暗网行动完全专注于绕过KYC——黑客建立身份欺诈数据库

iProov是一家基于科学的生物特征身份验证解决方案提供商，iProov的威胁情报研究人员发现了一个大规模的暗网行动，该行动专门用于绕过“了解你的客户”（KYC）验证检查。该暗网行动涉及系统地收集真实的身份证件和相应的面部图像。该行动背后的暗网犯罪团伙似乎一直在窃取面部身份证件图像以及与之相关的真实身份证件。

暗网人脸识别行动的威胁

iProov生物识别威胁情报部门的研究人员发现了暗网上正在实施的看似简单但同时又十分复杂的身份保护绕过操作。iProov分析师将这一重大行动描述为“通过系统收集真实身份证件和图像来破坏身份验证系统”，并表示这表明身份欺诈的性质正在不断演变。

正如iProov在2024年第四季度威胁情报更新报告中详细指出的那样，此次行动背后的未具名犯罪暗网威胁组织已经积累了“大量身份证件和相应的面部图像”，报告称，这些图像“专门为破坏‘了解您的客户‘（kyc）验证流程而设计”。此类系统在防止针对银行和其他金融机构的身份欺诈方面发挥着关键作用。

然而，在这个特殊案例中，最有趣的是，这似乎并不是从已发布的被盗数据库中抓取被泄露的生物特征数据的问题，而是看起来像是通过向用户付费来获取身份。

该案例具体有以下特征：

• 暗网身份欺诈行动：iProov发现了一个复杂的暗网网络，该网络收集真实身份证件和面部图像以绕过KYC验证。
• 自愿身份泄露：拉丁美洲和东欧等地区的个人愿意出售其个人和生物特征数据以获取短期经济利益。
• 不断发展的欺诈技术：攻击者使用从基本的静态图像到高级工具（如深度伪造软件和自定义AI模型）等方法来绕过活体检查。
• 全球生物特征数据风险：备受瞩目的泄密事件（例如ZKTeco和ChiceDNA）揭示了生物特征访问系统和面部识别技术中的漏洞。
• 需要多层防御：专家建议采用先进的实时验证、质询-响应机制和持续监控来应对这些复杂的威胁。

KYC攻击流程——暗网面部识别资源如何最大化威胁

iProov报告警告称，这一面部ID储存库的发现凸显了“验证系统面临的多层挑战”，并提供了攻击过程的细分，以说明企业不仅需要能够检测虚假文件，还需要能够检测欺诈性金融应用程序中使用的100%真实凭证。攻击过程细分如下，并详细说明了新发现的面部ID和文件资源是如何参与其中的：

文档验证

标准文件验证流程能够检测出更改和伪造的身份证件，但是，使用暗网组织提供的真实、100％合法的文件使得这种传统的验证方法变得不可靠。

面部匹配

面部匹配算法可以将提交的照片与相关身份证件进行准确比对。但是，当合法的面部图像与合法且对应的身份证件配对时，基本的验证系统可能会出现问题。

活体检测

虽然身份验证攻击涉及不同程度的复杂程度，而且由于活体检测等技术，基本攻击总是更容易被发现，但企业需要了解所有攻击类型，以便最好地防御所有攻击。基本方法包括打印照片和篡改身份证件，中级攻击可能使用实时人脸交换和深度伪造与真实文件相结合，高级攻击可以使用3D建模和实时动画来尝试响应活体检测检查。

暗网黑客付费获取面部图像和辅助身份证明文件——用户愿意参与

iProov首席科学官安德鲁·纽厄尔（Andrew Newell）表示：“这一发现尤其令人担忧，不仅仅是因为操作的复杂性，还因为个人为了短期经济利益而心甘情愿地泄露自己的身份。”他说得并没有错，因为这不仅仅是出售身份数据的问题，而且还冒着自身安全的风险。“他们为犯罪分子提供了完整、真实的身份信息包，可用于复杂的冒充欺诈。”纽厄尔警告说，“这个过程更加危险的是，我们在这里谈论的是身份匹配对的完美风暴：真实的文件和真实的匹配生物特征数据，这使得它们极难通过传统的验证方法检测到。”

“暗网下/AWX”对iProov的报告进行了分析，iProov发现的暗网行动主要发生在拉丁美洲和东欧地区，对依赖生物特征验证的组织提出了重大挑战。真实的凭证与匹配的面部图像相结合，可以轻松绕过传统的文件验证和基本的面部匹配系统。

此外，这些攻击的复杂程度还在不断提高。虽然基本攻击使用简单的方法，如打印照片或静态图像，但中层攻击者使用更先进的技术，如实时换脸和Deepfake软件。

最老练的攻击者利用定制的人工智能模型和专门的软件来创建可以响应活体挑战的合成面孔，这使得区分真实和虚构的互动变得越来越困难。

这表明，验证系统在检测未经授权的个人滥用的伪造文件和真实凭证方面面临多层次的挑战。指纹和面部识别等生物特征数据越来越多地用于身份识别和安全目的。然而，最近涉及主要供应商和服务提供商的事件凸显了对这些敏感信息的日益严重的威胁。

抵御不断演变的暗网身份攻击所需的多层缓解措施

iProov的研究人员在减轻这些暗网上的团体收集攻击资源而进行的身份欺诈方面提出了一些重要建议。事实上，这些缓解措施可以归结为一个关键要点：实施多层验证系统。然而，值得注意的是，iProov建议这种方法必须包括确认以下所有内容才能有效：

• 通过将出示的身份与官方文件进行比对，确认这是正确的人。
• 通过使用嵌入式图像和元数据分析来确认这是一个真实的人，以便能够最好地检测任何恶意媒体。
• 通过使用独特的挑战-响应，确认身份验证是实时提交的。
• 结合技术和威胁情报，以便能够检测、响应和缓解验证系统上的威胁。此托管检测和响应系统必须包括：
  • 持续监控。
  • 事件响应。
  • 主动搜寻威胁。
  • 利用专业知识。
  • 对潜在攻击场景进行逆向工程的技能。
  • 主动构建防御以减少攻击的能力。

IProov表示：“这种多层方法使攻击者成功欺骗身份验证系统的难度成倍增加。即使是先进的攻击也很难同时击败所有这些安全措施，同时保持真正的人类互动的自然特征。”

攻击者已经可以绕过面部生物识别的有效性检测——无需暗网参与

威胁情报和安全专家Group-IB的研究人员已经证明，面部生物识别中的活体检测不再是验证的黄金标准。Group-IB的研究揭示了攻击者如何使用AI生成的深度伪造图像绕过生物特征验证系统，在涉及一家著名印尼金融机构的真实案例研究中，攻击者能够绕过活体检测保护措施。Group-IB的网络欺诈分析师Yuan Huang表示：“利用先进的AI模型，换脸技术使攻击者能够仅使用一张照片实时将一个人的脸替换为另一个人的脸。”这不仅使视频中个人的身份合法化，而且，Huang继续说道，“这些技术可以有效地欺骗面部识别系统，因为它们的切换无缝、看起来自然，并且能够令人信服地模仿实时表情和动作。使用虚拟摄像头软件和使用模仿实时面部识别的预录视频操纵生物特征数据也发挥了一定作用，应用程序克隆的使用进一步使欺诈者能够模拟多台设备，凸显了传统欺诈检测系统中的漏洞。”卡巴斯基年初研究发现，暗网市场上存在深度伪造制作工具和服务。这些服务为各种目的提供GenAI视频创建服务，包括欺诈、勒索和窃取机密数据。

最后，“暗网下/AWX”给考虑在暗网上出售自己的脸部和文件的消费者的建议——无论是否在暗网上出售，都别。如果有人故意从暗网联系你，或者更有可能不是，向你提供现金以换取你的照片和身份证件复印件，请不要这样做。无论短期激励有多大，它都可能很快变成一个代价高昂的错误。