Henry Patishman 
WPROWADZENIE
Prawie połowa firm zetknęła się w 2024 roku z deepfake’ami w swoich procesach biznesowych – wynika z raportu Regula na temat deepfake’ów. To, co zaczęło się jako zabawna forma tworzenia treści pod koniec lat 2010., dziś stanowi poważne zagrożenie w różnych sektorach, w tym w weryfikacji tożsamości (IDV).
W tym artykule przyjrzymy się, czym są deepfake’i i jak wykorzystywane są do oszustw, a także przedstawimy kluczowe strategie obronne dla firm.
Czym są deepfake’i?
Deepfake’i to tzw. „syntetyczne media”, czyli treści stworzone lub zmodyfikowane przy użyciu sztucznej inteligencji (AI), a konkretnie metod uczenia maszynowego (ML).
Jak działają deepfake’i?
Technicznie rzecz biorąc, deepfake’i wykorzystują uczenie głębokie (deep learning) – jedną z gałęzi uczenia maszynowego. Opiera się ono na sieciach neuronowych, które naśladują logiczną strukturę ludzkiego mózgu. Sieci te są trenowane na ogromnych zbiorach danych, aby wykonywać zadania takie jak analiza, klasyfikacja i generowanie treści. Zbiory danych wykorzystywane do trenowania modeli deepfake mogą obejmować obrazy, wideo, nagrania dźwiękowe i teksty.
W praktyce oznacza to, że deepfake’i mogą przetwarzać i manipulować prawdziwymi materiałami, tworząc treści, które wyglądają autentycznie – choć takie nie są.
Analizując miliony prawdziwych ludzkich obrazów za pomocą głębokiego uczenia się, generatory obrazów mogą tworzyć „zupełnie nowe” twarze, które są niesamowicie realistyczne. Źródło: www.thispersonnotexist.org. (witryna zdjęta z sieci)
Z tej perspektywy osoby korzystające z ChatGPT jako „współpracownika” do generowania tekstów lub obrazów również tworzą pewien rodzaj deepfake’ów. Dotyczy to na przykład twórców person klientów, którzy często używają zdjęć nieistniejących osób jako kompozytowych wizerunków dla różnych grup docelowych.
Z tego powodu wiele generatorów deepfake’ów zawiera klauzule zastrzegające, podkreślając odpowiedzialność twórcy za wygenerowaną treść.
Hoodem, generator wideo deepfake, informuje wszystkich użytkowników o etycznym korzystaniu z tego typu treści. Źródło: www.hoodem.com.
Niestety, technologia ta jest również szeroko wykorzystywana przez oszustów, którzy nie przejmują się etyką.
Rodzaje deepfake’ów: Krótka i szczegółowa analiza
Mówiąc najprościej, przestępcy używają trzech głównych typów deepfake’ów, aby obejść weryfikację tożsamości (IDV):
| Fałszerstwa oparte na obrazie | Fałszerstwa oparte na wideo | Fałszerstwa oparte na dźwięku |
| Generowanie fałszywego zdjęcia dokumentu tożsamości lub selfie użytkownika | Symulowanie wyglądu osoby na żywo | Naśladowanie głosu użytkownika |
Jednak istnieje bardziej złożona klasyfikacja oparta na sposobie tworzenia deepfake’ów. Do najczęstszych metod należą:
- Face swap – Ten „prosty” deepfake polega na umieszczeniu twarzy lub głowy jednej osoby na ciele innej. Jest popularnym filtrem na platformach społecznościowych, takich jak TikTok czy Snapchat, i może być stosowany zarówno w obrazach, jak i wideo.
- Lip syncing – Nagranie głosu z jednego kontekstu jest nakładane na wideo z innego, sprawiając, że osoba mówi coś nowego, lecz nieautentycznego. Technika ta jest szeroko wykorzystywana w branży rozrywkowej i dezinformacji politycznej.
- Puppet deepfakes – Wykorzystują Generative Adversarial Networks (GAN), gdzie jedna sieć („generator”) tworzy fałszywe treści, a druga („dyskryminator”) wykrywa ich niedoskonałości. Przez wiele iteracji GAN generuje realistyczną „marionetkę”, która naśladuje ruchy twarzy lub ciała wybranej osoby.
Teraz przyjrzyjmy się, jak te syntetyczne media są wykorzystywane do oszustw.
|
Trendy Deepfake 2024 Technologia Deepfake zmienia ryzyko dla firm na całym świecie – bądź na bieżąco dzięki najnowszym spostrzeżeniom. |
 |
Jak deepfake’i atakują firmy
Jako w pełni cyfrowe zasoby, deepfake’i przede wszystkim stanowią zagrożenie dla firm, w których interakcje z klientami, w tym proces onboardingu, odbywają się online. Problem staje się jeszcze poważniejszy w miarę przenoszenia się kolejnych przedsiębiorstw na platformy cyfrowe, co sprawia, że zagrożenie deepfake’ami staje się coraz bardziej powszechne i niebezpieczne.
W 2024 roku niemal połowa firm z sektorów bankowości, fintechu, kryptowalut, technologii, telekomunikacji, lotnictwa, opieki zdrowotnej i organów ścigania, które wzięły udział w badaniu Regula, zgłosiła przypadki zetknięcia się zarówno z deepfake’ami audio, jak i wideo.
Czytaj także: Wpływ oszustw typu Deepfake: Zagrożenia, rozwiązania i globalne trendy
Co ważne, przestępcy nie tworzą zupełnie nowych metod oszustwa przy użyciu deepfake’ów. Bardziej trafne jest stwierdzenie, że pojawienie się tej technologii oraz coraz tańsze i łatwiej dostępne narzędzia do jej generowania umożliwiły oszustom udoskonalenie „starych” metod.
Ataki prezentacyjne
Ten typ ataku polega na oszukiwaniu systemów biometrycznej autoryzacji twarzy lub tworzeniu fałszywych kont przy użyciu podrobionych wizerunków. W obu przypadkach deepfake’i mogą imitować prawdziwą osobę lub przedstawiać nieistniejącą tożsamość.
Takie deepfake’i mogą być prezentowane w formie wydrukowanych lub wyświetlanych na ekranie obrazów i filmów podczas procesu onboardingu lub ponownej weryfikacji klienta.
Ataki typu injection
Jest to bardziej zaawansowana wersja ataku prezentacyjnego, w której oszuści bezpośrednio wprowadzają fałszywe dane biometryczne do procesu weryfikacji tożsamości (IDV), omijając konieczność użycia fizycznej kamery lub mikrofonu. Dzięki tej metodzie mogą obejść systemy rozpoznawania twarzy i głosu. Deepfake’i są wykorzystywane do wiernego odwzorowania prawdziwego użytkownika za pomocą realistycznych nagrań wideo oraz syntetycznych próbek głosu.
Przedkładanie dokumentów tożsamości wygenerowanych przez AI
Uczenie maszynowe zostało zaadaptowane przez podziemne usługi, takie jak OnlyFake, które potrafią generować realistyczne obrazy paszportów, praw jazdy i innych dokumentów tożsamości. Te obrazy wyglądają niezwykle wiarygodnie, naśladując cechy zabezpieczeń oraz realistyczne tła, np. dywan czy marmurowy blat, tak jakby zdjęcie zostało zrobione w hotelowym pokoju lub kuchni przez prawdziwego użytkownika. Takie fałszywe dokumenty mogą być wykorzystywane do przejścia procedury weryfikacji tożsamości.
Co mogą zrobić firmy, aby przygotować swoje systemy?
W obliczu rosnącego zagrożenia ze strony deepfake’ów firmy muszą modernizować swoje systemy weryfikacji tożsamości (IDV), wdrażając zaawansowane technologie i dodając kolejne warstwy zabezpieczeń. Wzmacnianie wewenętrznych procesów KYC oraz AML o najbezpieczniejsze i nowe technologie jest w tym zakresie niezwykle ważne. Oszuści nie ustają w wysiłkach, aby oszukać przedsiębiorstwa, a czasem adaptują nowe technologie szybciej niż same organizacje.
Firmy, które przyczyniają się do rozwoju systemów wykrywania i zapobiegania oszustwom tożsamościowym, mogą dostosować swoje procesy KYC/AML, zawierające komponent weryfikacji tożsamości użytkowników do aktualnych zagrożeń. Taki system powinien składać się z kilku kluczowych elementów: zespołu ekspertów ds. oszustw i zarządzania ryzykiem, specjalistów ds. zgodności (compliance officers) przeszkolonych w zakresie wykrywania anomalii i rozpoznawania deepfake’ów, a także solidnego rozwiązania do weryfikacji tożsamości użytkowników opartego na zaawansowanej technologii i obszernej bazie wzorców dokumentów tożsamości.
Kolejnym niezbędnym elementem weryfikacji tożsamości użytkowników jest weryfikacja biometryczna oraz wykrywanie oznak życia (liveness detection). Zarówno pasywna, jak i aktywna weryfikacja żywotności pozwalają upewnić się, że osoba po drugiej stronie ekranu jest prawdziwa, a jednocześnie umożliwiają identyfikację atrybutów deepfake, takich jak sztuczny odcień skóry, szumy moiré czy nienaturalne cienie. Ta metoda odnosi się również do dokumentów tożsamości poprzez weryfikację obecności dynamicznych zabezpieczeń, takich jak hologramy.
Firmy mogą również monitorować inne sygnały oszustwa podczas weryfikacji nowych klientów lub uwierzytelniania już istniejących. Na przykład wiele przedsiębiorstw przeprowadza kontrolę adresów IP w celu wykrycia nieprawidłowości w schematach zachowań użytkowników.
To kompleksowe podejście do weryfikacji tożsamości użytkowników tworzy wielowarstwowy system obrony, który obejmuje wszystkie aspekty weryfikacji klientów, uwzględniając kluczowe zagrożenia. Ciągłe monitorowanie oraz regularne aktualizacje są również niezbędnym elementem tej strategii.
Co ważne, zagrożenie związane z deepfake’ami nie dotyczy wyłącznie sektora biznesowego. Wpływa także na inne obszary, takie jak media informacyjne, media społecznościowe, organy ścigania i administrację publiczną. Wprowadzenie ram prawnych regulujących sztuczną inteligencję, takich jak AI Act Unii Europejskiej oraz chińskie przepisy anty-deepfake, wskazuje na globalny kierunek zmian w zakresie wymagań zgodności w przyszłości.
Nawiąż współpracę
Korporacja Wschód jako partner Regula oferuje kompleksowe rozwiązania IDV dla utrzymania bezpiecznych procesów weryfikacji, których implementacja pozwoli Ci wyprzedzić zaawansowane oszustwa związane z tożsamością. Regula oferuje zestaw zaawansowanych technologii, w tym:
- Rozpoznawanie i dopasowanie twarzy
- Weryfikację żywotności (Liveness checks) dla selfie i dokumentów tożsamości
- Rozszerzone kontrole autentyczności
- Cyfrową weryfikację dokumentów takich jak paszporty, prawa jazdy, wizy, pozwolenia na pobyt, karty wyborcze i inne dokumenty tożsamości z 251 krajów i terytoriów
- W pełni konfigurowalne i 100% lokalne rozwiązania (on-premises)
Porozmawiajmy o Twoich obawach, wymaganiach i oczekiwaniach, aby znaleźć rozwiązanie, które najlepiej odpowiada Twoim potrzebom!
Oryginalny tekst artykułu znajdziesz pod poniższym linkiem/The original text of the article can be found at the link: https://regulaforensics.com/blog/what-are-deepfakes/
