أخبار

حلول لمخاطر التزييف العميق للأمن البيومتري

حلول لمخاطر التزييف العميق للأمن البيومتري


وقع أحد البنوك في هونج كونج مؤخرًا ضحية لعملية احتيال لانتحال الشخصية، حيث تم خداع أحد موظفي البنك لتحويل 25.6 مليون دولار إلى لصوص بعد مكالمة فيديو مع المدير المالي للبنك وزملاء آخرين. لكن لم يكن أي منهم أشخاصًا حقيقيين، بل كانوا جميعًا عبارة عن صور مزيفة عميقة تم إنشاؤها بمساعدة الذكاء الاصطناعي.

يوضح هذا الحادث كيف يمكن لمجرمي الإنترنت استخدام التزييف العميق لخداع البشر وارتكاب عمليات الاحتيال. كما أنه يثير مخاوف بشأن التهديدات التي تشكلها تقنية التزييف العميق لأنظمة المصادقة البيومترية.

لقد شهد استخدام العلامات البيومترية للتحقق من الهويات والوصول إلى الأنظمة الرقمية زيادة هائلة في العقد الماضي، ومن المتوقع أن ينمو بنسبة تزيد على 20% سنويا حتى عام 2030. ومع ذلك، مثل كل تقدم في مجال الأمن السيبراني، فإن الأشرار ليسوا متخلفين كثيرا.

أي شيء يمكن أخذ عينات منه رقميًا يمكن تزييفه بعمق – صورة أو فيديو أو صوت أو حتى نص لتقليد أسلوب المرسل وتركيبه. مجهزة بأي واحدة من ستة أدوات متاحة على نطاق واسع ومجموعة بيانات تدريبية مثل مقاطع فيديو يوتيوب، حتى الهواة يمكنهم إنتاج مقاطع مزيفة مقنعة.

تأتي هجمات Deepfake على المصادقة في نوعين، يُعرفان باسم هجمات العرض التقديمي وهجمات الحقن.

تتضمن هجمات العرض تقديم صورة أو عرض أو مقطع فيديو مزيف إلى كاميرا أو جهاز استشعار للمصادقة. بعض الأمثلة تشمل:

هجمات الطباعة

  • صورة ثنائية الأبعاد
  • قناع ورقي ثنائي الأبعاد مع قطع العيون
  • الصورة المعروضة على الهاتف الذكي
  • قناع الطبقات ثلاثي الأبعاد
  • إعادة تشغيل الهجوم لمقطع فيديو تم التقاطه للمستخدم الشرعي

هجمات التزييف العميق

  • تبديل الوجه
  • مزامنة الشفاه
  • استنساخ الصوت
  • نقل الإيماءات/التعبيرات
  • النص إلى الكلام

تتضمن هجمات الحقن التلاعب بتدفق البيانات أو قناة الاتصال بين الكاميرا أو الماسح الضوئي ونظام المصادقة، على غرار هجمات الرجل في الوسط (MITM) المعروفة.

باستخدام البرامج الآلية المخصصة لاختبار التطبيقات، يمكن لمجرم إلكتروني لديه إمكانية الوصول إلى جهاز مفتوح إدخال بصمة إصبع أو معرف وجه عابر في عملية المصادقة، وتجاوز التدابير الأمنية والحصول على وصول غير مصرح به إلى الخدمات عبر الإنترنت. الامثله تشمل:

  • تحميل الوسائط الاصطناعية
  • دفق الوسائط من خلال جهاز افتراضي (مثل الكاميرات)
  • معالجة البيانات بين متصفح الويب والخادم (أي رجل في المنتصف)

الدفاع ضد التزييف العميق

توفر العديد من الإجراءات المضادة الحماية ضد هذه الهجمات، وغالبًا ما تركز على تحديد ما إذا كانت العلامة البيومترية تأتي من شخص حي حقيقي.

تتضمن تقنيات اختبار الحيوية تحليل حركات الوجه أو التحقق من معلومات العمق ثلاثية الأبعاد للتأكد من تطابق الوجه، وفحص حركة وملمس القزحية (بصري)، واستشعار النبضات الإلكترونية (بالسعة)، والتحقق من بصمة الإصبع تحت سطح الجلد (الموجات فوق الصوتية).

يعد هذا النهج خط الدفاع الأول ضد معظم أنواع التزييف العميق، لكنه يمكن أن يؤثر على تجربة المستخدم، حيث يتطلب مشاركة المستخدم. هناك نوعان من اختبارات الحيوية:

  • الحماية السلبية يعمل في الخلفية دون الحاجة إلى إدخال المستخدمين للتحقق من هويتهم. قد لا يخلق احتكاكًا ولكنه يوفر حماية أقل.
  • الأساليب النشطة، والتي تتطلب من المستخدمين تنفيذ إجراء في الوقت الفعلي، مثل الابتسام أو التحدث للتأكيد على أن المستخدم على قيد الحياة، مما يوفر مزيدًا من الأمان أثناء تعديل تجربة المستخدم.

استجابة لهذه التهديدات الجديدة، يجب على المؤسسات تحديد أولويات الأصول التي تتطلب مستوى أعلى من الأمان المتضمن في اختبار الحيوية النشط ومتى لا يكون ذلك مطلوبًا. تتطلب العديد من المعايير التنظيمية ومعايير الامتثال اليوم الكشف عن الحيوية، وقد يتطلب الأمر الكثير منها في المستقبل، مع ظهور المزيد من الحوادث مثل الاحتيال المصرفي في هونغ كونغ.

أفضل الممارسات ضد التزييف العميق

يعد اتباع نهج متعدد الطبقات ضروريًا لمكافحة التزييف العميق بشكل فعال، ويتضمن فحوصات حيوية إيجابية وسلبية. تتطلب الحياة النشطة من المستخدم إجراء تعبيرات عشوائية، بينما تعمل الحياة السلبية دون مشاركة المستخدم المباشرة، مما يضمن التحقق القوي.

بالإضافة إلى ذلك، هناك حاجة إلى وظائف الكاميرا ذات العمق الحقيقي لمنع هجمات العرض التقديمي والحماية من التلاعب بالأجهزة المستخدمة في هجمات الحقن. أخيرًا، يجب على المؤسسات النظر في أفضل الممارسات التالية للحماية من التزييف العميق:

  • خوارزميات مكافحة الانتحال: يمكن للخوارزميات التي تكتشف البيانات البيومترية الحقيقية والبيانات المزيفة وتميز بينها أن تكتشف المنتجات المزيفة وتصادق على الهوية. يمكنهم تحليل عوامل مثل الملمس ودرجة الحرارة واللون والحركة وحقن البيانات لتحديد صحة العلامة البيومترية. على سبيل المثال، يبحث برنامج FakeCatcher من Intel عن تغييرات طفيفة في وحدات بكسل مقطع الفيديو التي تظهر التغيرات في تدفق الدم إلى الوجه لتحديد ما إذا كان الفيديو حقيقيًا أم مزيفًا.

  • تشفير البيانات: تأكد من تشفير البيانات البيومترية أثناء النقل والتخزين لمنع الوصول غير المصرح به. يمكن أن تؤدي ضوابط الوصول الصارمة وبروتوكولات التشفير إلى تجنب عمليات حقن الوسيط والبروتوكول التي يمكن أن تعرض صحة الهوية للخطر.
  • المصادقة التكيفية: استخدم إشارات إضافية للتحقق من هوية المستخدم بناءً على عوامل مثل الشبكات والأجهزة والتطبيقات والسياق لتقديم طرق المصادقة أو إعادة المصادقة بشكل مناسب بناءً على مستوى المخاطرة للطلب أو المعاملة.

  • الدفاع متعدد الطبقات: يمكن أن يؤدي الاعتماد على التحليل الثابت أو المتدفق لمقاطع الفيديو/الصور للتحقق من هوية المستخدم إلى قيام جهات فاعلة سيئة بالتحايل على آليات الدفاع الحالية. ومن خلال زيادة المعاملات عالية المخاطر (على سبيل المثال، التحويلات المصرفية النقدية) باستخدام بيانات اعتماد تم التحقق منها وموقعة رقميًا، يمكن حماية العمليات الحساسة بهوية رقمية قابلة لإعادة الاستخدام. ومن خلال هذا النهج، يمكن استكمال مكالمات الفيديو بعلامة اختيار خضراء تنص على “تم التحقق من هذا الشخص بشكل مستقل”.

تعزيز أنظمة إدارة الهوية

من المهم أن تتذكر أن مجرد استبدال كلمات المرور بالمصادقة البيومترية لا يعد دفاعًا مضمونًا ضد هجمات الهوية ما لم يكن جزءًا من استراتيجية شاملة لإدارة الهوية والوصول تعالج مخاطر المعاملات ومنع الاحتيال وهجمات الانتحال.

للتصدي بشكل فعال للتهديدات المعقدة التي تشكلها تقنيات التزييف العميق، يجب على المؤسسات تعزيز أنظمة إدارة الهوية والوصول الخاصة بها بأحدث التطورات في تقنيات الكشف والتشفير. ولن يؤدي هذا النهج الاستباقي إلى تعزيز أمن الأنظمة البيومترية فحسب، بل سيعزز أيضًا المرونة الشاملة للبنى التحتية الرقمية ضد التهديدات السيبرانية الناشئة.

سيكون تحديد أولويات هذه الاستراتيجيات أمرًا ضروريًا للحماية من سرقة الهوية وضمان موثوقية المصادقة البيومترية على المدى الطويل.

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى