2019年網絡安全預測:
攻擊者入侵人臉識別軟件以盜取用戶的面容信息
黑客會將入侵最終用戶的人臉識別軟件看作是一次賭博, 組織應通過基於行為的系統作出響應。
人臉識別技術
數字、指紋及面容密碼的哪個更安全?
對於攻擊者來說,成功盜取到合法憑證時的感覺,就像是中彩票一樣。最終用戶將被拒無法登錄帳戶、不能訪問 Dropbox 和 Microsoft Office 365 等第三方雲服務、關鍵數據被他人下載或完全擦除。暴增的數據洩露事件反映出一個簡單的事實:電子郵件地址、密碼和個人信息(喜歡的顏色、 寵物的名稱)都不足以保護在線身份。
2017 年 Google、加州大學伯克利分校和國 際計算機研究中心共同展開的一項研究顯示, 在最終用戶身份盜用事件中,網絡釣魚排名第一,仍然是最慣用的伎倆。根據研究人員的計算,2016 年到 2017 年總共有超過 1240 萬人被網絡釣魚所害,表明我們必須強化認證機制以減少信息盜用事件的發生。
盜取憑證是最舊(也是最有效)的手段,但這不表示攻擊者沒有研究出新的把戲。雙因素認證 (2FA) 帶來了額外一層的安全防護; 但即便是這個方法也存在漏洞:大多數情況都需要通過手機完成。
面容密碼的安全性
攻擊者通過釣魚和社交工程手段欺騙用戶
2018 年,第一個比特幣愛好者天使投資集團的聯合創始人 Michael Terpin 對電信公司 AT&T 提起一項 2.24 億美元的訴訟,稱因一 次“SIM 轉號”而導致其損失了價值 2400 萬 美元的加密貨幣。攻擊者通過釣魚和社交工程手段欺騙客戶服務代表將 Terpin 的手機號碼 轉到一個無法追蹤的“一次性”手機上。一旦轉號,犯罪者就能輕易得逞,如同點擊“忘記 密碼?”鏈接獲取密碼一樣簡單。
生物特徵識別技術超越了 2FA 驗證,其使用 每個最終用戶更獨特的數據。乍一看,通過生理生物特徵傳感器來驗證個人身份的做法,似 乎很可能會取代 2FA 驗證。指紋、動作、虹膜識別,所有這些都使得攻擊者難以通過盜取其他人的身份來訪問資源。
虹膜識別
人臉識別存在嚴重的漏洞
但近年來,即使是生物特徵識別技術也開始被破解。2016 年,密歇根州立大學的研究人員 發現了便宜又簡單的方法,只需使用標準噴墨打印機即可打印指紋圖像。2017 年,紐約大學 (NYU) 坦登工程學院的研究人員能夠使用數字技術修改“萬能指紋”,匹配任何人的指紋。
得益於 Apple 推出的 iPhone X,人臉識別已成為主流,這款手機使用了泛光感應元件、 紅外攝像頭和點陣投影器來進行 3D 人臉測量,他們聲稱照片、視頻或任何其他類型的 2D 媒體都無法滿混過關。
但事實是,人臉識別存在嚴重的漏洞,這也是我們認為黑客會在 2019 年竊取公眾面容的原因。事實上,這已經發生了,雖然目前只有研究人員能做到。2016 年,北卡羅來納大學的安全和計算機視覺專家使用社交媒體和搜索引擎上公開的數字照片,配合移動 VR 技術,成功戰勝了人臉識別系統。
VR技術
許多用戶仍對這些類型的攻擊一無所知
密碼是可以更改的,而物理生物識別特徵是遺傳所得,而且每個人都不一樣。基於同樣的原理,行為生物特徵。 通過合併一個人的身體動作,包括敲擊鍵盤、移動鼠標、滾動速度、字段切換方式,以及根據加速度計和陀螺儀檢測到的手機操控方式,提供了一個連續的認證層。這樣可以杜絕騙子模仿這些動作的可能性。
將行為生物特徵同基於 FaceID 或 2FA 等先進技術的強認證相結合,是更為明智的做法。組織可通過登錄時和使用中/連續驗證等機制識別出劫持開放工作資料的入侵者,為基於風險的方法。打好基礎,以便在風險升級時觸發驗證檢查點。
社交平臺最大的擔憂,許多用戶仍對這些類型的攻擊一無所知,很容易就會上當受騙。
閱讀更多 大米粒說安全 的文章
