AI换脸攻击激增300%!你视频会议里的领导同事可能都是伪造的

admin 2025年3月5日20:03:15评论13 views字数 2108阅读7分1秒阅读模式

关注我们

带你读懂网络安全

AI换脸攻击激增300%!你视频会议里的领导同事可能都是伪造的

最新报告显示,视频通话中的AI换脸攻击事件数量在2024年激增300%,有多家企业因此损失惨重,甚至包括安全意识培训厂商;

实时人脸伪造技术快速普及,犯罪生态迅猛扩张,2024年已发现31个新团伙在出售相关身份验证欺诈工具;

企业需要改造安全意识培训内容,增加此类攻击培训。

前情回顾·深度伪造威胁态势
安全内参3月5日消息,过去一年里,全球曝光的一系列深度伪造诈骗案例可能只是冰山一角。据统计,通过伪造人脸对在线会议发起攻击的事件在2024年激增300%。
人脸识别身份验证厂商iProov在2024年度威胁情报报告中披露了这一数据。该报告描述了一个迅速发展的生态系统:骗子们利用日益先进的AI深度伪造技术,欺骗受害者并绕过身份验证系统。

AI换脸攻击数量暴涨,

多个企业损失惨重

报告称,人脸替换攻击(即攻击者在实时通话中使用深度伪造技术更换自己的脸,以欺骗受害者)的数量激增300%。正是这种手法,让某家公司去年损失了2500万美元。
iProov还表示,追踪到针对移动Web应用的注入攻击增长了783%。此类攻击通过向身份验证软件注入伪造的视频摄像头画面及其他数据,以绕过基于人脸识别的身份验证系统。同时,利用虚拟摄像头软件进行此类诈骗的攻击激增了2665%。
市面上有许多合法的虚拟摄像头软件,普通用户通常用它来替换笔记本电脑自带的摄像头画面,例如在视频通话时使用美颜应用。然而,不法分子也可以滥用这些软件,利用AI假扮他人。由于视频画面是由其他应用生成,并通过虚拟摄像头软件注入,检测难度大幅增加。
iProov首席科学官Andrew Newell表示:“这种趋势的规模令人震惊。”该公司目前已经追踪到120多种可用于实时视频通话换脸的工具。他还说:“结合各种注入方法和传播机制,我们正面临超过10万种潜在的攻击组合。”
在他看来,这对许多声称能够检测并防御深度伪造攻击的传统安全框架构成了严重挑战。甲方客户不应依赖单一防御手段,而应整合“多层防御机制”。
实时视频身份伪造攻击的激增也令人担忧。几年前,实时深度伪造技术尚易被识破,但如今,随着强大AI工具的涌现,过去那种要求视频通话参与者侧脸转头,以暴露伪造痕迹的方法,已变得不再可靠。
看看去年的KnowBe4事件就知道了。KnowBe4是一家专门培训客户如何防范社会工程攻击的美国安全公司,结果却被一名伪装成IT求职者的朝鲜网络犯罪分子骗过,即便该公司曾多次与这名骗子进行视频面试。
KnowBe4承认:“这确实是一个真人,他使用了一份合法但被盗的美国身份,而他的照片经过AI‘增强’。”

实时人脸伪造技术快速普及,

犯罪生态迅猛扩张

过去,这类技术可能仅限于某些国家级黑客组织掌握,但如今,针对黑市买家的在线市场正在快速扩张。据称,仅在2024年,iProov就发现了31个新团伙在出售身份验证欺诈工具。
iProov表示:“这个生态系统的用户总数已达34965人。其中9个团伙的成员超过1500人,规模最大的团伙已扩展至6400人。”
Newell进一步指出:“犯罪即服务市场是深度伪造威胁的主要推动力。它极大地扩大了攻击面,使得原本需要高技术门槛的攻击手法变得大众化。”
简而言之,我们正在进入一个新阶段:深度伪造攻击正在像钓鱼工具包和可直接部署的恶意软件一样,被大众化,成为网络犯罪分子的常规武器。几年前,网络安全研究人员还在讨论深度伪造是否会发展到能与钓鱼诈骗相提并论的程度。而如今,尽管这一问题仍然值得探讨,Newell指出,为了获取更大利润,网络犯罪分子可能会越来越倾向于使用深度伪造技术。
Newell表示:“钓鱼攻击仍然是一个严重威胁,对攻击者而言,它可能比入侵身份系统更省力。然而,一旦成功攻破身份系统,潜在危害要大得多。”

安全意识培训需要改造

如果你觉得拼写错误的钓鱼邮件已经足够欺骗普通用户了,那深度伪造视频的欺骗性可能更强,且更难以识别。
上个月发布的另一项研究表明,识别深度伪造的难度比想象中更大。iProov设计了一项在线测试,以评估人们识别深度伪造的能力,测试内容包括静态图像和实时视频。在英国和美国的2000名受测者中,只有0.1%,即2人,答对了全部10道题。而且,这还是在他们已经知道自己要识别伪造内容的情况下。在现实场景中,人们面对深度伪造时,可能更难保持警惕。
iProov首席执行官兼创始人AndrewBud在谈及此项研究时表示:“即便人们怀疑某个内容是深度伪造,我们的研究显示,绝大多数人什么都不会做。”iProov还指出,只有25%的人会在怀疑遇到深度伪造时主动查找更多信息,而仅11%的人会仔细分析信息的来源和背景,以判断是否存在风险信号。
换句话说,你又多了一项需要培训员工防范的安全风险了。

参考资料:theregister.com

原文始发于微信公众号(安全内参):AI换脸攻击激增300%!你视频会议里的领导同事可能都是伪造的

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月5日20:03:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   AI换脸攻击激增300%!你视频会议里的领导同事可能都是伪造的https://cn-sec.com/archives/3801166.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息