Blog
Fintech
Verifikasi Identitas

AI Generatif dan Penipuan Identitas yang Diintensifkan

Pemalsuan yang dihasilkan AI menantang KYC karena sistem verifikasi identitas harus menganalisis metadata perangkat, konteks perilaku, dan kualitas presentasi untuk membedakan nyata dari sintetis.
March 20, 2024
7 menit
Keqiang Xu, Yuqi Chen

Februari ini, OpenAI merilis model AI text-to-video pertamanya, Sora, menarik perhatian publik yang besar sebagai kemajuan revolusioner dalam AI dan produksi video. Sementara kemampuan menghasilkan gerakan dan adegan canggih membuka peluang baru di seluruh industri, itu juga menghadirkan tantangan yang belum pernah terjadi sebelumnya bagi bisnis, terutama dalam bentuk ancaman deepfake yang intensif. Perkembangan AI yang cepat telah secara signifikan memperumit verifikasi identitas pengguna, memberikan penipu banyak peluang untuk mengeksploitasi kerentanan.

“Polisi Hong Kong baru-baru ini mengungkapkan kasus besar penipuan AI di mana seorang karyawan keuangan dari sebuah perusahaan multinasional ditipu oleh seorang scammer menggunakan teknologi pertukaran wajah AI untuk menyamar sebagai CFO perusahaan. Terlepas dari kecurigaan awal, karyawan itu diyakinkan ketika rekan-rekan lain bergabung dengan panggilan video, yang mengarah ke transfer 200 juta dolar Hong Kong ke akun yang tidak diketahui.”

Kasus ini mencontohkan perkembangan signifikan dalam penyalahgunaan AI dalam domain penipuan telekomunikasi. Pada artikel ini, kami akan merekonstruksi proses penipuan identitas terkait AI, serta langkah-langkah pencegahan untuk mengatasi tantangan ini.

Proses Serangan Awal

Proses serangan penipuan awal dapat dipecah menjadi langkah-langkah berikut: mendapatkan kepercayaan korban melalui taktik rekayasa sosial, mendapatkan kendali atas perangkat seluler mereka, mencuri akun, mentransfer dana atau mengonsumsi batas kredit. Dan setelah mencapai identitas pengguna, penipu akan memulai serangan peniruan seperti AI face swapping, presentasi atau serangan injeksi yang melewati deteksi keaktifan, dan mentransfer dana/mengajukan pinjaman atau mengkonsumsi batas kredit.

💡 Dalam konteks keamanan informasi, rekayasa sosial adalah taktik memanipulasi, mempengaruhi, atau menipu korban untuk mendapatkan kendali atas sistem komputer, atau untuk mencuri informasi pribadi dan keuangan. Ini menggunakan manipulasi psikologis untuk mengelabui pengguna agar membuat kesalahan keamanan atau memberikan informasi sensitif.

Persiapan

  • Membangun situs web phishing yang menyamar sebagai lembaga pemerintah seperti kementerian keamanan publik, departemen keuangan, dan kantor perpajakan.
  • Merancang UI yang menyerupai Google Play, TestFlight, dan lainnya untuk memikat pengguna agar mengunduh malware.

Mendapatkan Kepercayaan

Tujuan dari langkah ini adalah untuk menginstal malware di perangkat seluler korban untuk mendapatkan akses kontrol.

  • Memulai kontak melalui panggilan telepon/pesan teks, mengarahkan korban untuk berkomunikasi melalui aplikasi pesan instan.
  • Memberi tahu korban untuk menginstal 'perangkat lunak' sendiri atau untuk anggota keluarga mereka, konon untuk mengklaim pensiun digital, pengembalian pajak, atau mengajukan pinjaman berbunga rendah.
  • Membujuk korban untuk mengunduh malware melalui platform yang mirip dengan Google Play dan TestFlight, sementara juga memanipulasi perangkat Apple melalui Mobile Device Management (MDM).

Perangkat Pengontrol

Tindakan ini membuat langkah-langkah keamanan khas seperti mengubah perangkat, deteksi IP, dan otentikasi dua faktor tidak efektif.

  • Mengontrol perangkat seluler host dari jarak jauh.
  • Menggunakan perangkat yang terinfeksi sebagai proxy untuk lalu lintas.
  • Menginstal plugin filter SMS untuk mengarahkan semua pesan ke server eksternal.
  • Mengambil gambar dari galeri korban dan menangkap data pengenalan wajah.

Mencuri Akun

Langkah kritis ini mengambil hampir seluruh rangkaian informasi pribadi dari perangkat korban.

  • Menyalahgunakan AccessibilityService untuk membaca antarmuka pengguna (UI) dan penekanan tombol, untuk mengambil kata sandi.
  • Mengarahkan pengguna ke situs web phishing untuk mendapatkan informasi pribadi: nama, email, rekening bank, nomor telepon, alamat, foto ID, data pengenalan wajah dan sebagainya.

Menguntungkan

Pada tahap ini, penipu telah memperoleh kendali penuh atas perangkat. Korban tidak dapat menerima pemberitahuan yang relevan karena pesan dicegat.

  • Meluncurkan serangan massal dan berulang kali menggunakan informasi korban untuk menyita aset.

Munculnya taktik ini dapat ditelusuri kembali ke pembaruan kebijakan privasi Google Store pada akhir 2023, di mana izin yang terkait dengan pengambilan lokasi, daftar aplikasi, SMS/log panggilan, dan kamera diperketat. Selain itu, ini memperluas klasifikasi aplikasi dengan izin serupa dan kode berbahaya sebagai perangkat lunak sampah.

Dengan latar belakang ini, serangan peniruan lintas platform menjadi semakin populer. Biasanya, penipu memiliki pemahaman mendalam tentang fungsionalitas dan persyaratan audit dalam domain tertentu. Mereka akan menyelidiki langkah-langkah keamanan di platform serupa dan memulai serangan massal sesudahnya.

Saat ini, tim intelijen TrustDecision telah memantau serangan semacam itu yang melanda negara-negara seperti Thailand, Filipina, Vietnam, Indonesia, Peru, dll.

Proses Serangan Turunan - Menggunakan AIGC

  • Menyelidiki kategori aplikasi dan SDK umum.
  • Menginstal aplikasi target.
  • Mendaftarkan akun di platform target.
  • Menggunakan identitas yang dicuri untuk memperoleh lebih banyak data.
  • Menggunakan AI untuk menghasilkan video: pertukaran wajah, pembuatan video untuk presentasi atau serangan injeksi.
  • Menyelesaikan verifikasi identitas.
  • Menarik uang atau mengkonsumsi batas kredit.

Dalam skenario ini, verifikasi identitas menjadi rumit karena semua 'pelamar' mengirimkan informasi pengguna otentik, menimbulkan tantangan bagi alat KYC konvensional untuk mendeteksi penipuan identitas. Selain itu, penipu mendapat informasi yang baik tentang kelayakan kredit pemilik data, memastikan bahwa itu memenuhi persyaratan pengendalian risiko platform.

💡 Saat ini, sebagian besar solusi pengenalan wajah menggunakan Presentation Attack Detection (PAD) untuk menentukan apakah identitasnya asli.

💡 Serangan presentasi adalah ketika penyerang menggunakan data biometrik palsu atau simulasi, seperti topeng atau foto, untuk menipu sistem otentikasi biometrik, seperti pengenalan wajah. PAD bertujuan untuk membedakan antara wajah manusia hidup dan imitasi semacam itu. Ini terutama digunakan untuk bertahan melawan serangan presentasi. Namun, semakin banyak penipu sekarang beralih ke deepfake untuk melakukan serangan injeksi, yang melewati kamera fisik dan menggunakan alat seperti kamera virtual untuk langsung memasukkan gambar ke dalam aliran data sistem.

Kasus

Mempertimbangkan ketersediaan data, biaya serangan, dan kompleksitas enkripsi platform, penipu dapat memulai berbagai bentuk serangan, termasuk tetapi tidak terbatas pada menyajikan foto yang dimanipulasi, model kepala, gambar cetak, pembuatan film layar, dan serangan injeksi, dll.

Kasus 1

Pendekatan: Photoshop untuk mengganti potret kartu ID, memfilmkan layar, dan memegang model kepala 3D untuk melewati deteksi keaktifan.

Karakteristik Data: Data demografis yang serupa/hampir identik dikumpulkan, fitur wajah yang sangat identik digabungkan

Label Risiko: photoshop, tepi gambar abnormal, wajah palsu

Target: Untuk mendeteksi dasar kemampuan pengendalian risiko platform

Kasus 2

Pendekatan: Ubah nama ID, gunakan bahan cetak atau film layar

Karakteristik Data: Data demografis yang serupa/hampir identik dikumpulkan, fitur wajah yang sangat identik digabungkan

Label Risiko: photoshop, refleksi, efek moire

Target: Untuk memalsukan identitas, lewati deteksi keaktifan dan perbandingan potret berikutnya

Kasus 3

Pendekatan: Memproduksi video secara massal setelah mengetahui algoritma deteksi keaktifan platform

Karakteristik Data: Tingkat kelulusan deteksi keaktifan yang sangat tinggi, latar belakang video yang sangat mirip dan pakaian pelamar

Label Risiko: AIGC, serangan injeksi

Target: Untuk memalsukan identitas, lewati deteksi keaktifan dan perbandingan potret berikutnya

Pertanyaan kritis muncul..

Bagaimana mempersiapkan serangan seperti itu?

Risiko di atas berasal dari kombinasi teknologi dan taktik termasuk rekayasa sosial, malware, remote control, dan AIGC, dll. Untuk mengatasinya, platform harus meningkatkan pendidikan pengguna dalam hal kewaspadaan terhadap penipuan, memperkuat keamanan aplikasi dengan firewall dan alat deteksi dan penghapusan malware, dan mengembangkan mekanisme pemantauan yang efektif. Selain itu, mereka harus meningkatkan strategi untuk menangani aplikasi AIGC berbahaya dan terus memperbarui algoritma anti-penipuan untuk mendeteksi dan menanggapi perilaku berisiko dengan segera.

Dalam hal implementasi, ini Melibatkan desain logika bisnis, rekonstruksi alat dan teknik, pemantauan dan analisis proses dan hasil verifikasi identitas, analisis perilaku verifikasi, penanggulangan model CV, pemberdayaan model AI pengambilan keputusan, dan melengkapi pengambilan offline, dll.

TrustDecision menyarankan:

  • Menetapkan database profil risiko yang komprehensif termasuk perangkat pengguna, IP, informasi akun, dll.
  • Melakukan pemindaian lingkungan untuk memastikan keamanan operasional dan jaringan. Lingkungan yang rentan adalah sarang serangan injeksi.
  • Mendeteksi anomali agregasi data. Misalnya, agregasi abnormal informasi perangkat, fitur wajah, informasi akun, data demografis.
  • Verifikasi lisensi. Ini berfungsi untuk melindungi aset utama, seperti hasil validasi, terhadap serangan replay dan panggilan API berbahaya.
  • Mendeteksi materi verifikasi identitas yang dikirimkan. Verifikasi fitur wajah untuk mencegah anomali dan deepfake.
  • Siapkan peringatan untuk pemantauan anomali untuk situs dan negara terkait.
  • Mendidik pengguna Anda.
    • Jangan mengklik tautan yang mencurigakan, karena malware seluler sering menyebar melalui tautan berbahaya di email, pesan teks, dan posting media sosial.
    • Beri tahu pengguna untuk hanya mengunduh aplikasi dari platform resmi seperti Google Play Store dan Apple App Store.
    • Saat menginstal aplikasi baru, tinjau izin yang diminta dengan cermat, dan tetap waspada saat aplikasi meminta layanan aksesibilitas.
    • Publikasikan nomor telepon resmi platform untuk mencegah penyerang menyamar sebagai layanan pelanggan platform.
    • Ingatkan pengguna untuk memeriksa kotak masuk SMS mereka secara manual untuk pesan verifikasi dari platform yang tidak dikenal.

Tentang TrustDecision

Untuk secara efektif mengurangi risiko yang ditimbulkan oleh serangan deepfake yang digerakkan oleh AI, sangat penting untuk memperkenalkan teknologi verifikasi identitas yang efektif dan kuat. Ini termasuk menerapkan langkah-langkah pencegahan dalam hal ATO dan aplikasi penipuan lainnya.

TrustDecision menawarkan solusi anti-penipuan aplikasi yang komprehensif dengan mengintegrasikan kemampuan pengenalan risiko titik akhir, algoritma deteksi keaktifan, dan kemampuan deteksi anomali gambar. Rangkaian solusi kami, termasuk KYC ++ dan Deteksi Penipuan Aplikasi, dirancang untuk memerangi risiko penipuan identitas yang berasal dari teknik AI generatif canggih, seperti serangan presentasi dan serangan injeksi. Dengan memanfaatkan alat-alat inovatif ini, bisnis dapat mengurangi risiko kerugian penipuan yang meningkat, melindungi operasi dan aset mereka.

Sekarang tersedia di
Tonton di YouTube
Dengarkan di Spotify
Unduh Buku Putih
Daftar isi

Posting Terkait

Lihat Semua
Lihat Semua
Lihat Semua
Lihat Semua
Blog
Verifikasi Identitas

Panduan eKYC: Jenis, Metode Baru, dan Bagaimana AI Meningkatkan Verifikasi yang Lebih Cerdas

October 22, 2025
5 menit
Blog
Verifikasi Identitas

Ketika Kejahatan Memenuhi Kode: Bagaimana Deepfake Mendefinisikan Ulang Risiko Penipuan

May 20, 2025
5 menit
Blog
Fintech
Verifikasi Identitas

Keamanan Keuangan di Era AI: Pertempuran Antara Deepfake dan Verifikasi Identitas

November 12, 2024
8 menit
Blog
Verifikasi Identitas

2024 6 Penyedia eKYC Teratas: Perbandingan Komprehensif

August 27, 2024
6 menit
Blog
Verifikasi Identitas

KYC dalam Crypto: Memastikan Kepatuhan dan Keamanan

August 5, 2024
8 menit
Kebijakan Privasi
Hak Cipta © 2026 TrustDecision. Semua Hak Dilindungi
Kembali ke atas