国外媒体报道,在2月17日德国慕尼黑的一次安全会议上,包括亚马逊、谷歌、IBM、LinkedIn、McAfee、Meta、Microsoft、OpenAI、Snap、TikTok和X等20 家世界领先的科技公司宣布,将联合打击“深度伪造”信息。
会上,他们集体签署一项技术协议,以抵制欺骗性的人工智能生成的内容,减少欺骗性人工智能内容的生成及其带来的风险,并同意在各自的平台或产品提出解决方案。该协议还承诺,将与全球组织和学术界合作,让公众和媒体意识到人工智能生成的欺骗内容的危险。
毕马威最近的一份报告显示,在线提供的“深度伪造”视频同比增长了900%。埃隆·马斯克(Elon Musk)、两位BBC主持人、YouTube红人野兽先生(Mr Beast)以及流行歌星泰勒·斯威夫特(Taylor Swift)都因在诈骗视频中伪造身份而成为受害者。
“AI深度伪造”带来的挑战
“深度伪造”是一种使用人工智能技术生成虚假视频的技术,可以将任何人的脸部或身体图像合成到另一个人的视频中,从而产生逼真的假视频,使诈骗更加真实和令人信服。“深度伪造”还能轻易模仿人们熟悉的声音、语调、口音和说话风格,使受害者难以分辨真伪。
就在两周前,香港一家跨国公司员工遭遇“深度伪造”诈骗,损失2亿港元。该员工收到一封伪装成公司总部CFO的电子邮件后,被邀请参加视频会议。会议中,除了该员工外,其他人均为“深度伪造”技术制作的虚假影像。诈骗分子利用这种方式,指示员工转账2亿港元至五个银行账户。事后员工才发现上当受骗,但资金已被迅速转走。
另外的一起案件发生在数月前,中国驻美国使馆发言人证实,一名疑似遭绑架的中国留学生实际上遭遇了“虚拟绑架”诈骗。AI技术让电信诈骗分子能轻易模仿目标人的视频、声音等,使骗局更加难以识别。诈骗分子利用AI篡改来电显示、模拟声音,甚至制作虚假视频,让骗局更难识破。电信诈骗分子利用社交媒体搜集个人信息,编造故事,引发受害者恐慌并诱导支付资金。
识别“深度伪造”的欺骗信息是一大难题。不仅肉眼无法有效识别,一些常规的检测工具也不能及时发现。顶象防御云业务安全情报中心此前预测,2024年业务欺诈风险将有五大趋势:AI带来的新攻击成倍增加、账号和身份更难以甄别、爬虫盗取数据依旧疯狂、账号盗窃冒用将更加普遍和难以防范、内部数据泄露。
识别“AI深度伪造”欺诈内容的策略
在“深度伪造”欺诈内容愈加猖獗时代,识别与防范变得越来越重要。
增加生物与活体验证。采用活体验证方法,利用先进的生物识别技术,如面部识别,结合运动分析和红外扫描,在一定程度上发现“深度伪造”的视频。
增加数字签名验证。数字签名和区块链账本具有唯一性,可以对行为来源跟踪,并对其进行标记以供审查。
增加设备与操作验证。基于曾有过身份验证或识别的设备,对设备信息、地理位置以及行为操作进行比对识别,能够发现并防范操作“深度伪造”的行为异常。
顶象设备指纹是指通过收集和分析设备的硬件、软件和行为数据,对每个设备进行唯一标识和识别的技术,识别出虚拟机、代理服务器、模拟器等被恶意操控的设备,分析设备是否存在多账号登录、是否频繁更换IP地址、频繁更换设备属性等出现异常或不符合用户习惯的行为,帮助追踪和识别欺诈者的活动。通过对设备指纹的记录和比对,可以辨别合法用户和潜在的欺诈行为。
增加账号验证频次。账号异地登录、更换设备、更换手机号、休眠账户突然活跃等等,需要加强频繁验证。此外,会话期间的持续身份验证至关重要,保持持久性检查以确保用户的身份在使用期间保持一致。
顶象无感验证可以快速准确地区分操作者是人还是机器,精准识别欺诈行为,实时监控并拦截异常行为。用户在进行登录、注册等操作时,无需繁琐地输入操作和验证码识别,即可快速完成身份验证。这不仅提高了用户体验的便捷性和流畅性,还大大降低了因人为操作失误导致的风险。由于顶象无感验证基于AIGC技术,能够防止暴力破解、自动化攻击和钓鱼攻击等威胁,有效防止未经授权的访问、账户被盗用和恶意操作。
增加反欺诈系统验证。基于人工审查与AI技术相结合的反欺诈系统,能助力企业提升反欺诈能力。例如,顶象Dinsight实时风控引擎日常风控策略的平均处理速度在100毫秒以内,聚合数据引擎,集成专家策略,支持对现有风控流程的并行监测、替换升级,也可为新业务构建专用风控平台;聚合反欺诈与风控数据,支持多方数据的配置化接入与沉淀,能够进行图形化配置,并快速应用于复杂策略与模型;能够基于成熟指标、策略、模型的经验储备,以及深度学习技术,实现风控自我性能监控与自迭代的机制;集成专家策略,基于系统+数据接入+指标库+策略体系+专家实施的实战;支持对现有风控流程的并行监测、替换升级,也可为新业务构建专用风控平台。
减少社交媒体的敏感信息分享。减少或者杜绝在社交媒体上分享账户服务、家庭家人、交通出行、工作岗位等敏感信息,防范欺诈分子盗用下载后,进行图片和声音的深度伪造,而后进行身份伪造。
加强公众安全培训与教育。持续对公众进行深度伪造技术及其相关风险的教育至关重要。通过模拟练习,模仿网络钓鱼和深度伪造攻击,鼓励公众保持警惕并快速报告异常情况,也可以显著提高组织检测和响应“深度伪造”威胁的能力。
技术在不断发展,新的欺诈也在不断涌现。尽可能随时了解AI和深度伪造技术的最新发展,以相应地调整保障措施。
业务安全产品:免费试用
业务安全交流群:加入畅聊