人臉辨識要完？首個「人臉劫持「銀行木馬誕生

2024.02.24

多年來，生物辨識技術被宣傳為終極身分驗證手段，因為每個人的臉部、指紋和虹膜資訊都獨一無二且難以被偽造。然而，隨著人工智慧技術的井噴式發展，生物辨識技術，尤其是人臉辨識技術正面臨巨大威脅。

近日，網路安全公司Group-IB發現了首個能夠竊取人臉（識別資料）的銀行木馬程序，被用於竊取用戶的個人識別資訊和電話號碼，以及臉部掃描資訊。然後，這些影像被換成人工智慧產生的深度造假影像，可以輕鬆繞過銀行APP的人臉辨識認證。

研究人員透露，該「人臉劫持「木馬本月稍早在越南被使用，攻擊者誘使受害者進入惡意應用，讓他們進行臉部掃描，然後從其銀行帳戶中取走了約4萬美元資金。

Group-IB亞太威脅情報團隊的惡意軟體分析師Sharmine Low在一篇部落格文章中透露：「駭客開發了一種專門用於收集臉部辨識資料的新型惡意軟體家族。此外他們還開發了一種工具，可以使受害者與偽裝成銀行呼叫中心的網路犯罪分子直接進行交流。”

Group-IB研究團隊最新發現的這個能夠「劫持人臉「的全新木馬程式代號GoldPickaxe.iOS，專門針對iOS用戶，它可以攔截簡訊並收集臉部辨識資料和身分證明文件。駭客可使用這些敏感資訊創建深度偽造內容，將合成面孔替換為受害者的面孔，未經授權存取受害者的銀行帳戶。

研究者指出，GoldPickaxe由一個名為GoldFactory的大型中文駭客組織開發，基於該組織先前開發的安卓銀行木馬GoldDigger，GoldPickaxe是該系列木馬中首個支援iOS設備的變種此前僅支援安卓設備）。

GoldFactory木馬的演進時間線

GoldPickaxe.iOS的分發方案尤其值得注意，最初駭客利用蘋果的行動應用程式測試平台TestFlight來分發惡意軟體。被TestFlight剔除後，駭客轉而採用更複雜的多階段社會工程計畫來說服受害者安裝行動裝置管理（MDM）設定檔。這使得駭客能夠完全控制受害者的設備。

GoldFactory的常見攻擊策略是組合使用簡訊轟炸和網路釣魚技巧，並經常偽裝成政府服務代理（包括泰國政府服務，如泰國數位退休金和越南政府資訊入口網站）。研究人員稱，這些木馬程序目前主要針對亞太地區的老年人，但也有一些「跡象」表明該團夥正在向其他地區擴張。

目前，「人臉劫持「木馬攻擊在泰國的成功率很高，因為該國現在要求用戶透過臉部辨識而不是一次性密碼(OTP)確認大額銀行交易（超過5萬泰銖）。同樣，越南國家銀行也表示有意從今年4月開始強制所有匯款進行臉部認證。

在泰國，駭客將GoldPickaxe.iOS偽裝成領取退休金的應用程式。受害者在使用該程式時被要求拍攝自己的照片和身分證照片。在iOS版本中，人臉劫持木馬程式甚至會向受害者發出一些人臉訊息收集指令，例如眨眼、微笑、左右轉動頭部、點頭或張開嘴巴。

被竊取的用戶臉部影片隨後被用作換臉人工智慧工具創建深度造假影片的原材料，駭客利用這些深度偽造影片可以輕鬆地冒充受害者進入銀行應用程式。

研究人員指出：「這種方法通常用於創建受害者的綜合面部生物特徵檔案，這是在其他詐欺活動中沒有觀察到的新技術」。

「人臉劫持「木馬的出現標誌著生物辨識威脅已經成為現實。根據iProov最新發布的威脅情報報告，2023年換臉深度造假攻擊暴增了704%。這家生物辨識認證公司也發現，欺騙工具使用的深度偽造媒體增加了672%，使用模擬器（模仿使用者裝置）和詐騙內容發動的數位注入攻擊增加了353%。

iProov的首席科學官Andrew Newell表示，生成式人工智慧為大幅提升了駭客「生產力水準」。他指出：「這些工具成本相對較低，易於訪問，可以用來創建高度令人信服的合成媒體，例如換臉或其他形式的深度偽造內容，很容易欺騙人類的眼睛以及過時的生物識別解決方案。”

Gartner預測，到2026年，30%的企業將不再信任生物辨識工具的可靠性。Gartner副總裁分析師Akif Khan指出：“隨著真假難辨的深度偽造氾濫，企業可能會開始質疑（生物識別）身份驗證和認證解決方案的可靠性。”

此外，有些人認為生物識別比傳統登入方法更危險——用戶獨特的生物特徵一旦被盜可能會永遠暴露和失效，因為用戶無法像更改密碼或通行密鑰那樣更改這些生物特徵。

Group-IB提供了一些建議來幫助使用者避免生物辨識攻擊，包括：

此外，安全專家也建議用戶注意手機是否有感染惡意軟體的跡象:

新聞