2024.02.07 09:00

地下網站「OnlyFake」利用「神經網路」生成以假亂真的身分證只要15美元,恐助長金融詐騙

ADVERTISEMENT

一個名為「OnlyFake」的地下網站宣稱利用「神經網路」技術,僅需 15 美元就能生成逼真的假身分證照片,顛覆了偽造身分證的黑市生態,更對整體網路安全帶來重大挑戰。國外媒體404 Media 證實,該技術能幾乎即時生成假身分證,可能使銀行欺詐、洗錢等犯罪活動更加猖獗。 

在測試中,OnlyFake成功製作了一個以假亂真的加州駕照,包含任意指定的姓名、個人資訊、位址、有效期和簽名。照片甚至呈現出像是身分證平放在地毯上、有人隨手拍攝的逼真效果,而這正是許多網站用於身份驗證的手法。404 Media 進一步利用該網站生成的另一張假身分證,成功通過了加密貨幣交易所 OKX 的身份驗證程式。OKX是這家加密貨幣交易所,最近因為被犯罪分子使用而出現在多個法庭記錄中。 

以往製作假身分證需要高超技術和長時間學習,甚至還有購買後被攔截的風險。而 OnlyFake 突破了這道門檻,允許任何人在幾分鐘內產生看似真實的假身分證,可能足以繞過各種線上驗證系統,至少能瞞騙部分人士。 

ADVERTISEMENT

OnlyFake 在 Telegram 頻道上宣佈:「使用 Photoshop 來製作檔案的日子即將結束。」除「神經網路」外,該服務聲稱使用「生成器」,每天可創建多達 20,000 份文件。網站所有者「John Wick」向 404 Media 透露,他們可以利用 Excel 表格中的數據一次生成數百份檔案。 

為了製作身分證,404 Media 輸入了想要呈現在卡片上的資訊,上傳了護照照片,系統接著自動產生一系列圖像,將輸入的名字轉換成簽名。有時生成的簽名是全名潦草簽名,有時則只有縮寫。網站所有者 Wick 表示:「神經網路能非常逼真地生成簽名。」 

ADVERTISEMENT

最後,點擊「生成照片」。生成過程開始後,螢幕會顯示系統進度更新:「生成 PDF417 和 Code128」、「發送到伺服器」、「替換文字」,然後突然完成並提供成品預覽。接著點擊「下載並支付」,就能取得兩個檔案,分別是放在地毯上的新版假身分證正面和背面。整個過程大約一到兩分鐘。 

在 Telegram 上,OnlyFake 上傳了許多照片展示其高品質的服務。其中一張展示照片是一本看似放在毯子上的美國護照卡。另一張照片則是一張平放在堅硬表面上的假亞利桑那州駕照。還有一組照片展示了放在布料上的假瑞士護照和身份證。其他照片還顯示了加拿大護照和奧地利身份證。總而言之,OnlyFake 提供超過 20 個不同國家的身份證件生成,但其管理員似乎特別熱衷於創建美國身份證。 

這些圖像的背景——布料和堅硬的表面——看起來像是真實的照片。404 Media 比較了來自 OnlyFake 的幾個不同輸出,這些輸出顯示不同的身份證放在相同的獨特背景上。OnlyFake 似乎正在使用其技術將客戶想要的任何身份證快速映射到其中某個背景上。 

ADVERTISEMENT

像 OnlyFake 這樣的服務對欺詐者的吸引力在於,這些據稱由人工智慧生成的假身份證可以用於註冊需要身份驗證的線上服務。對於所有類型的網站(銀行、加密貨幣交易所)甚至像律師或會計師這樣的個人專業人士來說,要求至少掃描或拍攝某人的身份證是很常見的。一些社群媒體網站在某些情況下也要求身份證明。 

404 Media 使用 OnlyFake 所生成的假英國護照檢測試了加密貨幣交易所 OKX 的身份驗證過程。OKX 最近幾周出現在多份法庭記錄中,包括一起可能詐騙了大約 4000 萬美元的大規模詐騙案中。在那種情況下,詐騙者向 OKX 提供的身份證明作為驗證過程的一部分,這會洩露涉嫌詐騙者的真實姓名。將加密貨幣轉換為法定貨幣通常需要揭露身份資訊。有的犯罪分子可能會雇用人頭,而笨蛋則會使用自己的資料。但是,如果一個服務只需點擊滑鼠就能提供假身份證呢?這是否會使交易所、銀行或其他機構更難阻止洗錢和欺詐? 

該過程始於 OKX 要求記者用智慧型手機鏡頭拍攝身份證照片。儘管記者手裡沒有實體身份證,但這仍然有效。他將相機對準筆記型電腦螢幕上 OnlyFake 所生成的假身份證照片,系統成功辨識了身份證。然後它要求記者自拍,記者照做了。 

ADVERTISEMENT

「身身份驗證成功,」OKX 的網站寫道。「恭喜!您已完成身份驗證。」 

OKX 至少部分使用了 Jumio 公司的身份驗證流程。Jumio 的首席技術長 Stuart Wells 在一封電子郵件聲明中表示,該公司「先進的身份驗證流程使用行動或網路攝影鏡頭檔案掃描工具,允許安全團隊與可信賴的來源進行交叉檢查,並減少假個人資料和惡意活動的數量。最終,這些額外的身份驗證措施透過阻止使用者註冊階段的欺詐嘗試,更好地保護用使用者。」當 404 Media 解釋他們使用生成的假身份證成功通過身份驗證過程後,Jumio 表示只能評論 Jumio 自己的技術,而不是 OKX 的流程。OKX 對於記者的發問沒有任何回應。 

追蹤該網站的網路安全研究人員 Abhishek Mathew 告訴 404 Media,真正的罪犯正在以這種方式使用 OnlyFake。 「許多人使用OnlyFake的服務進行信用卡欺詐、創建假銀行帳戶,還有些人使用此服務取消他們加密帳戶的禁令,例如 Binance 會要求身份證明,」他們在網路聊天中說道。區塊鏈記錄顯示,OnlyFake 服務使用的比特幣位址收到了價值超過 23,500 美元的加密貨幣。不過,OnlyFake也接受許多其他形式的加密貨幣。 

OnlyFake 的所有者 Wick 告訴 404 Media,他們的服務可以用來繞過許多網站的驗證,包括 Binance、Revolut、Wise、Kraken、Bybit、Payoneer、Huobi、Airbnb、OKX 和 Coinbase。而且,這些網站還聲稱「使用我們的網站偽造檔案是被禁止的」。 

幣安也沒有對媒體查證發表評。Coinbase 的一名發言人透過電子郵件表示,「在 Coinbase,我們與專門的研究團隊合作,以對抗人工智慧工具的潛在濫用,並致力於整合最新的 AI 安全功能,以幫助減輕和防止惡意行為者使用 AI 帶來的威脅。」 

Kraken 的一元發言人在一封電子郵件中寫道,「Kraken 繼續保持嚴格的加密行業 KYC [瞭解您的客戶] 和反欺詐檢查。我們採取措施發現和防止使用虛假身份證明文件試圖繞過我們嚴格的身份驗證流程。我們也保留根據服務條款暫停或關閉帳戶的權利,這些帳戶在 KYC 審查期間使用了可疑或被盜的身份證明文件。」 

Payoneer 在一封電子郵件中表示,「Payoneer 意識到地下網站使用 AI 生成合成身份證,我們與多家供應商合作檢測此類欺詐行為。雖然使用者可能會嘗試在註冊過程中提交合成身份證,但我們還採取了其他控制措施來確定資金來源、位置和其他風險評分機制,以防止任何金融活動發生。」 

其他公司要嘛沒有回應,要嘛來不及在發稿回應。另一個驗證服務 ID.me 也沒有任何回應。 

OnlyFake 除了主打的 AI 生成影像技術以外,還提供其他技術手段讓偽造的證件更加逼真。例如,服務中包含「元數據變造器」,因為身份驗證服務或人員可能會檢查這些資訊以判斷照片是否偽造。可變造的部分包括聲稱拍攝照片的設備(蘋果 iPhone 11 Pro、華為 BKL-L09)、創建日期和時間,以及偽造的 GPS 座標。例如,我為加州駕照設定了洛杉磯的座標,使其大致與我印在證件上的加州地址相匹配。 

除了上傳他們自己的照片,使用者還可以從OnlyFake自己的圖庫檔案中瀏覽大量的人像,挑選自己要使用的;這些人像不是AI生成的,一個宣傳該服務的YouTube影片的描述說。它們仍然可以讓欺詐者無需上傳自己的照片即可創建身份證明。 

Wick 告訴 404 Media,他們三年前就開始創建證件範本。他們在另一個 Telegram 頻道的消息中寫道,生成器服務本身已經開發了「近一年半」。他們透過向其提供大量身份證件圖像集合來創建此服務。 

Wick 說道,「首先需要找到掃描圖像,最好是高解析度的,例如 10,000 x 10,000 像素。這樣的掃描檔案通常會顯示微文本和任何線條。除此之外,最好還有來自不同角度的全像照片,以瞭解它們是如何疊加的。」 

在一條頻道訊息中,他們從其他人那裡購買身份證明掃描件,明確要求提供美國文件的樣本。「我將以 1200-2400 dpi 的價格購買您的掃描件。每張掃描 100 美元以上。優先考慮美國和歐洲的新檔案。」 

而且,憑藉其資料庫,OnlyFake還推出了更多最新類型的身份證件生成,例如根據一條Telegram內容,紐約州2022年重新設計駕照。「我們開發了一個獨特的算法來生成像紐約這樣的駕照,這些駕照有方框和複雜的曲線文本,這是在我們之前沒有人能夠複製的!」這還包括以這種方式生成序號,其格式與特定類型的身份證相對應,同樣也是透過分析大量身份證才能做到的。「每個護照、身份證等通常都有不同的號碼。每個號碼都有一個獨特的演算法,通常需要分析數百或數千個原始號碼才能解密,」 Wick 補充道。 

OnlyFake還提供看起來更像傳統掃描的圖像,假護照或身份證平放,沒有背景,佔據整個畫面。

儘管 OnlyFake 聲稱使用「神經網路」來生成假身分證,但 404 Media 沒有看到證據表明該服務是使用生成式 AI 工具。加州大學柏克萊分校教授、世界領先的數位操縱圖像專家之一 Hany Farid 在一封電子郵件中告訴 404 Media,「我不確定具體他們是如何做的,但我懷疑他們正在使用某種技術將圖像插入/替換到許可證/身份證範本中。如果他們使用生成式 AI 從頭開始創建整個身份證,他們將很難將背景處理的很有一致性。」 

對於欺詐者來說,事情變得更加棘手的地方,以及需要OnlyFake之外的其他服務或技能的地方,將是要求進行影片或照片驗證的網站,要求使用者實際將其身份證舉到攝影鏡頭前。顯然,這對於實際上並不存在的身份證來說是不可能的。其他相關網站有某種解決方法,或者至少提供幫助。使用者可以從數百人中選擇購買一組照片,這些人拿著空白紙張、筆記型電腦和普通護照形狀的物品對著攝影鏡頭,然後他們可以將他們的假文件疊加在上面。大概需要照片匹配,但404 Media造訪多個網站提供了一系列真人準備扮演這個角色。每組售價45美元。目前還不清楚這些人究竟是誰,他們可能是毫不知情的受害者、直接共犯,或者是被付費參與照片的人。

在404的測試中,記者使用自己的臉部照片來製造了假身份證。OnlyFake 提供其他真人的臉部照片供用戶使用,但記者不想在這次測試中牽連一個無辜的人。這意味著測試最終是針對 OKX 的檔案辨識功能,而不是自拍辨識功能。不過,使用不同名字的假身份證仍然可以讓欺詐者比使用自己真實姓名和身份證獲得更多安全優勢。Wick 表示他們計畫很快推出人臉和自拍生成器。 

OnlyFake 社群的成員也在相關的聊天室討論影片驗證等問題。俄語聊天室有超過 1,100 名成員,而英語聊天室只有 550 多名成員。在這裡,成員們試圖合作進行詐騙或其他欺詐活動,並討論如何創造一個人舉著相應身份證的即時現場視訊串流影像。這些聊天室的人似乎決心找到解決辦法,幾個人已經發表了看起來是人們舉著身份證的動圖展示作為一種可能的方法。 

參議員 Ron Wyden 在一份聲明中告訴 404 Media,「基於人工智慧的生成假身份證和影片深度偽造的工具顯然將對政府機構、金融機構和其他公司構成真正的欺詐問題。美國迫切需要安全、經過身份驗證的身份證,以便美國人在與政府和私營部門進行敏感或高風險交易時能夠驗證他們的身份。」 

「不幸的是,政府沒有實施必要的政策來使美國人能夠在線上安全地驗證自己——例如廣泛的親自驗證——而是忽視了專家的警告。與此同時,機構被迫採用臉部辨識技術,以符合無效、浪費的聯邦網路安全標準,這些標準不能防止假身份證或影片深度偽造,」聲明補充道。

這不是該記者第一次成功地證明人工智慧相關工具在欺詐方面的威力。去年,記者使用一個名為ElevenLabs的工具創建了自己的聲音的AI生成版本。利用它,記者繞過了生物識別語音驗證,闖入了自己的銀行賬戶。「我的聲音就是我的密碼,」當時他用他的AI分身這麼說。 

其他人也玩過使用AI繞過身份驗證服務的想法。最近,Reddit上的一位使用者展示了一張他們聲稱至少部分使用文本到圖像 AI 模型 Stable Diffusion 創建的逼真照片。在這張圖片中,一位女士微笑著看著相機,手裡拿著一張寫著手寫文字的紙張,這非常像一個人可能會上傳到身份驗證服務的自拍照片的風格。另一個則將那張紙換成了一個假身份證和在女士皮膚上寫字,創造了一個可能令人信服的整個虛構和人造的人證明他們實際存在的圖像——欺詐的強大悖論。在這兩種情況下,創建者後來都表示他們使用 Photoshop 處理了文字。 

但隨著OnlyFake之類的技術,也許一個AI自拍照片完整帶有假身份證的未來指日可待。 

資料來源:

ADVERTISEMENT