ШІ-атаки на біометрію: нова загроза для криптокористувачів
У блозі криптобіржі Binance з’явилась публікація, яка привернула увагу до нової небезпечної загрози — face attack. Це тип атаки, коли зловмисники підроблюють зовнішність користувача з допомогою штучного інтелекту, щоб пройти біометричну ідентифікацію на криптоплатформах і отримати доступ до коштів. Ми підготували структурований виклад ключових тез і розповідаємо, як працює атака, кого вона стосується, як її уникнути та як реагує індустрія.
Що таке face attack і чому це важливо
Face attack — це складний метод шахрайства, який поєднує глибокі фейки (deepfake), AI-генерацію зображень і соціальну інженерію. Шахрай бере фотографії жертви з публічних джерел — соцмереж, блогів, публікацій — і створює реалістичну 3D-модель її обличчя. Далі ця модель використовується для обходу системи KYC (know your customer) на криптобіржах.
Біометрична ідентифікація вже давно стала стандартом для криптосервісів. Вона сприймалась як безпечніша альтернатива паролям. Але завдяки розвитку генеративного ШІ візуальну ідентифікацію стало набагато легше зламати. Атаки на біометрію дедалі частіше спрямовані не лише на публічних осіб, а й на звичайних користувачів із помітною активністю в мережі.
Як відбувається атака на ваше обличчя
Face attack може реалізовуватись у кілька етапів:
-
1
Збір даних: Шахраї знаходять чіткі фото користувача з відкритих джерел, зокрема ті, де обличчя видно з різних ракурсів.
-
2
Генерація фейкового відео: З допомогою нейромереж (наприклад, DeepFaceLab, D-ID, HeyGen) створюється відео, де «жертва» кліпає, говорить, повертає голову — все, що вимагає система KYC.
-
3
Фішинговий захват: Часто все починається з фішингу — жертву заманюють на підробний сайт платформи або переконують добровільно пройти верифікацію під приводом оновлення акаунта.
-
4
Активація злому: Фейкове відео використовується, щоб пройти ідентифікацію, змінити email, пароль або налаштування безпеки, після чого зловмисники виводять кошти.
Підписуйтеся на наші соцмережі
На перший погляд це може звучати як щось складне і малоймовірне. Але насправді інструменти для таких атак доступні у відкритому доступі, а рівень їхньої реалістичності вражає.
Хто у групі ризику
Найбільш вразливі до face attack ті, хто активно публікує свої фото онлайн, особливо у високій роздільності. Сюди входять інфлюенсери, криптоблогери, підприємці, публічні фахівці — тобто ті, хто має розпізнаване обличчя й активи, які можуть зацікавити зловмисників.
Але ризик зростає і для звичайних користувачів. Якщо ваші фото доступні в соцмережах, а ви маєте акаунти на криптобіржах або використовуєте біометрію для доступу до сервісів — ви потенційна мішень.
Як захистити себе від крадіжки обличчя
Сучасна цифрова гігієна повинна враховувати загрози генеративного ШІ. Для зниження ризику face attack варто дотримуватись таких порад:
- Мінімізуйте свій візуальний слід: не викладайте багато чітких портретних зображень, особливо в хорошій якості. Якщо публікація неминуча — зменшуйте роздільну здатність, додавайте фільтри або водяні знаки.
- Уникайте однофакторної біометрії: не використовуйте лише Face ID для доступу до важливих акаунтів. Завжди додавайте другий рівень захисту — апаратний ключ, TOTP-генератор або щонайменше SMS-підтвердження.
- Будьте пильними до фішингу: перевіряйте URL сайту, не натискайте на посилання з листів або повідомлень, навіть якщо вони виглядають правдоподібно.
- Слідкуйте за активністю акаунтів: перевіряйте історію входів, підозрілі IP-адреси, наявність авторизованих пристроїв.
- Використовуйте сервіси самоперевірки: є інструменти, що допомагають з’ясувати, чи ваше фото потрапило в бази даних для ШІ-навчання.
- Не зберігайте seed-фрази у хмарах або нотатках: використовуйте офлайн-зберігання, шифрування або апаратні гаманці.
Уся справа в багаторівневому підході: не можна покладатися лише на біометрію або лише на паролі. Потрібна комбінація захистів і цифрова обачність.
Що роблять криптоплатформи у відповідь
Великі криптокомпанії вже працюють над адаптацією систем безпеки до реалій ШІ. Binance, зокрема, використовує розширені алгоритми перевірки «живості» обличчя. Система аналізує не просто зображення, а й мікрорухи м’язів, блимання, навіть природність погляду.
Інші біржі впроваджують додаткові рівні перевірок на етапі транзакцій: наприклад, щоб вивести крипту, потрібно повторно пройти ідентифікацію через мобільний застосунок або підтвердити дію на whitelist-адресу. Деякі платформи тестують автоматичне блокування транзакцій, якщо виявляється підозрілий вхід з іншої країни або неочікуваний пристрій.
Розробники також вдосконалюють інструменти машинного навчання, що виявляють ознаки синтетичних відео: ідеально симетричне обличчя, неприродна анімація, відсутність шумів чи рефлексів.
Ще один важливий аспект — захист біометричних даних. Біржі оновлюють протоколи зберігання: обмежують доступ до відеоверифікацій, шифрують їх і скорочують терміни зберігання.
Майбутнє ідентифікації в епоху deepfake
Face attack — лише перша хвиля атак нового покоління, що експлуатують можливості ШІ. І хоча криптоплатформи вже вживають заходів, користувачам доведеться звикати до думки, що біометрія — це не панацея, а лише частина системи безпеки.
У майбутньому дедалі більше сервісів комбінуватимуть різні типи автентифікації: поведінкову, контекстну, фізичну. Наприклад, аналіз стилю натискання клавіш або звичної маршрутизації трафіку. Усе це стане стандартом цифрового життя.
Тим часом, найкращий захист — обачність. Контролюйте те, що викладаєте, думайте, перш ніж проходити верифікацію, і налаштовуйте багаторівневий захист. У світі ШІ розпізнавання обличчя більше не гарантує, що це справді ви.
Цей матеріал підготовлений на основі інформації з відкритих джерел. Редакція самостійно відбирає ключові факти, аналізує їх та структурує за допомогою AI-інструментів.
0
Підписуйтеся на наші соцмережі
Оперативка
Пиши на SPEKA!
Будь в курсі зі SPEKA!
Раз на тиждень ми будемо відправляти вам найцікавіші редакційні матеріали.
