AI-deepfake-verktøy angriper kryptobørsers KYC-verifisering

AI-deepfake-verktøy setter kryptoidentitetskontroller i fare

Et nylig identifisert AI-deepfake-verktøy vekker alvorlig oppmerksomhet blant sikkerhetsforskere etter at det dukket opp rapporter om at det kan omgå identitetsverifiseringssystemene som brukes av store kryptobørser. Programvaren, kjent som JINKUSU CAM, skal angivelig være i stand til å omgå Know Your Customer (KYC)-kontroller på plattformer som Binance, Coinbase, Kraken og OKX. Ved hjelp av sanntidsmanipulasjon av ansikt og stemme kan verktøyet presentere en fabrikkert identitet under direkte videoverifiseringsøkter, og potensielt lure systemer som millioner av brukere stoler på for å holde kontoene sine sikre.

KYC-systemer eksisterer av gode grunner. Kryptobørser er pålagt av regulatorer i mange jurisdiksjoner å bekrefte at brukere er den de hevder å være. Disse kontrollene bidrar til å forhindre svindel, hvitvasking av penger og bruk av stjålne identiteter for å få tilgang til finansielle tjenester. Dersom et verktøy som JINKUSU CAM pålitelig kan omgå disse kontrollene, strekker konsekvensene seg langt utover individuelle børser.

Slik fungerer JINKUSU CAM

Ifølge sikkerhetsforskere er JINKUSU CAM en fullstendig sanntids-deepfake-pakke bygget spesifikt for å omgå arbeidsflyter for identitetsverifisering. Kjernefunksjonaliteten er GPU-akselerert ansiktsbytte, drevet av rammeverk som InsightFace, som produserer jevne og realistiske ansiktsbevegelser under direkte økter. Programvaren inkluderer også en stemmechanger med justerbare tonehøydeinnstillinger og forhåndsinnstilte profiler, som lar angripere tilpasse lydutgangen til den visuelle identiteten som presenteres.

Verktøyet støtter virtuell kameraoutput gjennom programvare som OBS, noe som betyr at den manipulerte videostrømmen kan injiseres direkte i nettlesere og verifiseringsapper som om det var et ekte kamerafeed. Det fungerer også i Android-emulatorer, noe som utvider dets potensielle rekkevidde til mobilbaserte verifiseringsflyter. Ytterligere AI-verktøy, inkludert GFPGAN og ansiktsmesh-sporing, brukes for presis uttrykksberegning, noe som gjør den genererte identiteten mer overbevisende under trinn for levende-deteksjon.

Levende-deteksjon, en vanlig sikkerhetsfunksjon i moderne KYC-systemer, er utformet for å bekrefte at en ekte person er til stede under verifisering i stedet for et statisk bilde eller forhåndsinnspilt video. Kombinasjonen av funksjoner i JINKUSU CAM ser ut til å være spesifikt konstruert for å omgå denne typen kontroll.

Svindelrisikoen strekker seg utover kontoovertakelser

Sikkerhetsanalytikere advarer om at verktøy som JINKUSU CAM kan muliggjøre svindel i stor skala, ikke bare isolerte hendelser. En bekymring gjelder bruken av bilder stjålet fra tidligere datainnbrudd. Angripere kan potensielt bruke lekkede personlige bilder til å konstruere realistiske digitale identiteter som er i stand til å bestå verifiseringskontroller og få tilgang til finansielle kontoer.

Det er også bekymring for syntetisk identitetssvindel, en metode som kombinerer ekte og fabrikkerte data for å konstruere helt nye identiteter. Disse syntetiske profilene kan brukes til hvitvasking av penger, svindel ved kontooppretting og en rekke andre finansielle forbrytelser. Fordi den underliggende identiteten ikke tilhører en ekte person, kan de være vanskelige å spore eller flagge gjennom konvensjonelle metoder.

Utover den umiddelbare svindelrisikoen skaper eksistensen av slike verktøy et bredere troverdighetsprolem for KYC-systemer. Børser og finansielle plattformer investerer betydelig i compliance-infrastruktur. Dersom denne infrastrukturen kan omgås med kommersielt tilgjengelig AI-programvare, kan regulatorer og institusjoner være nødt til å revurdere den nåværende tilnærmingen til fjernidentitetsverifisering fullstendig.

Hva dette betyr for deg

For vanlige kryptobrukere er fremveksten av denne typen verktøy en påminnelse om at sikkerheten til en plattform kun er så sterk som sitt svakeste verifiseringspunkt. Hvis kriminelle aktører kan opprette verifiserte kontoer ved hjelp av fabrikkerte identiteter, kan legitime brukere møte økt eksponering for svindel og kompromittert plattformintegritet.

Denne situasjonen fremhever også hvorfor det har betydning hvilke plattformer du velger å bruke. Børser som investerer i lagdelt sikkerhet, inkludert mer avansert svindeldeteksjon utover grunnleggende levende-deteksjon, er bedre posisjonert til å håndtere trusler som denne.

Her er noen praktiske tiltak du kan ta for å beskytte deg selv:

• Aktiver flerfaktorautentisering (MFA) på alle kryptokontiene dine, og bruk en autentiseringsapp i stedet for SMS der det er mulig.
• Overvåk kontoene dine regelmessig for uautorisert aktivitet eller ukjente påloggingsforsøk.
• Vær forsiktig med hvor personopplysningene dine lagres og vurder å sjekke om informasjonen din har dukket opp i kjente datainnbrudd.
• Bruk unike, sterke passord for hver børs eller finansiell plattform du bruker.
• Hold deg informert om sikkerhetspraksisene til plattformene du stoler på med eiendelene dine.

Kjerneproblemet her er ikke at KYC svikter som konsept, men at teknologien som brukes til å omgå det, utvikler seg raskere enn mange plattformer for øyeblikket forventer. Børser er klar over disse risikoene og sikkerhetsteam arbeider med å svare, men brukere bør ikke anta at ett enkelt verifiseringslag gjør en konto fullstendig beskyttet. Å ta din egen sikkerhet på alvor forblir et av de mest effektive forsvarene som er tilgjengelig.