隨著AI技術的飛速發(fā)展，遠程身份驗證系統(tǒng)正面臨著前所未有的挑戰(zhàn)。據(jù)iProov最新報告，一系列新型攻擊手段正不斷威脅著企業(yè)和個人的信息安全，遠程身份驗證系統(tǒng)的漏洞亟待彌補。

創(chuàng)新且易于獲取的工具讓威脅行為者一夜之間變得更加狡猾，由于新方法的出現(xiàn)，威脅向量的數(shù)量不斷增加。

雖然消費者身份欺詐一直備受關注，但2024年影響最大、損失最慘重的攻擊卻瞄準了勞動力遠程身份驗證系統(tǒng)。這種向企業(yè)目標轉移的趨勢揭示了一個令人擔憂的現(xiàn)象：威脅行為者正在利用遠程工作流程和企業(yè)通信渠道以造成最大影響。

通過瞄準遠程招聘流程、虛擬工作場所通信和高管視頻會議，攻擊者獲得的收益遠高于傳統(tǒng)消費者欺詐。這種從個人目標向組織目標的轉變，暴露出了勞動力身份驗證中的一個危險漏洞，而當前的企業(yè)安全框架難以應對這一漏洞。

遠程身份驗證系統(tǒng)攻擊的主要趨勢

原生攝像頭攻擊從2023年的試驗階段演變?yōu)?024年的主要威脅，增長率高達2665%，部分原因是主流應用商店被滲透。最令人擔憂的是，這些攻擊不需要對設備進行root或越獄，使得技術水平較低的威脅行為者也能輕易實施。

與2023年相比，換臉攻擊激增了300%，威脅行為者將重點轉向了使用活體檢測協(xié)議的系統(tǒng)。他們利用共享情報，利用各種換臉工具攻擊易受攻擊的系統(tǒng)。

2024年，又發(fā)現(xiàn)了31個在線威脅行為者團體，其中最大的一個有6400名用戶。網(wǎng)絡犯罪即服務生態(tài)系統(tǒng)不斷壯大，現(xiàn)在有近24000名用戶出售攻擊技術。圖像轉視頻轉換成為一種新的合成身份攻擊向量，其過程簡單，分兩步進行，可能對市場上許多活體檢測解決方案造成影響。

簡單的獨狼式攻擊已演變?yōu)橐粋€復雜的多行為者市場。iProov的報告強調了一種向長期欺詐策略轉變的趨勢，威脅行為者將盜竊、購買和合成衍生的身份嵌入到日常在線身份訪問點中。

一些最狡猾的攻擊使用潛伏戰(zhàn)術：代碼在長時間內(nèi)保持休眠狀態(tài)，悄悄準備對網(wǎng)絡造成破壞。相比之下，其他犯罪分子復制攻擊的速度比以往任何時候都快，在不同行業(yè)同時開展行動，并將其觸角伸向遠程工作系統(tǒng)和企業(yè)通信。

iProov首席科學官安德魯·紐厄爾博士表示：“例如，深度偽造技術的商品化和商業(yè)化對組織和個人構成了重大威脅。曾經(jīng)只有高技術水平的行為者才能實施的攻擊，如今由于一個易于訪問的工具和服務市場，低技術水平的行為者也能以最小的技術專長實現(xiàn)最大效果。”

針對遠程身份驗證的攻擊規(guī)模巨大，iProov發(fā)現(xiàn)多個向量的攻擊呈指數(shù)級增長，并且越來越關注高價值的企業(yè)目標。報告中的研究結果顯示，可能存在超過115000種潛在的攻擊組合。

合成身份欺詐的危險日益加劇

合成身份欺詐(SIF)是增長最快的欺詐類型，其影響尤為令人擔憂。這種復雜的欺詐方案結合了合法數(shù)據(jù)(如通常從兒童、老年人或已故人員那里盜取的有效社會保險號)和偽造的個人信息，以創(chuàng)建令人信服的虛假身份。

SIF之所以特別難以打擊，是因為它能夠規(guī)避傳統(tǒng)的欺詐檢測系統(tǒng)。與常規(guī)身份盜竊不同，在常規(guī)身份盜竊中，系統(tǒng)可以根據(jù)真實受害者的報告標記被盜信息，而SIF則創(chuàng)建了完全新的身份，這些身份同時包含了真實和虛假的元素。

紐厄爾博士表示：“隨著攻擊性工具的迅速增殖，安全措施難以跟上步伐。我們正在走向一個世界，在那里，人類眼睛無法判斷數(shù)字媒體的真實性，這不僅對傳統(tǒng)目標構成問題，而且對任何依賴數(shù)字媒體真實性建立信任的組織或個人都構成問題?！?/p>

靜態(tài)的、一次性的安全措施、集體的虛假安全感以及人為錯誤(最近一項iProov研究中，只有0.1%的參與者能夠可靠地區(qū)分真實內(nèi)容和虛假內(nèi)容)凸顯了當前防御措施的局限性。報告還強調，標準的檢測和遏制協(xié)議的發(fā)展速度跟不上威脅的發(fā)展速度，使組織在長時間內(nèi)處于脆弱狀態(tài)。

紐厄爾博士表示：“依賴過時的安全措施就像給欺詐者敞開大門一樣。要取得成功，就需要持續(xù)監(jiān)測、快速適應能力，以及在新型攻擊模式被廣泛利用之前檢測和應對它們的能力?！?/p>

對個人而言，欺詐的影響是顯著的，而對企業(yè)而言，則可能導致嚴重的財務損失。根據(jù)聯(lián)邦貿(mào)易委員會消費者哨兵網(wǎng)絡的數(shù)據(jù)，2023年因身份盜竊造成的損失超過100億美元，而企業(yè)因每次數(shù)據(jù)泄露而承擔的和解成本顯著超過3.5億美元。

快速、高效且經(jīng)過驗證的身份驗證的未來不在于單一技術或方法，而在于多層次、動態(tài)的策略。