網(wǎng)絡(luò)安全專業(yè)人員已經(jīng)對數(shù)據(jù)泄露以及如何最好地保護他們的雇主免受攻擊而失眠?，F(xiàn)在他們有另一個噩夢要強調(diào)——如何發(fā)現(xiàn)深度偽造。

Deepfakes 是不同的，因為攻擊者可以輕松地使用數(shù)據(jù)和圖像作為武器。使用 deepfake 技術(shù)的人可以是組織內(nèi)部和外部的人。

攻擊者如何使用 Deepfake 攻擊

2021 年初，聯(lián)邦調(diào)查局發(fā)布了關(guān)于合成內(nèi)容（包括深度偽造）威脅日益增加的警告，將其描述為“生成或操縱的廣泛數(shù)字內(nèi)容，包括圖像、視頻、音頻和文本”。人們可以使用 Photoshop 等軟件創(chuàng)建最簡單類型的合成內(nèi)容。Deepfake 攻擊者使用人工智能 (AI) 和機器學(xué)習(xí) (ML) 等技術(shù)變得越來越老練。現(xiàn)在，這些可以創(chuàng)建逼真的圖像和視頻。

請記住，攻擊者從事網(wǎng)絡(luò)盜竊業(yè)務(wù)是為了賺錢。勒索軟件往往會成功。因此，他們將 deepfakes 用作新的勒索軟件工具是合乎邏輯的舉措。在共享勒索軟件的傳統(tǒng)方式中，攻擊者通過嵌入誘人的 deepfake 視頻的惡意軟件發(fā)起網(wǎng)絡(luò)釣魚攻擊。還有一種利用深度偽造的新方法。攻擊者可以向人們或企業(yè)展示各種非法（但虛假）的行為，如果圖像公開，這些行為可能會損害他們的聲譽。支付贖金，視頻將保持私密。

除了勒索軟件，合成內(nèi)容還以其他方式使用。威脅行為者可能會將數(shù)據(jù)和圖像武器化以散布謊言并欺騙員工、客戶和其他人，或勒索他們。

攻擊者可能會同時或單獨使用所有這三種攻擊方式。請記住，騙局已經(jīng)存在很長時間了。網(wǎng)絡(luò)釣魚攻擊已經(jīng)非常無情地試圖欺騙用戶。然而，防御者并沒有對 AI/ML 的興起給予足夠的關(guān)注，以傳播錯誤信息和勒索策略。如今，攻擊者甚至可以使用旨在從真實照片和視頻中創(chuàng)建色情圖片的應(yīng)用程序。

防止 Deepfake 攻擊

用戶已經(jīng)被網(wǎng)絡(luò)釣魚攻擊所欺騙，因此對于普通用戶來說，深度偽造的網(wǎng)絡(luò)釣魚嘗試將更加難以檢測。網(wǎng)絡(luò)安全意識培訓(xùn)是任何良好安全計劃的必要條件。確保它包括如何辨別真假。

這比您想象的要容易。這些攻擊背后的技術(shù)很好，但并不完美。在一次網(wǎng)絡(luò)研討會上，F(xiàn)akeNet.AI 和 Etay Maor 的首席執(zhí)行官、Cato Networks 安全戰(zhàn)略高級總監(jiān) Raymond Lee 解釋說，面部特征很難完美，尤其是眼睛。如果眼睛看起來不自然或面部特征的運動似乎不正常，則很有可能是經(jīng)過修改的圖像。

最佳實踐也適用于此

另一種從真實中檢測深度偽造的方法是使用網(wǎng)絡(luò)安全最佳實踐和零信任理念。驗證您看到的任何內(nèi)容。兩次和三次檢查消息的來源。如果可能，請進行圖像搜索以找到原始圖像。

當(dāng)涉及到您自己的圖像時，請使用數(shù)字指紋或水印，這會使其他人更難以從中創(chuàng)建合成內(nèi)容。

總體而言，現(xiàn)有的防御系統(tǒng)將努力防止 Deepfake 網(wǎng)絡(luò)釣魚和社會工程攻擊。Deepfakes作為攻擊媒介仍處于早期階段，因此網(wǎng)絡(luò)安全團隊的優(yōu)勢在于隨著工具的改進做好防御準備。失眠真的應(yīng)該少一件事。