2019年网络安全预测:
攻击者入侵人脸识别软件以盗取用户的面容信息
黑客会将入侵最终用户的人脸识别软件看作是一次赌博,组织应通过基于行为的系统作出响应。
人脸识别技术
数字、指纹及面容密码的哪个更安全?
对于攻击者来说,成功盗取到合法凭证时的感觉,就像是中彩票一样。最终用户将被拒无法登录帐户、不能访问Dropbox和Microsoft Office 365等第三方云服务、关键数据被他人下载或完全擦除。暴增的数据泄露事件反映出一个简单的事实:电子邮件地址、密码和个人信息(喜欢的颜色、宠物的名称)都不足以保护在线身份。
2017年Google、加州大学伯克利分校和国际计算机研究中心共同展开的一项研究显示,在最终用户身份盗用事件中,网络钓鱼排名第一,仍然是最惯用的伎俩。根据研究人员的计算,2016年到2017年总共有超过1240万人被网络钓鱼所害,表明我们必须强化认证机制以减少信息盗用事件的发生。
盗取凭证是最旧(也是最有效)的手段,但这不表示攻击者没有研究出新的把戏。双因素认证(2FA)带来了额外一层的安全防护;但即便是这个方法也存在漏洞:大多数情况都需要通过手机完成。
面容密码的安全性
攻击者通过钓鱼和社交工程手段欺骗用户
2018年,第一个比特币爱好者天使投资集团的联合创始人Michael Terpin对电信公司AT&T提起一项2.24亿美元的诉讼,称因一次“SIM转号”而导致其损失了价值2400万美元的加密货币。攻击者通过钓鱼和社交工程手段欺骗客户服务代表将Terpin的手机号码转到一个无法追踪的“一次性”手机上。一旦转号,犯罪者就能轻易得逞,如同点击“忘记密码?”链接获取密码一样简单。
生物特征识别技术超越了2FA验证,其使用每个最终用户更独特的数据。乍一看,通过生理生物特征传感器来验证个人身份的做法,似乎很可能会取代2FA验证。指纹、动作、虹膜识别,所有这些都使得攻击者难以通过盗取其他人的身份来访问资源。
虹膜识别
人脸识别存在严重的漏洞
但近年来,即使是生物特征识别技术也开始被破解。2016年,密歇根州立大学的研究人员发现了便宜又简单的方法,只需使用标准喷墨打印机即可打印指纹图像。2017年,纽约大学(NYU)坦登工程学院的研究人员能够使用数字技术修改“万能指纹”,匹配任何人的指纹。
得益于Apple推出的iPhone X,人脸识别已成为主流,这款手机使用了泛光感应元件、红外摄像头和点阵投影器来进行3D人脸测量,他们声称照片、视频或任何其他类型的2D媒体都无法满混过关。
但事实是,人脸识别存在严重的漏洞,这也是我们认为黑客会在2019年窃取公众面容的原因。事实上,这已经发生了,虽然目前只有研究人员能做到。2016年,北卡罗来纳大学的安全和计算机视觉专家使用社交媒体和搜索引擎上公开的数字照片,配合移动VR技术,成功战胜了人脸识别系统。
VR技术
许多用户仍对这些类型的攻击一无所知
密码是可以更改的,而物理生物识别特征是遗传所得,而且每个人都不一样。基于同样的原理,行为生物特征。通过合并一个人的身体动作,包括敲击键盘、移动鼠标、滚动速度、字段切换方式,以及根据加速度计和陀螺仪检测到的手机操控方式,提供了一个连续的认证层。这样可以杜绝骗子模仿这些动作的可能性。
将行为生物特征同基于FaceID或2FA等先进技术的强认证相结合,是更为明智的做法。组织可通过登录时和使用中/连续验证等机制识别出劫持开放工作资料的入侵者,为基于风险的方法。打好基础,以便在风险升级时触发验证检查点。
社交平台最大的担忧,许多用户仍对这些类型的攻击一无所知,很容易就会上当受骗。
