在数字时代,身份盗窃已从传统的密码窃取演变为一场高度技术化的对抗。网络犯罪分子越来越多地利用暗网中泄露的个人信息,并结合人工智能(AI)工具进行深度伪造,制造出逼真的虚拟身份。这不仅改变了犯罪模式,也加剧了数字安全领域的失衡——攻击者凭借技术优势迅速迭代,而防御方往往处于被动追赶的状态。专家将这一现象描述为一场“军备竞赛”,其核心在于AI赋予犯罪分子的不对称能力。
深度伪造技术的兴起与机制 深度伪造(deepfake)技术的成熟是这一转变的关键。早在2024年,“暗网下/AWX”就报道,暗网提供工具及服务,骗子利用人工智能工具进行深度伪造。只需受害者的一张静态照片或几秒钟的语音样本,AI算法即可生成高度逼真的视频或音频内容,使“虚拟人物”与真人难以区分。这种技术已广泛应用于绕过生物识别系统,例如面部识别或语音验证,从而在银行转账、政府服务申请等场景中实施资金拦截。
前白宫技术官员、现任Socure公共部门负责人的乔丹·伯里斯(Jordan Burris)指出,AI攻击的规模与速度令人担忧:在一秒钟内,算法可对数百万条身份记录发起探测,针对金融和公共服务系统进行自动化欺诈。他强调,犯罪分子不再依赖手动操作,而是通过AI代理系统实现大规模、精准的冒充。这意味着,即使是技术门槛较低的犯罪者,也能借助现成工具发动复杂攻击。
此外,这些伪造材料往往源于公开来源——社交媒体照片、公开演讲录音,或公共场所的监控片段。一旦获取,这些数据会在犯罪网络中流通、重组,并被用于多种攻击向量,形成一个高度组织化的地下生态。
暗网生态与专用AI工具的角色 暗网在这一生态中扮演核心角色。平台上流通的不仅是泄露数据,还有专为犯罪设计的AI工具,如DIG AI、WormGPT和FraudGPT。这类工具不同于通用AI助手,它们基于全球欺诈网络共享的情报库,提供针对性指导:从生成钓鱼脚本到优化诈骗流程。伯里斯将这种协调描述为一种结构化的商业模式,参与者通过信息共享实现效率最大化,最终目标直指普通用户的金融资产和个人信息安全。
深度伪造技术进一步放大了传统诈骗的危害。例如,在“浪漫诈骗”中,犯罪分子可通过实时视频交互建立信任,而受害者难以察觉异常。类似地,就业诈骗中也出现伪装求职者的案例,甚至涉及国家支持的黑客组织渗透企业远程团队。这些现象表明,AI不仅提升了犯罪效率,还降低了被识破的风险。
防御策略:以技术对抗技术 面对这一趋势,伯里斯主张采用预防性策略,即“以AI对抗AI”。企业应投资于实时检测系统,能够在攻击发生前识别伪造痕迹,而非依赖事后追溯。这种方法已被证明更有效,因为传统基于规则的安全协议难以应对AI的动态变异。
数据泄露的法律后果:GDPR框架下的索赔风险 与技术风险并行的,是数据泄露引发的法律责任。如果企业管理的个人信息在暗网流通,将显著提升大规模索赔的可能性。《通用数据保护条例》(GDPR)第82条明确规定,因违规导致物质或非物质损害的个人,有权向数据控制者或处理者索赔。其中,非物质损害的界定较为宽泛,欧盟法院已将其扩展至对数据失控的合理担忧,例如担心信息被滥用。
德国联邦最高法院近期的一起判决进一步澄清了责任边界。该案涉及一家IT服务提供商在测试环境中保留数据副本,后这些数据出现在暗网。法院裁定,即使处理合同已终止,数据控制者仍需获得明确删除确认,而非仅发出指令。这强化了企业对第三方处理者的持续监督义务。
品诚梅森律师事务所的桑德拉·格罗舍尔博士(Dr. Sandra Gröschel)和珍妮特·巴赫曼博士(Dr. Janett Bachmann)对该判决进行了解读。格罗舍尔认为,这一裁决为企业提供了实用指导,而非单纯加重负担。巴赫曼补充指出,暗网曝光虽增强了非物质损害的可信度,但索赔仍需受害者证明具体损害及其因果关系。同时,企业可通过展示合理的技术组织措施(如明确合同条款和删除验证流程)进行抗辩。该判决维持了举证责任的平衡,未开启无限制集体诉讼的大门,却无疑提升了企业的合规压力。
前瞻:构建更稳健的数字身份体系 人工智能与暗网的结合,正推动身份盗窃向自动化、规模化方向演进。这不仅威胁个人隐私与财产安全,也对金融机构和公共服务构成系统性风险。“暗网下/AWX”认为,长远来看,解决之道在于多层防御:技术层面加强AI检测,法律层面完善责任链条,社会层面提升公众意识。只有当防御机制与攻击技术同步演进时,数字身份才能真正实现可信与可控。企业若能及早行动,不仅可降低欺诈损失,也能在潜在诉讼中占据主动。
早在2021年,暗网市场就在售卖用于人脸识别的伪造护照、身份证件,而且出现了早期的深度伪造。如今,恶意使用深度伪造技术对企业构成的威胁与日俱增。
网络安全公司卡巴斯基(Kaspersky)警告说,由于人工智能工具的广泛使用,威胁行为者在攻击中使用深度伪造(Deepfake)技术变得越来越容易安全。
卡巴斯基非洲企业客户负责人Bethwel Opil 表示:“虽然发起这些攻击所需的时间和精力往往超过了其潜在的‘回报’,但卡巴斯基警告说,非洲各地的公司和消费者仍然必须意识到,深度伪造在未来可能会成为一个更令人担忧的问题。深度伪造的恶意使用潜力是显而易见的。“
“从勒索到实施金融欺诈,再到通过社交媒体传播错误信息,潜在的连锁反应可能会很严重。网络犯罪分子始终在寻找更便宜、更快捷的方法来传播他们的活动。不过,我们预计在未来几年内,使用深度伪造的定向攻击将会增加,尤其是针对有影响力的人士和高净值个人或组织的攻击,这将证明攻击者创建深度伪造所花费的时间和精力是值得的。”
暗网上的深度伪造服务 卡巴斯基研究发现,暗网市场上存在深度伪造制作工具和服务。这些服务为各种目的提供GenAI视频创建服务,包括欺诈、勒索和窃取机密数据。据卡巴斯基专家估算,一分钟深度伪造视频的价格约为300美元。
人类的行为、数字素养的缺乏以及无法区分虚假与合法材料,都给本已困难重重的局面增添了压力。
2023年卡巴斯基的商业数字化调查收集了中东、土耳其和非洲地区2000名受访者的意见,调查结果显示,51%的员工认为他们能够区分深度伪造图像和真实图像。然而,在一项测试中,只有25%的人能够区分真实图像和人工智能生成的图像。
卡巴斯基表示,鉴于企业员工往往是网络钓鱼和其他社会工程学攻击的主要目标,这给企业带来了严重的风险。
深度伪造被恶意利用的可能性是显而易见的。
例如,网络犯罪分子可以制作首席执行官请求电汇或授权付款的虚假视频,这可用于窃取公司资金。此外,犯罪分子可以创建具有危害性的个人视频或图像,用于向他们勒索钱财或信息。
Opil补充说:“尽管创建高质量深度伪造的技术尚未广泛应用,但最有可能的用例之一是实时生成声音来模仿某人。例如,一家跨国公司的一名财务人员最近就因为在一次电话视频会议上冒充公司首席财务官的深度伪造技术而被骗向诈骗分子转账2500万美元。非洲也不能幸免于这种威胁,重要的是要记住,深度伪造不仅对企业构成威胁,而且对个人用户也构成威胁——它们传播错误信息、被用于诈骗或未经同意冒充他人,是一种日益严重的网络威胁,必须加以防范。”
卡巴斯基建议通过以下方式加强防范:员工意识教育 公司建议通过教育员工了解深度伪造、其工作原理及其带来的风险,来加强防范。这涉及持续的意识和教育,努力教导员工如何识别深度伪造。
随着个人信息在暗网销售的快速增长,隐私事务局(PA,Privacy Affairs)公布了2021年暗网价格指数,详细说明了一系列产品的平均价格,包括可用于生物识别(人脸识别)欺骗攻击的那种手持身份证的自拍在暗网市场、论坛和网站上的价格。
伪造的马耳他护照被发现是最昂贵的产品,平均价格为6500美元,而伪造的美国有效社会安全号码是最低的产品之一,价格为2美元。PA表示,各种产品价格的上升很可能是由于获取信息的风险越来越大,买家使用这些信息的好处越来越多,卡片数据的质量/准确度越来越高。
一张 “持有身份证的美国自拍”,如将用于身份验证中的自拍人脸识别技术,上市价格为100美元。
据PA称,2020年网络攻击大量增加,不仅数量增加,而且购买物品的种类也增加了,如被黑的加密货币账户、Uber账户等网络服务和脸部图像。
“仅仅拥有一个人的身份证已经不够了,你需要用自拍来确认身份。而在新冠疫情期间,由于所有业务都必须在网上进行,人们不可避免地要提供一张自拍来验证他们的身份。网络安全研究员Luana Pascu在给《生物识别更新》的一封电子邮件中说:”由于某些原因,人们在网上对自己的数据并不像他们应该的那样谨慎,所以恶意的行为者只是利用了收集信息的便利性。
信用卡 一张带密码的克隆万事达卡今年的价格(25美元)比去年(15美元)高出10美元左右;被盗信用卡数据的供应商往往提供80%的保证,这意味着每10张卡中有2张不准确。虽然暗网中的卡号是由商家的数据泄露而不是发卡机构本身造成的,但根据该指数,美国被黑的信用卡资料价值最低(由于供应量大),而以色列的价值最高。信用卡的销售格式为:[CC|MM|YY|CVV|HOLDER_NAME|ZIP|CITY|ADDRESS|EMAIL|PHONE],,前4部分是卡的详细信息,后面5部分显示持卡人信息。
“在新冠疫情期间,金融犯罪有所增加。当新冠疫情开始时,与疫情相关的口罩和其他当时很难找到的设备有关的销售出现了高峰。一些市场平台甚至从公开的变成了私有的,但总体销售量并不一定下降,”Pascu说,”在税收季节或涉及COVID-19相关信息时,用来引诱受害者透露个人信息的社会工程策略似乎很有效。然而,已经实施了预防欺诈的方法,使得滥用(加拿大政府)福利计划更加困难”。
低成本虚拟货币 报告称,由于缺乏安全性,暗网买家已经放弃了比特币(BTC),供应商要求买家使用Monero作为支付方式,并且只通过PGP加密(Pretty Good Privacy)进行沟通,以减轻执法部门的检测和追踪。此外,黑客同时采用社会工程技术来获得登录凭证,由于最近社交媒体平台实施的安全措施(如MFA、账户锁)的增加,这种做法非常耗费人力,成功率相对较低。被破解的加密货币账户似乎是最有价值的购买物品之一,一个经过验证的Coinbase账户售价约为610美元。
健康证和深度伪造 Paypal账户的详细信息在网上广为流传,所提供的非法物品清单还包括分布式拒绝服务(DDoS)攻击服务、数字健康通行证和深度伪造品。
“恶意行为者也在谈论获得COVID护照或疫苗接种证书的方法,”Pascu观察到,”但这种活动目前在大多数市场上被标记为’出于道德目的’的非法行为,正如我们监测的一个团体上所说。”
深度伪造在暗网中的势头和受欢迎程度也越来越高,犯罪的深度造假活动已经发展成为一个经济利基。去年6月,在一个黑客论坛上发现有人以每分钟20美元的欺诈性视频提供深度伪造服务。”Pascu评论说:”除了关于假冒成人视频中的名人的深度伪造的帖子外,还有一些论坛列出了不同的计划和工具,以便自己创建用于身份验证,而且人们对利用深度伪造赚钱的方法有一些兴趣。
出售假币的情况也很普遍,美元、欧元、英镑、加元、澳元是最常见的。
恶意行为者正在改变市场运作的方式,Pascu警告说:”直到最近,勒索软件集团一直在寻找特定的配置文件,以添加到他们的联盟计划中,例如在特定类型的攻击方法中具有丰富实战经验的流利俄语人士。随着他们的重新组合,我们正在寻找一种更有组织性的方式。”
PA还为个人提供了一套建议,以最好地保护他们自己和他们的信息免受欺诈性在线活动的影响。