La récente diffusion mainstream de la technologie AI a conduit à l’expansion des techniques d’usurpation frauduleuse deepfake, menaçant désormais également les contrôles KYC des crypto exchange.
Récemment, un nouvel outil a émergé sur le web, appelé ProKYC, capable justement de contourner les contrôles de reconnaissance d’identité « Know Your Customer » des exchanges.
Représente un nouveau niveau d’escroquerie financière hautement sophistiquée, capable de créer de graves dommages à différentes sociétés cryptographiques.
À cela s’ajoutent les fuites de données de plus en plus fréquentes qui impliquent malheureusement aussi des sociétés d’investissement célèbres, mettant en danger leurs informations en ligne.
Voyons tous les détails ci-dessous.
Summary
IA : l’avènement de la menace deepfake et les mesures de sécurité KYC des exchange
Au cours des 2 dernières années, l’expansion de la technologie AI a déclenché l’augmentation des escroqueries financières sur le web, menées par l’utilisation de plus en plus massive de vidéos deepfake.
Ces vidéos, créées avec l’aide de l’intelligence artificielle, permettent aux escrocs de se faire passer pour des personnages célèbres et des célébrités en reproduisant de manière réaliste l’apparence et la voix. Avec ces vidéos, les escrocs proposent ensuite à leurs victimes moins attentives d’entrer via des liens de phishing ou d’acheter des tokens scam.
Sur Twitter, Youtube et d’autres réseaux sociaux, nous voyons de plus en plus souvent des cas de ce genre, avec des vidéos deepfake qui montrent le visage de Cristiano Ronaldo, Elon Musk, etc.
Parfois, on en arrive même à utiliser ces modèles lors des appels vidéo d’entreprise, visant à impressionner les collaborateurs, employés et dirigeants pour extraire des données précieuses.
Évidemment, une bonne partie des deepfake est liée au monde des cryptomonnaies, étant donné la composante de pseudo-anonymat que les mêmes escrocs exploitent pour monétiser.
Il existe, cependant, aussi des systèmes de sécurité, comme celui de la vérification KYC des exchanges, qui empêchent l’IA d’être exploitée de manière mal intentionnée.
Les plateformes d’échange utilisent la KYC pour l’enregistrement des nouveaux utilisateurs, demandant des photos, des vidéos et une analyse biométrique du visage et présentant des barrières anti deepfake.
Ainsi, les exchanges limitent que leur propre banque puisse être exploitée pour des activités illicites comme le blanchiment d’argent et la vente de produits scam.
Mais maintenant, nous entrons dans une nouvelle phase des escroqueries AI, avec des technologies super sophistiquées qui parviennent parfois à frapper même les plus grands crypto exchange.
Les dommages potentiels qu’ils peuvent causer sont illimités, s’ils ne sont pas bloqués avec de nouvelles mesures de contraste.
Un nuovo strumento deepfake basato su AI capace di bypassare la KYC degli exchange di criptovalute
Comme affirmé par la société de sécurité informatique Cato Networks, un outil AI de création de deepfake se répand et parvient à contourner les contrôles KYC des exchange.
Il s’agit de ProKYC, un outil téléchargeable avec un abonnement de 629 dollars annuels, à partir duquel les escrocs peuvent créer des ID faux et générer des vidéos pseudo-réelles.
Le package comprend une caméra, un émulateur virtuel, des animations faciales, des empreintes digitales et la génération de photos de vérification.
L’outil a été personnalisé spécifiquement pour les sociétés financières dont les protocoles KYC nécessitent une vérification croisée entre les contrôles biométriques du visage et les documents.
Les preuves semblent si réelles qu’elles parviennent à franchir cette barrière jusqu’à aujourd’hui jamais franchie même par les meilleurs systèmes AI.
Un deepfake créé avec ProKYC et publié sur le blog post de Cato, montre comment l’IA parvient à générer des documents d’identité faux en contournant l’exchange Bybit.
L’utilisateur complète la vérification KYC de la plateforme en utilisant un nom fictif, un document faux et une vidéo artificielle.
Dans un rapport récent, le chef de la sécurité de Cato Network Etay Maor a affirmé que ProKYC se propose comme un nouveau niveau de sophistication des escroqueries financières.
Le nouvel outil AI représente un pas en avant significatif par rapport aux méthodes à l’ancienne que les criminels informatiques utilisaient pour contourner l’authentification à deux facteurs et KYC.
Les escrocs ne sont plus obligés d’acheter des identités fausses (ou volées) sur le deepweb mais peuvent profiter de ce nouveau service pratique.
Les fraudes d’identité augmentent massivement dans le monde crypto avec l’IA et les violations de données
L’avvento di ProKYC avec deepfake AI qui contournent les vérifications KYC des exchanges, risque d’entraîner une augmentation des fraudes financières, déjà dangereusement élevées en soi.
Les acteurs sont maintenant en mesure de créer de multiples comptes sur les exchanges grâce à une fonction connue sous le nom de New Account Fraud (NAF).
En outre, ProKYC affirme également être capable de contourner les mesures KYC pour les plateformes de paiement Stripe et Revolut.
Inevitabilmente, se le plateformes financières non svilupperanno nuovi systèmes di riconoscimento contre les deepfake, potrebbero subire gravi danni alle proprie strutture.
Le problème est que des contrôles biométriques trop stricts risquent de provoquer des “faux positifs” rendant l’expérience utilisateur terriblement ennuyeuse.
Comme l’affirme à ce propos Cato :
« La création de systèmes d’authentification biométrique super restrictifs peut entraîner de nombreux faux positifs. D’autre part, des contrôles laxistes peuvent provoquer des fraudes. »
Il existe cependant des méthodes de détection alternatives contre les outils deepfake AI, qui impliquent la présence d’un être humain en tant que contrôleur.
Un employé de l’exchange devrait identifier manuellement des images et des vidéos, en identifiant les incohérences dans les mouvements du visage et dans la qualité de l’image.
Discours à part en revanche pour les data breach et pour les fuites d’identité, qui exploitent des documents et des preuves réelles pour lancer une vaste gamme d’escroqueries en ligne.
Il y a seulement quelques jours, la société d’investissement Fidelity a subi une fuite de données concernant plus de 77 000 clients. Des permis de conduire, des numéros de sécurité sociale et des informations personnelles ont été volés, et ils seront certainement vendus sur le dark web et utilisés pour divers types d’arnaques crypto.
Rappelons-nous en tout cas que les sanctions pour fraude d’identité aux États-Unis peuvent être sévères et varier en fonction de la nature et de l’ampleur du crime.
La peine maximale est jusqu’à 15 ans de réclusion avec des amendes lourdes.
