信息化觀察網

本文來自微信公眾號“GoUpSec”。

多年來，生物識別技術被宣傳為終極身份驗證手段，因為每個人的面部、指紋和虹膜信息都獨一無二且難以被偽造。然而，隨著人工智能技術的井噴式發(fā)展，生物識別技術，尤其是人臉識別技術正面臨巨大威脅。

近日，網絡安全公司Group-IB發(fā)現了首個能夠竊取人臉（識別數據）的銀行木馬程序，被用于竊取用戶的個人身份信息和電話號碼，以及面部掃描信息。然后，這些圖像被換成人工智能生成的深度造假圖像，可以輕松繞過銀行APP的人臉識別認證。

研究人員透露，該“人臉劫持“木馬本月早些時候在越南被使用，攻擊者誘使受害者進入惡意應用，讓他們進行面部掃描，然后從其銀行賬戶中取走了約4萬美元資金。

Group-IB亞太威脅情報團隊的惡意軟件分析師Sharmine Low在一篇博客文章中透露：“黑客開發(fā)了一種專門用于收集面部識別數據的新型惡意軟件家族。此外他們還開發(fā)了一種工具，可以使受害者與偽裝成銀行呼叫中心的網絡犯罪分子直接進行交流。”

防不勝防的“人臉劫持“木馬攻擊

Group-IB研究團隊最新發(fā)現的這個能夠“劫持人臉“的全新木馬程序代號GoldPickaxe.iOS，專門針對iOS用戶，它可以攔截短信并收集面部識別數據和身份證明文件。黑客可使用這些敏感信息創(chuàng)建深度偽造內容，將合成面孔替換為受害者的面孔，未經授權訪問受害者的銀行賬戶。

研究者指出，GoldPickaxe由一個名為GoldFactory的大型中文黑客組織開發(fā)，基于該組織此前開發(fā)的安卓銀行木馬GoldDigger，GoldPickaxe是該系列木馬中首個支持iOS設備的變種此前僅支持安卓設備）。

GoldFactory木馬的演進時間線來源：Group-IB

GoldPickaxe.iOS的分發(fā)方案尤其值得注意，最初黑客利用蘋果的移動應用程序測試平臺TestFlight來分發(fā)惡意軟件。被TestFlight剔除后，黑客轉而采用更復雜的多階段社會工程計劃來說服受害者安裝移動設備管理（MDM）配置文件。這使得黑客能夠完全控制受害者的設備。

GoldFactory的常見攻擊策略是組合使用短信轟炸和網絡釣魚技巧，并經常偽裝成政府服務代理（包括泰國政府服務，如泰國數字養(yǎng)老金和越南政府信息門戶網站）。研究人員稱，這些木馬程序目前主要針對亞太地區(qū)的老年人，但也有一些“跡象”表明該團伙正在向其他地區(qū)擴張

銀行APP的噩夢

目前，“人臉劫持“木馬攻擊在泰國的成功率很高，因為該國現在要求用戶通過面部識別而不是一次性密碼(OTP)確認大額銀行交易（超過5萬泰銖）。同樣，越南國家銀行也表示有意從今年4月開始強制所有匯款進行面部認證。

在泰國，黑客將GoldPickaxe.iOS偽裝成一個領取養(yǎng)老金的應用程序。受害者在使用該程序時被要求拍攝自己的照片和身份證照片。在iOS版本中，人臉劫持木馬程序甚至還會向受害者發(fā)出一些人臉信息采集指令，例如眨眼、微笑、左右轉動頭部、點頭或張嘴。

被竊取的用戶面部視頻隨后被用作換臉人工智能工具創(chuàng)建深度造假視頻的原材料，黑客利用這些深度偽造視頻可以輕松地冒充受害者進入銀行應用程序。

研究人員指出：“這種方法通常用于創(chuàng)建受害者的綜合面部生物特征檔案，這是在其他欺詐活動中沒有觀察到的新技術”。

人臉識別真的要完？

“人臉劫持“木馬的出現標志著生物識別威脅已經成為現實。根據iProov最新發(fā)布的威脅情報報告，2023年換臉深度造假攻擊暴增了704%。這家生物識別認證公司還發(fā)現，欺騙工具使用的深度偽造媒體增加了672%，使用模擬器（模仿用戶設備）和欺詐內容發(fā)起的數字注入攻擊增加了353%。

iProov的首席科學官Andrew Newell表示，生成式人工智能為大幅提升了黑客“生產力水平“。他指出：“這些工具成本相對較低，易于訪問，可以用來創(chuàng)建高度令人信服的合成媒體，例如換臉或其他形式的深度偽造內容，很容易欺騙人類的眼睛以及過時的生物識別解決方案。”

Gartner預測，到2026年，30%的企業(yè)將不再信任生物識別工具的可靠性。Gartner副總裁分析師Akif Khan指出：“隨著真假難辨的深度偽造泛濫，企業(yè)可能會開始質疑（生物識別）身份驗證和認證解決方案的可靠性。”

此外，有些人認為生物識別比傳統(tǒng)登錄方法更危險——用戶獨特的生物特征一旦被盜可能會永遠暴露和失效，因為用戶無法像更改密碼或通行密鑰那樣更改這些生物特征。

如何保護自己免受生物識別攻擊

Group-IB提供了一些建議來幫助用戶避免生物識別攻擊，包括：

●不要點擊電子郵件、短信或社交媒體帖子中的可疑鏈接。

●僅從官方平臺（如Google Play商店或Apple App Store）下載應用程序。

●如果必須下載第三方應用程序，請“謹慎行事”。

●安裝新應用時仔細查看請求的權限，當他們請求輔助功能服務時“要格外警惕”。

●不要將未知用戶添加到社交應用中。

●如果存疑，請直接致電銀行，而不是點擊手機屏幕上的銀行警報窗口。

此外，安全專家還建議用戶注意手機是否存在感染惡意軟件的跡象:

●電池電量消耗加快、性能下降、數據使用異常或過熱（表明惡意軟件可能在后臺運行并消耗資源）。

●出現未曾下載安裝的陌生應用程序（一些惡意軟件會偽裝成合法應用程序）。

●某些應用程序突然增加權限。

●奇怪的行為，例如手機自行撥打電話、在未經同意的情況下發(fā)送消息或在沒有輸入的情況下訪問應用程序。