Cato CTRL のセキュリティ研究者は最近、サイバー犯罪者の地下組織でディープフェイク ツールを販売している脅威アクター ProKYC を発見しました。このツールは、脅威アクターがアカウント詐欺攻撃を実行するために 2 要素認証 (2FA) を回避するのに役立ちます。 販売されているツールは、暗号通貨取引所をターゲットにするようにカスタマイズされています。具体的には、政府発行の文書を活用し、コンピューターのカメラで顔認識を実行できるようにすることで、新規ユーザーを認証する取引所です。これは、サイバー犯罪者から肯定的なフィードバックを得ているツールです。 認証の課題を克服することで、脅威アクターはこれらの取引��所で新しいアカウントを作成できます。これは、新規アカウント詐欺 (NAF) として知られています。検証済みだが合成のアカウントを作成すると、マネー ロンダリング操作、ミュール アカウント、およびその他の形式の詐欺が可能になります。 AARPによると、2023年の新規アカウント詐欺による損失は53億ドルを超えています(2022年の39億ドルから増加)。
ProKYCは、特に金融機関を標的とする新たなレベルの洗練度を示す脅威アクターです。このブログには、ProKYCのディープフェイクツールのデモが含まれており、アカウント詐欺攻撃の潜在的な検出、緩和、および防止手法の概要が示されています。
多要素認証(MFA)では、通常、ワンタイムパスワード(OTP)に焦点が当てられます。ただし、MFAは、ユーザーが知っていること(パスワードなど)、ユーザーが持っているもの(スマートカードなど)、ユーザー自身(指紋など)の3つの要素で構成されています。私たちはほぼ毎日2FAに遭遇しますが、必ずしもOTPの形ではありません。
そのような例の1つは、ATMからお金を引き出すときです。 2FA を実行しています。ATM カード (持っているもの) を挿入し、PIN コード (知っているもの) を入力します。国境検査を通過するときも同じです。パスポート (持っているもの) を提示し、係員があなたを見て、写真に写っているのがあなたであることを確認します (あなたが誰か)。リストは続きます。サイバー犯罪者は、偽造文書や資格情報を使用して、何十年も 2FA を破ろうとしてきました。しかし、AI を利用したツールは、これらの取り組みを新たなレベルに引き上げています。過去には、詐欺師はダーク ウェブで偽造文書を購入していました。これらは通常、スキャンされた文書の形で、品質は販売者によって異なります。これらの製品の一部はまだ提供されていますが、今日の認証テストに合格しない可能性があります。また、認証者が顔認識テストを実行するように要求した場合の解決策も提供されていません。そこで登場するのが ProKYC のディープフェイク ツールです。 ProKYC のディープフェイク ツールは、これらの障害を克服する手段としてサイバー犯罪者の地下世界で販売されています。このツールはディープフェイク テクノロジーを使用して、偽の文書を作成するだけでなく、これらの文書内の偽の人物のビデオを作成し、顔認識チャレンジに合格します。ProKYC が提供するビデオでは、購入希望者は、このツールが ByBit (暗号通貨取引所) に対してどのように機能するかのデモを見ることができます。 1. 脅威アクターは、偽の資格情報と偽の人物画像を作成します。AI 生成の顔の作成は今や商品化されており、thispersondoesnotexist.com などのサイトでこの機能が紹介されています。 1. 脅威アクターは、これらの資格情報を、政府発行の文書のように見えるものに適用します。この場合は、オーストラリアのパスポートです。その結果、数秒で作成された高品質の偽造品が完成します (ダーク ウェブでサイバー犯罪者に偽造文書を注文した場合とは対照的です)。このツールは、本物のオーストラリアのパスポートと同じように、写真の上に「公式」スタンプが表示されるなど、細かい点にも注目しています。 1. 脅威アクターは偽の写真を使用してビデオを作成します。ビデオは、人物の頭を左右に動かすという顔認識システムの指示に従うように設計されています。ビデオをよく見ると、いくつかの欠陥(目など)とビデオの最後に小さなビデオの不具合があることに気付くでしょう。ただし、これらは顔認識システムによって無視される可能性があります。厳しすぎて、たとえばインターネット接続が遅いために複数の誤検知アラートを作成する可能性があるシステムは望ましくありません。 1. 脅威アクターはアカウント詐欺攻撃を開始します。暗号通貨取引所(この例では ByBit)に接続します。偽造されたオーストラリアのパスポートをアップロードします。次に、顔認識を実行するためにコンピューターのカメラを開くように求められます。その代わりに、このツールは、カメラの入力であるかのように作成したビデオを接続できるようにします。 1. これらすべての手順を実行し、パスポートとビデオの両方が分析されるまで数分待った後、アカウントが検証されたことが攻撃者に通知されます。
技術的なレベルでは、アカウント詐欺攻撃の検出は困難です。 前述のように、非常に制限の厳しい生体認証システムを作成すると、多くの誤検知アラートが発生する可能性があります。 一方、制御が緩いと詐欺が発生する可能性があります。
文書、画像、またはビデオが偽造されていることを示すさまざまな兆候があります。 1 つの例は画像の品質です。 非常に高品質の画像、特にビデオ (デモのものなど) は、デジタルで偽造されたファイルを示しています。 別の例としては、生体認証中に顔のパーツに不具合があり、目と唇の動きが一貫していないことが挙げられます。 これらは疑わしいものとして扱い、人間が手動で検証する必要があります。
AI はメディアで大いに宣伝されていますが、脅威アクターはかなり前からディープフェイク技術の使用を完璧にしてきました。
組織は AI の脅威から身を守るために何ができるでしょうか? Cato CTRL は、ヒューマン インテリジェンス (HUMINT)、オープンソース インテリジェンス (OSINT)、その他の手段から脅威インテリジェンスを収集し、最新のサイバー犯罪の傾向を把握しておくことを推奨しています。
脅威アクターは進化を続け、新しいディープフェイク テクノロジーやソフトウェアを有利に利用する方法を見つけていきます。Cato CTRL は、組織が最新の脅威に気付くよう、これらの調査結果を引き続き共有していきます。