Běžné kontrolní mechanismy používané v boji proti finančním podvodům – opatření proti praní špinavých peněz (AML) a požadavky „poznej svého zákazníka“ (KYC) – se možná setkaly s umělou inteligencí.
Podzemní služba s názvem OnlyFake využívá „neuronové sítě“ k výrobě vysoce kvalitních falešných průkazů totožnosti a podle zprávy 404 Media může kdokoli získat okamžitě vygenerované falešné průkazy totožnosti s překvapivou realističností za pouhých 15 dolarů, což může usnadnit řadu nezákonných činností.
Původní účet OnlyFake na Telegramu, který byl hlavní platformou pro zákazníky, byl zrušen. Její nový účet však ohlašuje konec éry Photoshopu a chlubí se schopností masové výroby dokladů pomocí pokročilých „generátorů“.
Majitel webu, který používá přezdívku John Wick, uvedl, že služba dokáže dávkově vygenerovat stovky dokumentů ze souboru dat v aplikaci Excel.
Obrázky jsou tak dobré, že 404 Media dokázala projít přes opatření KYC společnosti OKX, burzy kryptoměn, která k ověřování dokumentů svých zákazníků používá ověřovací službu třetí strany Jumio. Výzkumník v oblasti kybernetické bezpečnosti sdělil, že uživatelé zasílali OnlyFake ID, aby si otevřeli bankovní účty a nechali si kryptoměnové účty odblokovat.
Jak se to dělá
Služba OnlyFake využívá z velké části základní technologii umělé inteligence, i když velmi sofistikovanou.
Pomocí generativních adverzních sítí (GAN), což je forma umělé inteligence, mohou vývojáři navrhnout jednu neuronovou síť, která je optimalizovaná pro klamání, a druhou, která je vytvořena pro detekci falešných generací. S každou interakcí se však obě sítě vyvíjejí a zlepšují se ve vytváření a odhalování padělků.
Dalším přístupem je trénování modelu založeného na difúzi s masivním, dobře vybíraným souborem dat skutečných průkazů totožnosti. Tyto modely jsou zdatné v syntéze extrémně realistických obrazů díky tréninku na rozsáhlých souborech dat konkrétních položek. Naučí se replikovat drobné detaily, díky nimž jsou padělky téměř nerozeznatelné od pravých dokumentů, čímž přelstí tradiční metody detekce padělků.
Měli byste to riskovat?
Pro ty, kteří se chtějí vyhnout nutnosti používat svou pravou identitu, je OnlyFake pravděpodobně lákavá. Zapojení do služby však s sebou přináší etické i právní otázky. Pod rouškou anonymity a lákavosti snadného přístupu stojí tyto operace na velmi vratké půdě.
Vzhledem k tomu, že vydává falešné průkazy totožnosti z mnoha zemí – včetně USA, Itálie, Číny, Ruska, Argentiny, České republiky a Kanady -, otevřeně kriminální podnikání nepochybně upoutalo pozornost orgánů činných v trestním řízení po celém světě.
Jinými slovy, Velký bratr už možná sleduje.
Rizika jdou však ještě dál. John Wick by si například mohl vést seznam klientů – to by pro OnlyFake a jeho uživatele mělo katastrofální následky. Kromě toho má nová skupina OnlyFake na Telegramu více než 600 členů, z nichž většinu lze vystopovat podle jejich propojených telefonních čísel.
A ačkoli je to zřejmé, je třeba zmínit, že platit OnlyFake tradičními digitálními platebními metodami je velký oříšek.
Přestože platby kryptoměnami poskytují vrstvu soukromí, ani ta není zcela bezpečná před odhalením identity. Nespočet služeb tvrdí, že jsou schopny sledovat kryptoměnové transakce, a digitální měny tak začínají ztrácet anonymitu, která je s nimi spojena.
A ne, OnlyFake nepřijímá kryptografický token Monero, který zajišťuje soukromí.
A co je nejdůležitější, nákup falešného průkazu totožnosti je v přímém rozporu s politikami AML a KYC, které alespoň zdánlivě slouží k boji proti financování terorismu a dalším trestným činnostem.
Obchod možná vzkvétá, ale stojí možné důsledky za rychlé a cenově dostupné pohodlí?
Vyvíjející se předpisy
Regulátoři se již snaží této nové hrozbě čelit. Dne 29. ledna navrhlo americké ministerstvo obchodu soubor pravidel s názvem „Přijetí dalších kroků k řešení národního ohrožení s ohledem na významné škodlivé kybernetické aktivity“.
Ministerstvo chce po poskytovatelích infrastruktury požadovat, aby hlásili zahraniční osoby, které se snaží trénovat velké modely umělé inteligence, bez ohledu na důvod – v centru pozornosti jsou však jistě případy, kdy by deepfakes mohly být použity k podvodům nebo špionáži.
Tato opatření však stále nemusí stačit.
„Pád KYC byl nevyhnutelný, když umělá inteligence nyní vytváří falešné průkazy totožnosti, které procházejí ověřením,“ uvedl Torsten Stüber, technický ředitel společnosti Satoshi Pay, na Twitteru. „Je čas na změnu: Pokud je přísná regulace nutností, vlády se musí zbavit zastaralé byrokracie a nahradit ji kryptografickou technologií, která umožní bezpečné ověření totožnosti třetí stranou.“
Využití umělé inteligence při podvodech samozřejmě přesahuje rámec falešných průkazů totožnosti. Boti Telegramu nyní nabízejí služby od vlastních deepfake videí, kde jsou obličeje osob překryty existujícími záběry, až po vytváření neexistujících snímků nahých lidí, známých jako deepnudes.
Na rozdíl od dřívějších služeb tyto nevyžadují mnoho znalostí, a dokonce ani výkonný hardware – díky tomu je tato technologie široce dostupná i bez nutnosti stahovat bezplatné nástroje pro úpravu obrázků.
