เครื่องมือ AI Deepfake คุกคามระบบตรวจสอบตัวตนของคริปโต

เครื่องมือ AI deepfake ที่เพิ่งถูกระบุตัวตนกำลังได้รับความสนใจอย่างจริงจังจากนักวิจัยด้านความปลอดภัย หลังมีรายงานว่ามันสามารถเอาชนะระบบยืนยันตัวตนที่ใช้โดยตลาดซื้อขายคริปโตเคอร์เรนซีรายใหญ่ ซอฟต์แวร์ดังกล่าวซึ่งรู้จักกันในชื่อ JINKUSU CAM มีรายงานว่าสามารถเลี่ยงการตรวจสอบ Know Your Customer (KYC) บนแพลตฟอร์มต่างๆ ได้แก่ Binance, Coinbase, Kraken และ OKX โดยใช้การปรับแต่งใบหน้าและเสียงแบบเรียลไทม์ เครื่องมือนี้สามารถนำเสนอตัวตนปลอมในระหว่างการยืนยันตัวตนผ่านวิดีโอสด ซึ่งอาจหลอกระบบที่ผู้ใช้หลายล้านคนพึ่งพาเพื่อรักษาความปลอดภัยของบัญชีตนเองได้

ระบบ KYC มีอยู่ด้วยเหตุผลที่ดี ตลาดซื้อขายคริปโตถูกกำหนดโดยหน่วยงานกำกับดูแลในหลายเขตอำนาจให้ต้องยืนยันว่าผู้ใช้คือบุคคลที่อ้างว่าตนเองเป็น การตรวจสอบเหล่านี้ช่วยป้องกันการฉ้อโกง การฟอกเงิน และการใช้ตัวตนที่ถูกขโมยเพื่อเข้าถึงบริการทางการเงิน หากเครื่องมืออย่าง JINKUSU CAM สามารถเอาชนะการตรวจสอบเหล่านั้นได้อย่างน่าเชื่อถือ ผลกระทบจะขยายออกไปไกลกว่าแค่ตลาดซื้อขายแต่ละแห่ง

JINKUSU CAM ทำงานอย่างไร

ตามรายงานของนักวิจัยด้านความปลอดภัย JINKUSU CAM คือชุดเครื่องมือ deepfake แบบเรียลไทม์ที่สร้างขึ้นโดยเฉพาะเพื่อเอาชนะกระบวนการยืนยันตัวตน ความสามารถหลักของมันคือการสลับใบหน้าที่เร่งด้วย GPU ซึ่งขับเคลื่อนด้วยเฟรมเวิร์กอย่าง InsightFace ที่สร้างการเคลื่อนไหวของใบหน้าที่ราบรื่นและสมจริงในระหว่างการใช้งานสด ซอฟต์แวร์ยังรวมถึงตัวเปลี่ยนเสียงพร้อมการตั้งค่าระดับเสียงที่ปรับได้และโปรไฟล์สำเร็จรูป ช่วยให้ผู้โจมตีสามารถปรับเสียงให้ตรงกับตัวตนภาพที่นำเสนอได้

เครื่องมือนี้รองรับการส่งออกกล้องเสมือนผ่านซอฟต์แวร์อย่าง OBS หมายความว่าสตรีมวิดีโอที่ถูกดัดแปลงสามารถถูกส่งเข้าสู่เบราว์เซอร์และแอปยืนยันตัวตนได้โดยตรงราวกับว่าเป็นฟีดกล้องจริง มันยังทำงานในโปรแกรมจำลอง Android ได้ด้วย ซึ่งขยายขอบเขตการเข้าถึงที่เป็นไปได้ไปยังกระบวนการยืนยันตัวตนบนมือถือ เครื่องมือ AI เพิ่มเติม ได้แก่ GFPGAN และการติดตาม facial mesh ถูกใช้เพื่อการแมปการแสดงออกที่แม่นยำ ทำให้ตัวตนที่สร้างขึ้นดูน่าเชื่อถือมากขึ้นในระหว่างขั้นตอนการตรวจจับความมีชีวิต

การตรวจจับความมีชีวิต ซึ่งเป็นมาตรการป้องกันที่พบได้ทั่วไปในระบบ KYC สมัยใหม่ ถูกออกแบบมาเพื่อยืนยันว่ามีบุคคลจริงอยู่ในระหว่างการยืนยันตัวตน แทนที่จะเป็นภาพนิ่งหรือวิดีโอที่บันทึกไว้ล่วงหน้า การรวมกันของคุณสมบัติใน JINKUSU CAM ดูเหมือนจะถูกออกแบบมาโดยเฉพาะเพื่อเอาชนะการตรวจสอบประเภทนี้

ความเสี่ยงของการฉ้อโกงไม่ได้หยุดอยู่แค่การเข้าควบคุมบัญชี

นักวิเคราะห์ด้านความปลอดภัยเตือนว่าเครื่องมืออย่าง JINKUSU CAM อาจทำให้เกิดการฉ้อโกงในวงกว้าง ไม่ใช่แค่เหตุการณ์แยกกัน ความกังวลหนึ่งเกี่ยวข้องกับการใช้ภาพที่ถูกขโมยจากการรั่วไหลของข้อมูลในอดีต ผู้โจมตีอาจใช้ภาพส่วนตัวที่รั่วไหลเพื่อสร้างตัวตนดิจิทัลที่สมจริงซึ่งสามารถผ่านการตรวจสอบและเข้าถึงบัญชีทางการเงินได้

นอกจากนี้ยังมีความกังวลเกี่ยวกับการฉ้อโกงด้วยตัวตนสังเคราะห์ ซึ่งเป็นวิธีที่รวมข้อมูลจริงและข้อมูลที่แต่งขึ้นเพื่อสร้างตัวตนใหม่ทั้งหมด โปรไฟล์สังเคราะห์เหล่านี้สามารถนำไปใช้ฟอกเงิน การหลอกลวงสร้างบัญชี และอาชญากรรมทางการเงินหลากหลายรูปแบบ เนื่องจากตัวตนพื้นฐานไม่ได้เป็นของบุคคลจริง จึงอาจติดตามหรือตรวจสอบได้ยากด้วยวิธีทั่วไป

นอกจากความเสี่ยงของการฉ้อโกงทันที การมีอยู่ของเครื่องมือเช่นนี้ยังสร้างปัญหาความน่าเชื่อถือในวงกว้างให้กับระบบ KYC ตลาดซื้อขายและแพลตฟอร์มทางการเงินลงทุนอย่างมากในโครงสร้างพื้นฐานด้านการปฏิบัติตามกฎระเบียบ หากโครงสร้างพื้นฐานนั้นสามารถถูกเอาชนะด้วยซอฟต์แวร์ AI ที่หาซื้อได้ทั่วไป หน่วยงานกำกับดูแลและสถาบันอาจจำเป็นต้องคิดทบทวนแนวทางปัจจุบันในการยืนยันตัวตนทางไกลทั้งหมด

ผลกระทบต่อคุณในฐานะผู้ใช้

สำหรับผู้ใช้คริปโตทั่วไป การเกิดขึ้นของเครื่องมือประเภทนี้เป็นการเตือนให้รู้ว่าความปลอดภัยของแพลตฟอร์มนั้นแข็งแกร่งได้เพียงเท่าจุดยืนยันตัวตนที่อ่อนแอที่สุดเท่านั้น หากผู้ไม่หวังดีสามารถสร้างบัญชีที่ผ่านการยืนยันโดยใช้ตัวตนปลอม ผู้ใช้ที่ถูกกฎหมายอาจเผชิญกับความเสี่ยงที่เพิ่มขึ้นจากการหลอกลวง การฉ้อโกง และความสมบูรณ์ของแพลตฟอร์มที่ถูกกระทบ

สถานการณ์นี้ยังเน้นย้ำว่าการเลือกแพลตฟอร์มที่คุณใช้งานนั้นสำคัญเพียงใด ตลาดซื้อขายที่ลงทุนในระบบรักษาความปลอดภัยแบบหลายชั้น รวมถึงการตรวจจับการฉ้อโกงขั้นสูงที่เกินกว่าการตรวจสอบความมีชีวิตพื้นฐาน มีความพร้อมรับมือกับภัยคุกคามอย่างนี้มากกว่า

ต่อไปนี้คือขั้นตอนปฏิบัติบางอย่างที่คุณสามารถทำเพื่อปกป้องตัวเอง:

  • เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) บนบัญชีคริปโตทั้งหมดของคุณ โดยใช้แอปยืนยันตัวตนแทน SMS เมื่อเป็นไปได้
  • ตรวจสอบบัญชีของคุณเป็นประจำ เพื่อหากิจกรรมที่ไม่ได้รับอนุญาตหรือความพยายามเข้าสู่ระบบที่ไม่คุ้นเคย
  • ระมัดระวังเกี่ยวกับสถานที่จัดเก็บข้อมูลส่วนตัวของคุณ และพิจารณาตรวจสอบว่าข้อมูลของคุณปรากฏในการรั่วไหลของข้อมูลที่ทราบแล้วหรือไม่
  • ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน สำหรับแต่ละตลาดซื้อขายหรือแพลตฟอร์มทางการเงินที่คุณใช้
  • ติดตามข้อมูลข่าวสาร เกี่ยวกับแนวทางด้านความปลอดภัยของแพลตฟอร์มที่คุณฝากความไว้วางใจด้วยสินทรัพย์ของคุณ

ประเด็นหลักที่นี่ไม่ใช่ว่า KYC ล้มเหลวในฐานะแนวคิด แต่เป็นเพราะเทคโนโลยีที่ใช้เพื่อเอาชนะมันนั้นก้าวหน้าเร็วกว่าที่แพลตฟอร์มส่วนใหญ่คาดการณ์ในปัจจุบัน ตลาดซื้อขายตระหนักถึงความเสี่ยงเหล่านี้และทีมรักษาความปลอดภัยกำลังทำงานเพื่อตอบสนอง แต่ผู้ใช้ไม่ควรสันนิษฐานว่าการยืนยันตัวตนชั้นเดียวจะทำให้บัญชีได้รับการปกป้องอย่างสมบูรณ์ การให้ความสำคัญกับความปลอดภัยของตัวเองยังคงเป็นหนึ่งในการป้องกันที่มีประสิทธิผลมากที่สุดที่มีอยู่