人们常说“眼见为实”,在生成式AI爆发的时代,这句话恐怕要打上一个大大的问号。2023年12月,一名留学生在境外被“绑架”,父母遭“绑匪”索要500万元赎金,2024年1月,香港的一家跨国公司员工遭遇钓鱼诈骗,导致2亿港元损失,娱乐明星的“不雅照片”在网络上被肆意散播……这还只是冰山一角,深度伪造(Deepfake)正是背后的始作俑者。相关报告显示,2023年基于AI的深度伪造欺诈暴增3000%,基于AI的钓鱼邮件增长1000%。人工智能技术的热潮放大了现有的威胁,并引入了更多的风险因素,这些威胁遍及全球各行各业,攻击着企业核心系统、关键基础设施,甚至是政府和军事机构。
AI时代的“信任危机”
“数字世界中的每个人,无论是企业还是个人,面对网络欺诈基本上无国界之分,都必须掌握应对网络攻击的知识和技能。对于AI技术带来的新威胁,企业必须对可能危及其运营、安全和声誉的各种风险保持高度警惕。企业也因此需要部署实施强大的技术方案,针对这些威胁建立更强大的防御机制,并最终领先网络犯罪分子一步。”Jumio亚太区副总裁Frederic Ho在接受采访时表示。总部位于加利福尼亚州森尼韦尔市(Sunnyvale)的Jumio,为世界各地的客户提供了AI驱动的在线身份验证、eKYC和反洗钱合规解决方案。
尽管麦肯锡曾指出,生成式AI有望为全球经济贡献约7万亿美元的价值,并将对生产生活带来颠覆式的影响,但不可否认的是,随之而来的网络挑战与日俱增——网络攻击的规模越来越大、攻击速度越来越快、造成的影响越来越大、安全防护的复杂性越来越高。例如,一些黑客会通过堆算力的方式发起暴力攻击;很多企业采用的开源库和供应链存在漏洞,导致黑客入侵更加隐蔽;不少攻击者会使用生成式AI来自动生成恶意代码,快速迭代变种,降低攻击成本。同时,这些攻击者也变得更具组织性和专业性。
Gartner预测,到2025年,生成式AI的采用将导致企业机构所需的网络安全资源激增,使应用和数据安全支出增加15%以上。事实上,近年来频发的黑客事件已经引起越来越多的安全机构重视,去年,美国国家安全局(NSA)、联邦调查局(FBI)、网络安全和基础设施安全局(CISA)联合发布了一份网络安全信息表(CSI),以应对深度伪造带来的新威胁。报告中提到,与深度伪造的创造相关的技术发展动态趋势将继续降低将该技术用于恶意目的的成本和技术壁垒,应对方案包括深度检测元数据、实时验证、反向图像搜索等。
Jumio公布的《2023年网络身份研究》显示,全球57%的受访消费者认为,生成式AI工具将增加在线身份盗窃的风险。同时,消费者已经注意到深伪技术普遍存在,并具有被滥用于身份欺诈的潜在可能性。虽然全球52%的消费者认为自己有能力识别深伪技术制作,但快速变化的黑客技术还是让人们难以防范。在新型换脸技术的“帮助”下,网络犯罪分子以创新型方法融合现有视频或直播流,并实时将另一个身份叠加在原始内容之上。据报道,一名犯罪分子利用AI换脸技术在视频通话过程中假冒受害者的朋友,骗取了62.2万美元转账金额。
可以看到,文本、图像、音频、视频等各类内容都成了深度伪造的对象。以深度伪造视频为例,视频图像主要基于生成对抗网络(GAN)生成,通过训练大量的面部图像数据,模型可以学习面部特征之间的潜在关系,进而生成与真实面部特征高度相似的虚假面部特征。随着技术的演进,创建深度伪造视频的成本会越来越低,所需的训练时间越来越少,生成的视频质量也越来越高,更加难以辨别和检测。与此同时,很多平台提供了Deepfake类的制作工具,个人用户可以更轻松地生成违规内容,要知道,在GitHub上就有数千个与 “深度伪造”技术相关的存储库。
不法分子只需使用现成的伪造工具结合模拟器和特定软件,就能绕过传统的防护检测,渗透到线上会议、社交网络和工作流程中。由于没有数字痕迹和IP地址等信息,导致追踪系统很难察觉。这些欺诈行为可以由机器人自动发起,配合虚假账户、暗网分发等方式形成复杂的攻击网络。
如今,生物识别技术几乎成了智能手机、电脑等终端的标配,遗憾的是,攻击者也想出了新花样,他们开始采用深伪技术制作的“摄像头注入”技术来攻破人脸识别系统。摄像头注入是指欺诈者绕过摄像头的电荷耦合器件(CCD)(即摄像头之“眼”),直接注入预先录制的内容、实时视频换脸或完全伪造(深伪技术制作)的内容。这种预先录制的内容可能是未经修改的真人视频,也可能是视频剪辑——片段中的人脸被修改或是实际并不存在的合成人脸。此前,香港警方曾拘捕某个本地诈骗集团,该集团利用“换脸”技术冒充已报失身份证的市民,成功骗取金融机构贷款并开设银行账户。
Gartner预测,到2026年,30%的企业将因为AI生成的人脸生物识别深度伪造攻击而认为此类身份认证和验证解决方案不再能够起到可靠的作用。“我们建议企业使用先进的人工智能和生物识别分析来对抗深度伪造技术。”Jumio亚太区总监丁娜娜说。让用户自拍头像并将其作为文件上传的解决方案已不再适用。为了防止深度伪造,要控制自拍过程并拍摄一系列图像,以确定该人是否真实存在并保持清醒,而不是睡眠状态,不是面具、照片或视频,也不是深度伪造。
真实性检测步骤要使用先进的AI和机器学习模型,这些模型经过各种真实世界数据的训练。这一步对于阻止欺诈者绝对至关重要,因为欺诈者现在可以轻而易举地制造出非常逼真的深度伪造照片,轻松骗过旧的身份验证技术。同时,自拍验证步骤还应该提供其他生物识别检查,如年龄评估,以标记与身份证件数据不符的自拍照。除此之外,其他的方法还包括通过对视频流的法医学检查来检测入侵并识别操纵行为、注入以可检测方式改变预期图像的伪影、利用设备内置加速度计来检测对象(如人脸或背景)的变化、将自然运动(如眼球运动、表情变化或规律性眨眼模式)与所捕捉视频中观察到的运动进行比较等。
对此,Jumio能够基于面部的生物识别技术将自拍照中的特定面部特征(如眼睛、鼻子和耳朵的间距)与身份证件照片中的面部特征进行比较,来判断两者是否为同一个人。通过活体检测技术,还可以发现复杂的攻击,包括人脸交换、人脸变形和其他高级的欺骗攻击。此外,Jumio采用了主动光源、视频注入检测以及眼部和面部运动分析等技术来阻止攻击,并确认当前用户及其身份证件确实存在。
实时在线的身份验证,一站式服务平台
合成身份欺诈是另一种黑客行为。诈骗团伙会把窃取或捏造的个人信息(如政府身份证号码)与虚假姓名、地址和其他详细信息相结合,以创建合成身份用于开展各种欺诈活动——如开设虚假银行账户或进行欺诈交易。对于企业来说,应该确保每个在线开户的客户都是他们本人,并且注册过程中真人要在进行注册的设备前。成功登入后,企业应使用生物识别身份认证确保登录帐户的人与注册的人相同,以防止帐户被恶意接管。企业可以和身份验证服务提供商合作,利用先进的人工智能、生物识别、活体检测和欺诈分析技术,简化并自动化其KYC流程。
近些年,新技术催生了更多更难以识别、追踪和打击的金融欺诈案,而不断加强的反洗钱(AML)法规也提高了KYC程序运营成本,金融机构需要通过便捷的用户注册系统来降低运营成本。传统金融服务提供商需要多种不同的方案来识别用户身份并进行交易控制等操作,整套KYC方案复杂、低效且成本较高。同时,这些方案通常不适用于数字化环境下的远程线上开户。
此外,由于很多企业会借助数字银行等服务快速在全球范围内拓展业务,比如拓展业务到其他获客成本低的国家,希望在不确定的经济环境下保持竞争力和盈利性。因此,预计会有更多的公司和金融机构寻找具有全球覆盖能力的整合服务商,帮助他们节省跨区域多国市场的服务对接等成本,并从既可规模化又可定制化满足各国监管合规要求的灵活性服务中获益。
在部署身份验证解决方案时,企业还应评估内部是否存在其他可能增强安全性和/或用户体验的应用场景,来最大限度地提高投资价值。身份验证的准确性和整体用户体验也很重要,具有高准确性的自动身份验证解决方案可以大大缩短注册登录时间,从几天缩短到几分钟,从而改善用户体验并提高客户转化率。它还能帮助企业降低因错误拒绝率(FRR)/错误接受率(FAR)高而产生的人工审核与合规成本。
在加强身份欺诈防范方面,Jumio会采用各种AI驱动的方法对身份证件进行欺诈检查,确保数据和照片没有被篡改,包括采用基于面部的生物识别技术和先进的活体检测技术来检测复杂的欺骗攻击,如人脸互换和人脸变形。整个过程非常简单,只需拍一张身份证照片,然后自拍,即可在几秒钟内实现身份验证。用户旅程简便、快速,能够让合法使用者快速登录,同时将欺诈者拒之门外。在注册过程中加上被动风险信号也可以提供更多一层保障,例如,验证用户的个人身份信息(PII)、验证年龄、评估用户电子邮件和电话号码的信用级别、通过IP地址验证用户的位置,评估设备的可信度以评估用户的风险等级。
此外,欺诈者通常会以多个组织或消费者群体而非单一组织或个体为目标。因此,Jumio推出了新的欺诈分析技术,该技术利用AI驱动的预测分析来识别跨企业网络的欺诈模式,并在用户通过身份验证流程时准确预测发生欺诈的可能性,使企业客户能够在欺诈发生之前发现并及时阻止。Jumio通过整合的端对端身份验证和eKYC平台,即Jumio KYX平台,提供了一系列身份验证服务,从账户开立到持续监控,确保在线用户的真实身份,保护企业的生态系统,并且可以满足KYC/AML要求。
在Frederic Ho看来,企业必须在整个客户生命周期中采取端到端的方法,加强预防欺诈流程,仅在账户注册时验证客户身份是不够的。人们往往在多个账户和网站上使用同一组密码,增加了账户被盗的风险,这种风险贯穿于消费者的整个生命周期。虽然许多企业已经实施了多因子身份验证,如短信或电子邮件一次性密码,但这些方法已被证明容易受到网络攻击。由于合成身份欺诈和深伪图像造假带来的威胁与日俱增,依靠身份证件验证和核对政府数据库也已不再安全,企业应该考虑增加其他的验证技术。
生物识别、活体检测等方式可用于持续验证用户身份,这意味着它们可以帮助阻止各种类型的欺诈行为(如账户接管),并在整个客户旅程中监测任何可疑交易。当前,实施人工智能驱动的端到端身份验证解决方案变得更加重要。在区分机器生成和人类交互越来越具有挑战性的环境中,基于生物识别的身份确权和身份验证变得更加重要。为此,Jumio不断改进AI驱动解决方案,以领先于欺诈者。Jumio对身份证件的解剖结构进行深入分析,可以捕获人眼无法检测到的基于人工智能的欺诈。
尽管利用深度神经网络、反深伪检测等技术能够对新型欺诈行为进行有效抵御,但由于黑客技术也在快速迭代,使得这种对抗变成了一个长期的“猫鼠游戏”,此时,在数字经济时代建立一种成熟的信任机制就变得非常关键。诺贝尔经济学奖获得者、纽约大学斯特恩商学院保罗·罗默曾指出,在数字平台的发展中,信任和规则的建立同样重要。普华永道也认为,建立数字信任,不仅是一个优先事项,更是不可或缺之举。
Frederic Ho称,拥有强大安全措施的企业可以通过提供更可信、更安全的平台来获得竞争优势。通过与经验丰富的综合身份验证提供商合作,企业可以获得一整套在线身份验证解决方案,这些解决方案可以利用复杂的有效性检测工具、人工智能、计算机视觉、生物识别、持续监控和任何必要的人工审查,为验证远程用户和检测在线欺诈提供更快、更可靠的方法。
无代码业务流程引擎
Frederic Ho还提到要考虑人工智能和深度伪造技术的道德影响,随着网络攻击者不断调整策略并变得越来越复杂,法规也要不断发展,才能领先网络犯罪分子一步,“随着世界各地的政府机构持续参与应对此挑战的讨论,相信我们正走在通往更安全的数字环境的正确道路上,我们可以期待在不久的将来,政府、行业和企业之间会有更多的合作,来共同建立更强大的网络安全架构。”
如今,全球各个国家或地区都在建立数据相关的标准和法规,中国政府对数据安全的重视程度更是持续提升,先后发布《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规。2022年,国家互联网信息办公室、工信部和公安部制定的《互联网信息服务深度合成管理规定》明确,深度合成服务者应采取技术或人工方式对使用者的输入数据和合成结果进行审核。去年8月,国家互联网信息办公室在《人脸识别技术应用安全管理规定(试行)(征求意见稿)》中明确,人脸识别技术使用者应每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。在2023年《数字中国建设整体布局规划》中,也将数字安全屏障和数字技术创新体系并列为强化数字中国的“两大能力”。
可以说,企业和个人对数据安全的关注度在不断提高。从市场规模来看,中国安全产业市场和研发投入处于爆发式增长阶段。有数据显示,当前中国数字安全产业规模已达到千亿元,预计2028年有望突破万亿元,增速位列全球第一。随着亚太地区经济持续增长并带来众多商机,企业纷纷拓展业务,以争取更多的区域性客户。然而,欺诈和洗钱活动日益猖獗,规模不断扩大,加之监管法规日趋严格且各个国家地区的监管要求也各不相同,企业在中国市场的合规经验与方案大多数无法直接复用到新的市场,在区域化和国际化的业务拓展过程中,面临着更大的合规挑战。对此,Jumio预计会有越来越多的企业利用生成式AI实现合规流程的自动化并提高其效率,适应各国监管环境的动态变化,这些举措有助于快速部署,确保跨境监管合规。
与此同时,全球有关KYC和数据保护的合规要求也日趋复杂,不能适应这种变化的企业将面临巨大损失。为了应对这一挑战,很多企业不得不部署来自不同供应商的大量不同工具,以满足每个必要程序的具体要求。然而,很多企业已经意识到这种方法既昂贵又不能持久。此外,企业还要求身份验证工具能够提供流畅无缝的用户体验,以防止用户因用户体验不好而放弃使用服务。“我们正处于身份验证供应市场的转型时期,终端用户正在转向全面平台而非单一功能。2024年,我们将见证身份验证供应商之间的行业整合,这些供应商将面临合并、收购或被迫退出市场的局面。”丁娜娜说。
自2010年成立以来,Jumio通过实时的网页端和移动端交易,已累计处理10亿多笔交易,业务覆盖200多个国家和地区,并且在持续开发更智能的AI算法以强化欺诈检测。金融服务、共享经济、零售、旅游和在线游戏领域的企业正在广泛采用Jumio解决方案。同时,Jumio的创新实验室不断改进AI驱动解决方案,以领先于欺诈者,为企业发展保驾护航。
评论