深度假冒技术的威胁：人脸交换攻击激增

关键要点

• 2023年，使用「人脸交换」技术的深度假冒攻击增加了704%。
• 免费和低成本的人脸交换工具以及移动模拟器促进了越来越多的攻击行为。
• 深度假冒者主要针对手动或混合的身份验证系统，认为人类比计算机系统更容易被欺骗。
• 研究显示，人工检测深度假冒的能力有限，存在风险。

根据周三发布的一份报告，2023年，利用“人脸交换”技术尝试绕过远程身份验证的深度假冒攻击增长了704%。身份验证公司iProov在其名为《2024年威胁情报报告》的报告中指出，免费和低成本的人脸交换工具、虚拟摄像头和移动模拟器推动了越来越多专注于深度假冒的威胁行为者的活动。

iProov首席科学官安德鲁·纽威尔在公开声明中表示：“生成式AI为威胁行为者的生产力水平提供了巨大的提升：这些工具相对成本低廉，易于访问，并能创建极具说服力的合成媒体，如人脸交换或其他形式的深度假冒，这些可以轻易愚弄人类的眼睛以及较不先进的生物识别解决方案。”

除了将人脸交换确定为「持续威胁行为者的首选假冒方式」外，iProov的安全运营中心（iSOC）还发现，针对移动身份验证平台的注入攻击增加了255%，而这些攻击中使用模拟器的情况则上升了353%。

另外，对攻击生物识别和视频识别系统的信息交流的威胁组织数量在2022年至2023年间几乎翻倍，其中47%的这些组织是在过去一年内出现的。

生成式AI为深度假冒者提供更好且更便宜的工具包

可以轻松下载的免费和低成本人脸交换应用程序已从一种有趣的玩物演变为强大的欺骗工具。与Snapchat滤镜可以与朋友交换脸部以获得乐趣不同，研究人员发现，SwapFace、DeepFaceLive和Swapstream等深度假冒应用是对远程身份验证系统进行攻击时最常用的工具。

高级攻击者可以熟练使用这些AI应用制作现实主义的即时运动视频，并利用盗取的自拍照作为面具或木偶来欺骗视频验证系统。深度假冒视频通常与使用虚拟摄像头的数字注入攻击结合使用，这类攻击用来替换正常用于显示面部的摄影头。例如，OBSStudio作为一个合法的开源串流工具，其虚拟摄像头功能可能被用来展示深度假冒视频。

数字注入攻击技术上比展示攻击更为高级，后者的方式是在摄像头前举起面具或屏幕视频。尽管许多面部生物识别系统配备了展示攻击检测（PAD），但注入攻击更难检测到，而其频率在2023年翻了一倍，根据。

iProov指出，模拟器（例如免费的官方AndroidStudio开放开发套件中的Android模拟器）可以帮助威胁者隐藏虚拟摄像头的使用，并更有效地针对移动验证系统。举例来说，一位高级攻击者可以生成深度假冒并在PC上设置虚拟摄像