Автоматизированные Liveness тесты, используемые банками и другими учреждениями для идентификации пользователей, можно обойти с помощью дипфейка.

Компания Sensity, которая специализируется на выявлении атак с использованием deepfake технологии, исследовала уязвимость 10 сервисов идентификации . Sensity использовала дипфейки, чтобы наложить лицо пользователя на идентификационную карту для сканирования, а затем скопировать это же лицо в видеопоток злоумышленника для идентификации.

Liveness тест обычно просит пользователя посмотреть в камеру устройства, иногда поворачивая голову или улыбаясь, и сравнивает внешний вид пользователя и его удостоверение личности с помощью технологии распознавания лиц. В финансовом секторе такая проверка называется «знай своего клиента» (Know Your Customer, KYC) и является частью проверки документов и счетов.

«Мы протестировали 10 сервисов и обнаружили, что 9 из них уязвимы для дипфейков», - сказал главный операционный директор Sensity Франческо Кавалли.

«Существует новое поколение ИИ , которое может представлять серьезную угрозу для компаний. Представьте, что вы можете сделать с поддельной учетной записью, созданную с помощью дипфейка. И никто не сможет обнаружить подделку», - добавил Кавалли.

Кавалли разочарован реакцией сервисов, которые посчитали уязвимость незначительной.

«Мы сообщили поставщикам, что сервисы уязвимы для deepfake атак. Разработчики проигнорировали опасность. Мы решили опубликовать отчет, так как общественность должна знать об этих угрозах», - добавил исследователь.

Поставщики продают Liveness тесты банкам, приложениям для знакомств и криптовалютным проектам. Один сервис даже использовался для проверки личности избирателей на выборах в Африке. (Хотя в отчете Sensity нет никаких указаний на то, что проверка была скомпрометирована дипфейками)

Deepfake технология представляет большую опасность для банковской системы, в которой дипфейк может использоваться в целях мошенничества.

«Я могу создать учетную запись, перевести украденные деньги на банковский счет или оформить ипотеку, потому что сегодня компании онлайн-кредитования конкурируют друг с другом в скорости выдачи кредитов», - добавил эксперт.
Злоумышленник может легко перехватить видеопоток с камеры телефона и использовать deepfake технологию в злонамеренных целях. Однако, обойти систему распознавания лиц Face ID таким способом невозможно. Система идентификации Apple использует датчики глубины и проверяет личность не только на основе внешнего вида, но и физической формы лица.