Wspólne mechanizmy kontrolne stosowane w celu zwalczania oszustw finansowych – środki przeciwdziałania praniu pieniędzy (AML) i wymogi dotyczące znajomości klienta (KYC) – mogą mieć swój odpowiednik w sztucznej inteligencji.
Podziemna usługa o nazwie OnlyFake wykorzystuje „sieci neuronowe” do tworzenia wysokiej jakości fałszywych identyfikatorów, a według raportu 404 Media, każdy może uzyskać natychmiastowo wygenerowane fałszywe identyfikatory z zaskakującym realizmem za jedyne 15 USD, potencjalnie ułatwiając szereg nielegalnych działań.
Oryginalne konto OnlyFake Telegram, jego główna platforma dla klientów, zostało zamknięte. Jednak nowe konto ogłasza koniec ery Photoshopa, chwaląc się możliwością masowej produkcji dokumentów przy użyciu zaawansowanych „generatorów”.
Właściciel witryny, używający pseudonimu John Wick, powiedział, że usługa może wsadowo generować setki dokumentów ze zbioru danych Excel.
Obrazy są tak dobre, że 404 Media było w stanie ominąć środki KYC OKX, giełdy kryptowalut, która korzysta z zewnętrznej usługi weryfikacji Jumio do weryfikacji dokumentów swoich klientów. Badacz cyberbezpieczeństwa powiedział serwisowi informacyjnemu, że użytkownicy wysyłali fałszywe identyfikatory OnlyFake ID, aby otworzyć konta bankowe i odblokować swoje konta kryptowalutowe.
Jak to się robi
Usługa OnlyFake wykorzystuje w dużej mierze podstawową technologię sztucznej inteligencji, aczkolwiek z dużym wyrafinowaniem.
Korzystając z Generative Adversarial Networks (GAN), formy sztucznej inteligencji, programiści mogą zaprojektować jedną sieć neuronową, która jest zoptymalizowana do oszukiwania innej, która została zbudowana w celu wykrywania fałszywych pokoleń. Jednak z każdą interakcją obie sieci ewoluują i stają się coraz lepsze w tworzeniu i wykrywaniu podróbek.
Innym podejściem jest trenowanie modelu opartego na dyfuzji z ogromnym, dobrze dobranym zbiorem danych prawdziwych identyfikatorów. Modele te są biegłe w syntezowaniu niezwykle realistycznych obrazów poprzez szkolenie na ogromnych zbiorach danych określonych przedmiotów. Uczą się replikować drobne szczegóły, które sprawiają, że podróbki są prawie nie do odróżnienia od autentycznych dokumentów, przechytrzając tradycyjne metody wykrywania fałszerstw.
Czy warto ryzykować?
Dla tych, którzy chcą uniknąć konieczności posługiwania się swoją prawdziwą tożsamością, OnlyFake jest prawdopodobnie kuszącą propozycją. Jednak korzystanie z tej usługi wiąże się z pytaniami natury etycznej i prawnej. Pod przykrywką anonimowości i atrakcyjności łatwego dostępu, operacje te stoją na bardzo chwiejnym gruncie.
Z uwagi na fakt, że serwis oferuje fałszywe dowody tożsamości z wielu krajów – w tym ze Stanów Zjednoczonych, Włoch, Chin, Rosji, Argentyny, Czech i Kanady – to otwarcie przestępcze przedsięwzięcie niewątpliwie przyciągnęło uwagę organów ścigania na całym świecie.
Innymi słowy, Wielki Brat może już obserwować.
Ryzyko sięga jednak dalej. Na przykład John Wick może przechowywać listę klientów – byłoby to katastrofalne dla OnlyFake i jego użytkowników. Ponadto nowa grupa OnlyFake Telegram ma ponad 600 członków, z których większość można prześledzić na podstawie powiązanych numerów telefonów.
I choć jest to oczywiste, warto wspomnieć, że płacenie OnlyFake tradycyjnymi metodami płatności cyfrowych jest bardzo nie na miejscu.
Mimo że płatności kryptowalutowe zapewniają warstwę prywatności, nie są one również całkowicie zabezpieczone przed ujawnieniem tożsamości. Niezliczone usługi twierdzą, że są w stanie śledzić transakcje kryptograficzne, a tym samym waluty cyfrowe zaczynają tracić związaną z nimi anonimowość.
I nie, OnlyFake nie wykorzystuje kryptowalutowego tokena prywatności Monero.
Co najważniejsze, zakup fałszywego dowodu tożsamości jest bezpośrednio sprzeczny z zasadami AML i KYC, które przynajmniej pozornie mają na celu zwalczanie finansowania terroryzmu i innych działań przestępczych.
Biznes może kwitnąć, ale czy możliwe konsekwencje są warte szybkiej i niedrogiej wygody?
Ewoluujące regulacje
Regulatorzy już próbują stawić czoła temu nowemu zagrożeniu. W dniu 29 stycznia Departament Handlu Stanów Zjednoczonych zaproponował zestaw zasad zatytułowany „Podejmowanie dodatkowych kroków w celu zaradzenia sytuacji nadzwyczajnej w kraju w odniesieniu do znaczących złośliwych działań cybernetycznych”.
Departament chce wymagać od dostawców infrastruktury zgłaszania zagranicznych osób próbujących trenować duże modele sztucznej inteligencji bez względu na przyczynę – ale z pewnością skupiają się na przypadkach, w których deepfakes mogą być wykorzystywane do oszustw lub szpiegostwa.
Środki te mogą nadal nie być wystarczające.
„Upadek KYC był nieunikniony, ponieważ sztuczna inteligencja tworzy teraz fałszywe dokumenty tożsamości, które przechodzą przez weryfikacje” – powiedział na Twitterze Torsten Stüber, CTO Satoshi Pay. „Nadszedł czas na zmianę: Jeśli rygorystyczne regulacje są koniecznością, rządy muszą porzucić przestarzałą biurokrację na rzecz technologii kryptograficznej, umożliwiając bezpieczną weryfikację tożsamości przez strony trzecie”.
Oczywiście wykorzystanie sztucznej inteligencji w oszustwach wykracza poza fałszywe dowody tożsamości. Boty Telegrama oferują obecnie usługi, począwszy od niestandardowych filmów deepfake, w których twarze osób są nakładane na istniejące nagrania, po tworzenie nieistniejących nagich zdjęć ludzi, znanych jako deepnudes.
W przeciwieństwie do wcześniejszych usług, te nie wymagają dużej wiedzy ani nawet potężnego sprzętu – technologia ta jest szeroko dostępna bez konieczności pobierania darmowych narzędzi do edycji obrazu.
