当深度造假破坏了我们的信任时该怎么办

阅读量44184

发布时间 : 2024-01-30 11:58:27

深度造假和其他验证滥用行为的交叉正在破坏互联网信任,可能导致一连串不可阻挡的欺诈行为。但身份去中心化能拯救我们吗?

信任深深地植根于人类的心灵中,没有它我们将难以生存。当你去赶火车时,你相信火车会出现。如果您在网上购买每周一次的食品,您相信超市会在指定的日期送货。信任在我们的生活中是如此固有,以至于我们几乎没有注意到它……直到它崩溃。

确保信任得到维护是人类社会作为狩猎采集者和农民几千年来不断演变的过程。信任是如此重要,以至于可以将其描述为社会合作、公平和诚实的基础。

随着我们构建数字世界,信任已成为一个与现实世界一样重要的问题。但这种新的世界秩序伴随着人类缺乏处理经验的新世界问题。深度造假就在这里,它们通过破坏信任来威胁人类的灵魂。其交叉点是基于深度造假的验证滥用。

一些人认为去中心化将有助于解决深度造假和信任问题,但事实果真如此吗?还是说,随着信任的崩溃,我们都会陷入困境?

信任在数字世界中有多重要?

自从互联网成为日常生活的一部分以来,信任变得更加模糊。彼得·斯坦纳 (Peter Steiner) 的老漫画《在互联网上,没有人知道你是一只狗》于 1993 年 7 月 5 日首次由《纽约客》发表。三十年后,甚至连狗的身份都受到怀疑,而且很可能是深造的假货。

当互联网发展起来时,就对信任进行了技术尝试。随着数字证书和加密的出现,为互联网通信提供基础设施的底层协议(即 TCP/IP、DNS 和 HTTP)不断发展以涵盖可信通信。

信任显然是互联网不可或缺的一部分,因为它在我们的生活中变得无处不在,协议设计者和开发人员仍在努力确保软件和计算机系统之间的通信建立在技术信任层的基础上。加密、数字签名和身份验证是数字世界中信任的代理。

然而,即使在数字领域,信任也关乎人性,而技术信任只能走这么远。这就是网络钓鱼和社会工程如此成功的原因。与试图破解加密的门相比,窃取钥匙更容易,或者更好的是,欺骗某人自愿给你钥匙。

深度造假是下一轮社会工程,但这一次,它们也可以欺骗这些技术障碍。深度造假正在占据可信身份的核心——验证。

深度造假在哪里破坏了网络信任?

验证对于数字身份来说相对较新,并且是消费者/公民身份的复杂化。在企业身份可能依赖企业目录来检查员工的角色和状态的情况下,消费者/公民身份必须请求对个人进行验证。

这种验证可以来自各种来源,但通常采用身份文件检查的形式,例如护照、信用咨询机构检查 (CRA)、生物识别,以及最近使用开放银行或其他银行 API 的银行 ID。身份验证越来越多地在线进行,因此所有这些检查都是作为注册过程的一部分即时完成的。

那么,深度虚假身份是从哪里来的呢?让我们回到 20 世纪 60 年代,看看臭名昭著的骗子 Frank Abernarle。弗兰克冒充泛美飞行员和医生等职业,并利用这些“身份”骗取公司大量金钱。弗兰克通过扮演经过验证的人、具有该职业的特征来欺骗公司——换句话说,他创建了一个经过验证的身份。深度造假是一种现代方法,可以帮助生成可用于实施欺诈的相同经过验证的身份。

验证是在线信任的代表——深度造假通过伪装破坏了这种信任。使用深度造假来破坏信任现在已经成为一场应该引起警惕的海啸。 2023 年,估计有 50 万个视频和语音深度造假在社交媒体网站上被分享。

人工智能的繁荣创造了“廉价假货”,并警告称这将导致深度假货的泛滥。欺诈者正在使用这些廉价的假货和生成式人工智能来构建身份档案,并提供通过 KYC(身份验证)流程所需的文档。廉价的深度造假意味着欺诈者可以更轻松地将其在欺诈计划中的使用货币化,从而推动廉价的造假行业的发展,该行业将通过基于合成的“您”的欺诈活动淹没基于身份的交易。

合成身份并不是金融欺诈中的一个新概念,但近年来它已经达到了新的高度。汤森路透发现,在 KYC 检查期间出现的合成身份中有 95% 未被检测到。使用验证服务规避合成身份诈骗的一种方法是将生物识别技术纳入流程中,即面部识别和活力测试。然而,深度造假被用来在验证过程中欺骗面部识别。

验证越来越多地扩展到集成历史数据来构建配置文件,该配置文件创建更丰富的身份而不是快照身份。然而,深度伪造的 KYC 流程将增加一层新的混淆和欺骗。反深度造假的最新策略之一是身份去中心化。

利用信任,总是虚假的

身份去中心化带来了大规模信任和用户控制下的数据的承诺。为了促进去中心化身份,W3C开发了一种架构和数据模型。 W3C 指出,“本规范中定义的去中心化标识符(DID)是一种新型的全球唯一标识符。它们旨在使个人和组织能够使用他们信任的系统生成自己的标识符。”

去中心化身份的基础是可验证的凭证,即已经过验证并存储在区块链上(通常)的身份数据,因此是某人“人性”的不可变衡量标准。

一些人还声称人工智能可用于检测已验证凭据的滥用情况,以确保它们不会被劫持并用于欺诈。去中心化身份的倡导者强调使用身份钱包来存储与身份相关的物品,例如教育证书,甚至 NFT,以增加对数字身份的进一步信任,即建立一个人的图片,而不仅仅是他们的姓名、地址和年龄。

我的问题是,什么可以阻止欺诈者创建去中心化身份?如果如此多的信任去中心化身份的概念,那么如果欺诈者利用这个平台开发深度虚假ID,信任将被真正打破。假设欺诈者研究出如何生成深度伪造的经过验证的凭据,以及规避或劫持针对这些经过验证的凭据的检查的方法。在这种情况下,他们将拥有一个可信但虚假的身份来利用”,“利用信任,总是虚假”的新口号将克服“从不信任,总是验证”的任何零信任口号。

经过验证但去中心化的身份是一个伟大的概念,但我们必须避免认为它是信任的灵丹妙药。身份随着时间的推移而改变。去中心化的身份及其经过验证的凭证必须始终是动态的,并且应该始终经过验证,但这是否违反了去中心化的规则?也许去中心化这个词并不适合描述这些系统;也许在网络世界中去中心化的整个想法是不可能的。

最近,包括 Bruce Schneier在内的 1500 多名专家签署并发送给美国国会的一封信,表达了对区块链技术和欺诈的深切担忧。

“为公众服务的金融技术必须始终具有减少欺诈的机制,并允许人在循环中逆转交易;区块链两者都不允许。”

减少欺诈行为必须扩展到深度造假,因为它们渗透到我们为安全在线交易而构建的可信世界中。

网络依赖是新的网络弹性

信任就是依赖——你能相信这些信息是真实的吗?网络依赖是新的网络弹性,也是在人们身份方面保持信任的必备要求。这是世界必须克服的全新挑战。就像社会工程的网络安全等价物一样,使用深度伪造来控制和操纵我们的现实不会是单点修复。

包含经过验证的凭据的数字钱包仍然可以被利用,无论是深度伪造还是通过身份木马。与互联网先驱一样,这一解决方案将是多层次的,将各种解决方案的功能结合在一起,以构建一个人的持续图像。

即便如此,我们也应该预料到欺诈者会找到一种方法来规避我们的最大努力,尽管我很久以前就了解到,安全是为了降低风险,而不是完全阻止攻击。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66