騙徒以deepfake繞過客戶身份認證

近年AI在各方面都取得飛躍性發展,連騙徒也趕上這股潮流,透過AI生成數碼複製繞過金融機構的Know Your Customer (KYC)步驟,建立帳號處理盜竊得來的資金,即是進行洗黑錢的活動。

甚麼是KYC?

KYC是金融界經常用來核實用戶身份的方法,以對付不同的違法金融活動,包括詐騙、洗黑錢、逃稅、資助恐怖主義等等,在遙距的服務中借助生物身份認證系統,使客戶在網上登記時無需親身與金融機構的員工接觸,這個步驟一般會要求客戶上載他們的文件和自拍照,很多時都要求手持文件拍攝,另外,要求客戶打開智能電話攝影機,跟隨指示把頭轉到不同方向,也是近年逐潮流行的保安考量。

這種方法有時也會用來核實交易,通常是防止因某種方式被盜的靜態照片被用作身份驗證,可惜犯罪份子已經找出繞過這種防護機制的方法,那就是使用deepfake。

AI工具進行詐騙

在不久前一家專門偵測deepfake的初創公司發佈了一份報告,指出了幾種最經常被網絡犯罪份子惡意使用AI生成的內容,報告提到專家找到10,206種照片生成工具,2298種影片移花接木和生成數碼頭像工具,以及1018種生成或複製聲音的工具,並且特別提到專門用來繞過KYC的工具也有47種,這些工具讓網絡犯罪份子創建數碼複製成功繞過客戶身份認證,結果騙徒可以在金融機構遙距建立帳號,包括銀行、加密貨幣交易所、支付系統等等,這些帳號會在稍後時間被用作不同的犯罪活動,主要是直接的金融詐騙,也有非法活動得來的洗黑錢活動。

數碼複製商店

近日有媒體報導有地下網站出售照片和影片去繞過KYC,據報導內裡有一系列的收藏,主要是在低發達國家支付少量金錢(5至20元)去進行攝影,然後把內容出售結感興趣的人士,收藏範圍甚廣,包括不同年齡層、性別和種族,而網站的服務也不昂貴,記者購買了一套含有身穿不同服裝的照片和影片只需30美元,還包括手持白色卡或白色紙的照片,方便以文件或身份證進行替換。網站的服務也照顧周到,設有用戶的購後評語、最少被購買的照片和影片更有特別的符別標記,新的收藏則最容易成功繞過防詐騙系統的檢查,而且還接受按需要的訂購,不過費用也比較高。

AI生成假文件

記者也發現另一個網站專門出售利用AI生成的假文件仿真照片,據專門防詐的專家表示,部份服務會出售假文件、照片和影片,而且AI工具令騙徒製作這些內容變得輕鬆,數年前真人處理黑錢、開啟帳號、交易和提取現金是犯罪活動的最大弱點,現時犯罪份子無需再冒風險親身進行互動,只需要製作一些數碼複製,再找容許遙距開戶的金融服務,然後就可以完全遠距離進行交易。

KYC的未來

隨著繞過現時KYC程序越來越簡單,將來可能導致兩個結過,一個是金融機構推出額外機制去核實遙距客戶提供的照片和影片,主要檢測人工智能偽造的跡象,第二個是監管者可能收緊遙距金融操作的要求,簡單方便的網上理財服務可能會受到影響,因為受到人工智能的威脅。可惜問題不止於此,專家已提出隨著AI工具廣泛利用作生成照片、影片和聲音內容,從根本上破壞了人與人之間的數碼互動信任,人工智能的創作品質越高,就越難相信在智能電話或電腦上看到的東西。

資料來源:Kaspersky Blog