KYC oder „Know Your Customer“ ist ein Prozess, der Finanzinstituten, Fintech-Startups und Banken dabei helfen soll, die Identität ihrer Kunden zu überprüfen. Es ist nicht ungewöhnlich, dass die KYC-Authentifizierung „Identifikationsbilder“ oder verifizierte Selfies umfasst, die verwendet werden, um zu bestätigen, dass eine Person die ist, für die sie sich ausgibt. Wise, Revolut und die Kryptowährungsplattformen Gemini und LiteBit gehören zu denen, die für zusätzliche Sicherheit auf ID-Bilder angewiesen sind.
Aber generative KI könnte diese Kontrollen in Frage stellen.
Virale Beiträge müssen einen KYC-Test bestehen. Es gibt keine Beweise dafür, dass Werkzeuge von künstliche Intelligenz Generation, die ein echtes KYC-System täuschen kann. Aber die Leichtigkeit, mit der relativ überzeugende, stark gefälschte Identifikationsbilder erhalten werden, gibt Anlass zur Sorge.
KYC betrügen
Bei einer typischen KYC-ID-Bildauthentifizierung lädt ein Kunde ein Foto von sich hoch, auf dem er ein Ausweisdokument (z. B. einen Reisepass oder Führerschein) hält, das nur er besitzen kann. Eine Person oder ein Algorithmus gleicht das Bild mit archivierten Dokumenten und Selfies ab, um (hoffentlich) Spoofing-Versuche zu vereiteln.
Die Authentifizierung per Bild-ID war noch nie narrensicher. Betrüger haben es geschafft venta von gefälschten Ausweisen und Selfies seit Jahren. Aber KI eröffnet eine Reihe neuer Möglichkeiten.
Online-Tutorials Zeigen Sie, wie Stable Diffusion, ein kostenloser Open-Source-Bildgenerator, verwendet werden kann, um synthetische Darstellungen einer Person vor jedem gewünschten Hintergrund (z. B. einem Wohnzimmer) zu erstellen. Mit ein wenig Versuch und Irrtum kann ein Angreifer die Darstellungen so ändern, dass sie zeigen, dass das Ziel offenbar über ein Ausweisdokument verfügt. An diesem Punkt kann der Angreifer ein beliebiges Bildbearbeitungsprogramm verwenden, um ein echtes oder gefälschtes Dokument in die Hände der gefälschten Person zu schleusen.
KI wird den weit verbreiteten Einsatz der Kryptographie mit privaten Schlüsseln und der dezentralen Identifizierung rasch beschleunigen. Schauen Sie sich diesen Reddit-„Verifizierungsbeitrag“ und die mit Stable Diffusion vorgenommene Identifizierung an. Wenn wir unseren Augen nicht mehr trauen können, um festzustellen, ob Inhalte echt sind, greifen wir zur angewandten Kryptographie. pic.twitter.com/6IjybWRhRa – Justin Leroux (@0xMidnight) Januar 5 2024
Um nun mit Stable Diffusion die besten Ergebnisse zu erzielen, müssen Sie zusätzliche Tools und Erweiterungen installieren und etwa ein Dutzend Bilder des Ziels erstellen. Ein Reddit-Benutzer mit dem Benutzernamen _harsh_, der einen Workflow zum Erstellen gefälschter ID-Selfies gepostet hat, sagte, dass es ein bis zwei Tage dauert, ein überzeugendes Bild zu erstellen.
Aber die Eintrittsbarriere ist sicherlich niedriger als früher. Erstellen von Identifikationsbildern mit realistischer Beleuchtung, Schatten und Umgebungen Erfordert etwas fortgeschrittene Kenntnisse der Fotobearbeitungssoftware. Nun, das ist nicht unbedingt der Fall.
Das Eingeben gefälschter KYC-Bilder in eine App ist noch einfacher als das Erstellen. Android-Apps, die auf einem Desktop-Emulator wie Bluestacks ausgeführt werden, können dazu verleitet werden, gefälschte Bilder anstelle eines Live-Kamera-Feeds zu akzeptieren, während Apps im Web durch Software vereitelt werden können, die es Benutzern ermöglicht, jede Bild- oder Videoquelle in eine virtuelle Webcam umzuwandeln.
wachsende Bedrohung
Einige Apps und Plattformen implementieren „Liveness“-Prüfungen als zusätzliche Sicherheit zur Überprüfung der Identität. In der Regel nimmt ein Benutzer ein kurzes Video auf, in dem er den Kopf dreht, blinzelt oder auf andere Weise zeigt, dass er tatsächlich eine echte Person ist.
Aber auch Lebensprüfungen können mithilfe generischer KI umgangen werden.
NEWS: Unsere neuesten Forschungsergebnisse sind jetzt verfügbar! Wir haben herausgefunden, dass 10 der beliebtesten biometrischen KYC-Anbieter sehr anfällig für Deepfake-Angriffe in Echtzeit sind. Und das gilt auch für Ihre Bank, Ihre Versicherung oder Ihren Gesundheitsdienstleister. Vollständiger Bericht unter https://t.co/vryGJ7na0ihttps://t.co/VVaSZrCZRn — Sensibilität (@sensityai) Mai 18 2022
Anfang letzten Jahres sagte Jimmy Su, Chief Security Officer der Kryptowährungsbörse Binance, sagte Cointelegraph dass aktuelle Deepfake-Tools ausreichen, um Liveness-Checks zu bestehen, selbst solche, bei denen Benutzer Aktionen wie das Drehen des Kopfes in Echtzeit ausführen müssen.
Das Fazit ist, dass KYC, das ohnehin schon unvorhersehbar war, als Sicherheitsmaßnahme bald unbrauchbar werden könnte. Su seinerseits glaubt nicht, dass Deepfake-Bilder und -Videos den Punkt erreicht haben, an dem sie menschliche Kritiker täuschen können. Aber es könnte nur eine Frage der Zeit sein, bis sich das ändert.
