發(fā)現(xiàn)，欺騙工具使用的深度偽造媒體增加了672%，使用模擬器（模仿用戶設(shè)備）和欺詐內(nèi)容發(fā)起的數(shù)字注入攻擊增加了353%。

iProov的首席科學官Andrew Newell表示，生成式人工智能為大幅提升了黑客“生產(chǎn)力水平“。他指出：“這些工具成本相對較低，易于訪問，可以用來創(chuàng)建高度令人信服的合成媒體，例如換臉或其他形式的深度偽造內(nèi)容，很容易欺騙人類的眼睛以及過時的生物識別解決方案?！?/p>

Gartner預(yù)測，到2026年，30%的企業(yè)將不再信任生物識別工具的可靠性。Gartner副總裁分析師Akif Khan指出：“隨著真假難辨的深度偽造泛濫，企業(yè)可能會開始質(zhì)疑（生物識別）身份驗證和認證解決方案的可靠性?！?/p>

此外，有些人認為生物識別比傳統(tǒng)登錄方法更危險——用戶獨特的生物特征一旦被盜可能會永遠暴露和失效，因為用戶無法像更改密碼或通行密鑰那樣更改這些生物特征。

如何保護自己免受生物識別攻擊

Group-IB提供了一些建議來幫助用戶避免生物識別攻擊，包括：

• 不要點擊電子郵件、短信或社交媒體帖子中的可疑鏈接。
• 僅從官方平臺（如Google Play商店或Apple App Store）下載應(yīng)用程序。
• 如果必須下載第三方應(yīng)用程序，請“謹慎行事”。
• 安裝新應(yīng)用時仔細查看請求的權(quán)限，當他們請求輔助功能服務(wù)時“要格外警惕”。
• 不要將未知用戶添加到社交應(yīng)用中。
• 如果存疑，請直接致電銀行，而不是點擊手機屏幕上的銀行警報窗口。

此外，安全專家還建議用戶注意手機是否存在感染惡意軟件的跡象:

• 電池電量消耗加快、性能下降、數(shù)據(jù)使用異?；蜻^熱（表明惡意軟件可能在后臺運行并消耗資源）。
• 出現(xiàn)未曾下載安裝的陌生應(yīng)用程序（一些惡意軟件會偽裝成合法應(yīng)用程序）。
• 某些應(yīng)用程序突然增加權(quán)限。
• 奇怪的行為，例如手機自行撥打電話、在未經(jīng)同意的情況下發(fā)送消息或在沒有輸入的情況下訪問應(yīng)用程序。