企业如何应对深度伪造的挑战
企业如何应对深度伪造的挑战
深度伪造技术的快速发展为企业和个人信息安全带来了前所未有的挑战。从金融欺诈到网络钓鱼,深度伪造技术正在以惊人的速度演进,给企业和个人带来了巨大的安全风险。本文将探讨深度伪造技术带来的主要问题,并分析企业如何通过技术创新和协作,构筑起针对深度伪造的多重防线。
图源:CNN world
前言
2024年2月4日,CNN报道了一起震惊全球的深度伪造诈骗案。英国工程公司ARUP的财务人员在视频电话会议中被骗子骗取2500万美元。骗子使用深度伪造技术冒充该公司的首席财务官。这名员工在收到一封据称来自该公司驻英国首席财务官的邮件后产生了怀疑。起初,这名员工怀疑这是一封钓鱼邮件,因为邮件中提到需要进行秘密交易。但在一次由人工智能伪造的与同事的多人视频会议后,该员工同意汇出总计2亿港元(约合2560万美元),直到该员工后来向公司总部核实后,才发现这一涉及假冒首席财务官的骗局。这起事件充分展示了深度伪造技术对企业的巨大威胁。
深度伪造带来的问题
金融欺诈
2024年5月,全球最大的广告传播集团WPP的首席执行官马克·里德(Mark Read)险些成为深度伪造技术的受害者。据《卫报》获得的电子邮件显示,诈骗者利用Read的公开照片创建了一个WhatsApp账户,并用它来安排一场Microsoft Teams会议。会议期间,冒名顶替者使用了这位高管的语音克隆以及YouTube录像,试图骗取金钱和个人信息,幸运的是,该骗局没有成功。
2021年2月,数字媒体初创公司Ozy的一名高管承认犯有欺诈和身份盗窃罪。他使用语音伪造软件冒充YouTube高管,试图欺骗高盛在2021年投资4000万美元。
网络钓鱼
网络钓鱼是指利用电子邮件、网页、社交媒体等手段,伪装成用户信任的人或机构,通过发送欺骗性信息,诱使接收者点击恶意链接或打开附件,从而窃取敏感信息或执行恶意代码的网络攻击活动。深度伪造网络钓鱼遵循与社会工程攻击相同的核心原则,即迷惑或操纵用户,利用他们的信任并绕过传统的安全措施。
攻击者可以通过多种不同的方式利用深度伪造进行网络钓鱼攻击,包括使用电子邮件、视频通话和语音消息。企业每年因商业电子邮件泄露(BEC)攻击(或CEO欺诈)损失数十亿美元。
2021年美国黑帽大会上,新加坡政府科技局展示了一项实验的结果。该实验中,安全团队向内部用户发送了模拟的鱼叉式网络钓鱼电子邮件。其中一些是人工编写的,另一些则由OpenAI的GPT-3技术生成。与人工编写的钓鱼电子邮件相比,点击人工智能生成的钓鱼电子邮件中链接的人更多。生成式人工智能能够基于大量数字信息(例如社交媒体和其他媒体平台上的公开内容)创建深度伪造作品。人工智能深度伪造使得网络钓鱼变得更加具有迷惑性,并且人工智能能在短时间内攻击大量用户,大大增加了覆盖面。
企业的应对方法
检测深度伪造的工具
Reality Defender是一家专注于深度伪造检测的公司。2024年10月23日,该公司在扩大的A轮融资中筹集了3300万美元,用于开发检测深度伪造和人工智能生成媒体的技术。Reality Defender正在将实时视频深度伪造检测功能添加到其产品中,以防范身份盗窃、CEO深度伪造欺诈和其他不断演变的网络威胁。该产品允许客户使用嵌入在Zoom会议应用程序中的深度伪造检测插件来验证通话中的任何人都不是由欺诈者控制的人工智能深度伪造者。
2024年10月,Nametag宣布推出其Nametag Deepfake Defense产品。安全技术专家和密码学专家Bruce Schneier声称:“Nametag的Deepfake Defense引擎是第一个可扩展的远程身份验证解决方案,能够阻止困扰企业的AI深度伪造攻击。”Deepfake Defense由三项核心专有技术组成:加密认证、自适应文档验证和空间自拍。第一项技术“使用Apple和Google的硬件支持密钥库保证和安全区技术阻止数字注入攻击并确保数据完整性。”第二项技术“使用专有AI模型和设备遥测技术防止身份证出示攻击,这些模型和设备遥测技术甚至可以检测到最复杂的数字操纵或伪造。”第三项技术,即空间自拍,“通过将用户的3D自拍照映射到他们的2D身份证照片上来确认人物的相似性、活体性和存在性,防止使用虚假或欺骗性的自拍照。”
培训员工和合作伙伴
广告公司WPP委托人工智能公司Synthesia制作以深度伪造头像为特色的培训视频,并将于本月发送给数万名员工。培训视频将解释人工智能的一些基本概念,展示人工智能可以做什么——合成面部表情和说话内容。
加强身份验证和确认协议
Verizon的一项研究发现,80%的黑客攻击相关违规行为涉及被盗凭证和弱凭证,这凸显了强身份验证实践的重要性。动态身份验证有助于实现动态且情境感知的身份验证流程。它们可以根据访问情境(例如所访问数据的敏感度或交易的风险状况)调整身份验证要求。例如,访问财务记录可能比查看上市公司信息需要更严格的身份验证。
区块链提供了一种新颖的身份验证方法。网络安全技术开发人员越来越多地探索其在身份验证中的应用,因为它具有去中心化的特性,可以为管理数字身份提供更安全、防篡改的系统。区块链是一种去中心化账本,可记录多台计算机之间的交易,防止交易被追溯更改。当应用于身份验证过程时,此特性可带来集中式系统无法实现的安全性和信任度。一个值得注意的应用是创建自主主权身份(SSI),允许用户有选择地控制和共享其身份信息。SSI和分布式账本提供了一种革命性的方法来加强身份验证协议。这项创新可以显著降低企业中与传统身份验证系统相关的漏洞风险。通过利用区块链固有的安全特性(尤其是去中心化、透明性和不变性),组织可以增强对网络威胁和身份验证欺诈的防御能力。
Authme提供了AI身份验证和反欺诈技术,快速准确地识别伪造文件,从源头上防止欺诈,确保平台的完整性。此外,Authme的AI面部识别技术已通过ISO 30107标准验证,可有效抵御包括Deepfakes在内的所有类型的欺骗攻击。该技术通过分析面部生物特征,例如面部深度、皮肤纹理和微血管流动,确保摄像头前的人是真实的,进一步加强了用户身份的真实性。
中国企业开发先进算法进行AI防伪
近年来,特别是自2020年起,以百度、阿里巴巴、腾讯、字节跳动以及科大讯飞为代表的AI头部企业,纷纷加大对深度伪造内容的技术应对力度,取得了显著成效。2021年,百度在其AI平台上推出了一项名为“PaddlePaddle深伪检测”的解决方案,通过不断优化深度学习模型,提高了对深度伪造视频和图像的识别率。同年,阿里巴巴研发了一种基于微表情和影像光影特征分析的算法,成功应用于打击电商平台上的虚假商品广告。腾讯于2022年率先推出了一套融合视频内容统计分析和异常模式检测的AI工具,并将区块链技术引入伪造内容的溯源系统,有效提高了虚假内容的追踪效率。字节跳动则在2023年发布了以自然语言处理与内容分析技术相结合的“深伪卫士”,用于识别伪造新闻与短视频。科大讯飞在语音识别领域表现突出,其基于AI的语音深伪检测系统自2021年开始广泛应用,成功识别了多起语音诈骗案件。这些企业通过不断创新,共同构筑起一座坚实的技术防线,为应对深度伪造技术的挑战提供了有力保障,同时提升了网络信息的安全性与可信度。
结语
深度伪造技术的快速发展带来了诸多安全威胁,包括金融欺诈和网络钓鱼等,给企业和个人信息安全造成巨大挑战。对此,企业采取了一系列措施应对,包括开发检测工具如Reality Defender和Nametag Deepfake Defense,加强身份验证手段如区块链和AI生物特征识别,并通过培训和增强安全协议提高防范意识。此外,中国科技企业如百度、阿里巴巴、腾讯等,依托先进算法及区块链技术,在深伪检测领域取得突破性进展。通过技术创新与协作,企业正构筑起一条针对深度伪造的多重防线,有效提升网络空间的安全性与可信度。