KYC oder „Know Your Customer“ ist ein Prozess, der Finanzinstituten, Fintech-Startups und Banken dabei helfen soll, die Identität ihrer Kunden zu überprüfen. Nicht selten umfasst die KYC-Authentifizierung „ID-Bilder“ oder überprüfte Selfies, mit denen bestätigt wird, dass eine Person die ist, für die sie sich ausgibt. Wise, Revolut und die Kryptowährungsplattformen Gemini und LiteBit verlassen sich beim Sicherheits-Onboarding unter anderem auf ID-Bilder.
Aber generative KI könnte Zweifel an diesen Kontrollen säen.
Virale Beiträge auf prüfen. Es gibt noch keine Beweise dafür, dass Gen-KI-Tools verwendet wurden, um ein echtes KYC-System auszutricksen. Aber die Leichtigkeit, mit der relativ überzeugende gefälschte Ausweisbilder erstellt werden können, gibt Anlass zur Sorge.
Täuschendes KYC
Bei einer typischen KYC-ID-Bildauthentifizierung lädt ein Kunde ein Bild von sich hoch, auf dem er ein Ausweisdokument in der Hand hält – zum Beispiel einen Reisepass oder Führerschein –, das nur er besitzen darf. Eine Person – oder ein Algorithmus – gleicht das Bild mit gespeicherten Dokumenten und Selfies ab, um (hoffentlich) Nachahmungsversuche zu vereiteln.
Die Authentifizierung per Ausweisbild war noch nie narrensicher. Es gab Betrüger Verkauf jahrelang gefälschte Ausweise und Selfies. Aber die künstliche Intelligenz der Generation eröffnet eine Reihe neuer Möglichkeiten.
Tutorials online Zeigen Sie, wie Stable Diffusion, ein kostenloser Open-Source-Bildgenerator, verwendet werden kann, um synthetische Darstellungen einer Person vor jedem gewünschten Hintergrund (z. B. einem Wohnzimmer) zu erstellen. Mit ein wenig Versuch und Irrtum kann ein Angreifer die Darstellung so anpassen, dass das Ziel so aussieht, als ob es ein Ausweisdokument in der Hand hält. An diesem Punkt kann der Angreifer ein beliebiges Bildbearbeitungsprogramm verwenden, um ein echtes oder gefälschtes Dokument in die Hände der gefälschten Person einzufügen.
Um nun mit Stable Diffusion die besten Ergebnisse zu erzielen, müssen zusätzliche Tools und Erweiterungen installiert und etwa ein Dutzend Bilder des Ziels beschafft werden. Ein Reddit-Benutzer mit dem Benutzernamen _harsh_, der einen Workflow zum Erstellen von Deepfake-ID-Selfies veröffentlicht hat, sagte gegenüber Tech, dass es etwa 1–2 Tage dauert, ein überzeugendes Bild zu erstellen.
Aber die Eintrittsbarriere ist sicherlich niedriger als früher. Erstellen von ID-Bildern mit realistischer Beleuchtung, Schatten und Umgebungen gebraucht etwas fortgeschrittene Kenntnisse in Fotobearbeitungssoftware erforderlich. Nun, das ist nicht unbedingt der Fall.
Das Einspeisen gefälschter KYC-Bilder in eine App ist noch einfacher als das Erstellen. Android-Apps, die auf einem Desktop-Emulator wie Bluestacks laufen, können dazu verleitet werden, gefälschte Bilder anstelle eines Live-Kamera-Feeds zu akzeptieren, während Apps im Web durch Software vereitelt werden können, die es Benutzern ermöglicht, jede Bild- oder Videoquelle in eine virtuelle Webcam umzuwandeln.
Wachsende Bedrohung
Einige Apps und Plattformen implementieren „Liveness“-Prüfungen als zusätzliche Sicherheit zur Überprüfung der Identität. In der Regel geht es dabei darum, dass ein Benutzer ein kurzes Video aufnimmt, in dem er den Kopf dreht, mit den Augen blinzelt oder auf andere Weise zeigt, dass er tatsächlich eine echte Person ist.
Aber auch Lebendigkeitsprüfungen können mithilfe der Gen-KI umgangen werden.
Anfang letzten Jahres sagte Jimmy Su, der Chief Security Officer der Kryptowährungsbörse Binance, erzählt Laut Cointelegraph reichen heute Deepfake-Tools aus, um Liveness-Checks zu bestehen, selbst solche, bei denen Benutzer Aktionen wie Kopfdrehungen in Echtzeit ausführen müssen.
Die Schlussfolgerung ist, dass KYC, das bereits ein Zufall war, als Sicherheitsmaßnahme bald praktisch nutzlos werden könnte. Su glaubt nicht, dass gefälschte Bilder und Videos den Punkt erreicht haben, an dem sie menschliche Rezensenten täuschen können. Aber es könnte nur eine Frage der Zeit sein, bis sich das ändert.