Was ist Image Spoofing und wie kann man es verhindern? | EasyDMARC

Was ist Image Spoofing und wie kann man es verhindern?

6 Min Lesezeit
A person's image holing some

Es ist heutzutage so einfach, in Ihr Gerät zu schauen und Zugang zu erhalten!

Sie müssen keine langen Passwörter mehr eintippen, richtig? Aber glauben Sie, dass diese Methode zu 100% sicher ist, insbesondere wenn Sie sie für betriebliche Zwecke in Ihrem Unternehmen einsetzen?

Nein, biometrische Gesichtserkennungssysteme sind anfällig für Spoofing-Angriffe, da böswillige Akteure Ihre Fotos und Videos verwenden können, um die Sicherheitsparameter zu umgehen. Es hat viele Fälle gegeben, die beweisen, warum die Gesichtserkennung allein keine zuverlässige Methode ist.

Im Jahr 2020 musste der US-Bundesstaat Washington aufgrund zahlreicher betrügerischer Anträge auf Arbeitslosenunterstützung das Programm kurzzeitig unterbrechen. Spoofer stahlen Sozialversicherungsnummern mit Hilfe von Image Spoofing, was zu einem Verlust von 1,6 Millionen Dollar führte. Beängstigend, oder?

Aber wenn Sie glauben, dass es sich um eine moderne Technik handelt, lassen Sie sich von uns in die Anfänge zurückversetzen. Die Gesichtserkennung wurde in den 1960er Jahren von Woody Bledsoe, Helen Chan Wolf und Charles Bisson entwickelt.

Sie konnte jedoch aufgrund interner Komplikationen nicht veröffentlicht werden. Zwischen 1960 und 2000 gab es Fortschritte, zu denen mehrere Experten beitrugen. In den 2000er Jahren begann die US-Regierung, die Gesichtserkennung für verschiedene Zwecke zu nutzen, und weitere Entwicklungen führten dazu, dass sie auch in der Privatwirtschaft Einzug hielt.

Gegenwärtig werden Anstrengungen unternommen, um die Gesichtserkennung zu 100% narrensicher zu machen, aber die Zahl der Bildfälschungsangriffe nimmt ständig zu. Was aber ist Image Spoofing und wie funktioniert es?

Wenn Ihr Geschäftsmodell von der Gesichtserkennung abhängt, sollten Sie diesen Blog bis zum Ende lesen.

 

Was ist Image Spoofing?

Image Spoofing, auch bekannt als Facial Spoofing, ist eine Form des Cyberangriffs, bei dem Kriminelle versuchen, sich über biometrische Gesichtsdaten Zugang zu einem Gerät oder System zu verschaffen. Sie verwenden in der Regel ein Foto oder ein Video, um die Identität des ursprünglichen Besitzers zu ersetzen und einen Angriff mit gefälschtem Gesicht durchzuführen.

Die Techniken des Face Spoofing können für Straftaten im Zusammenhang mit Bankgeschäften, sozialen Medien, E-Mails usw. eingesetzt werden, was für Unternehmen, die Gesichtserkennung für ihre Geschäftsabläufe nutzen, von Nachteil sein kann. Hacker können sich Zugang zu Geräten und Systemen verschaffen, in denen die Gesichtserkennung aktiviert ist, um die Informationen zu stehlen oder Nachrichten, E-Mails und ähnliche Anfragen im Namen des Unternehmens zu versenden.

Bösewichte haben es in der Regel auf kleine und mittelständische Unternehmen abgesehen, da diese über schwächere oder gar keine Sicherheitssysteme auf ihren Geräten verfügen. Wussten Sie, dass 30% der kleinen und mittleren Unternehmen in den USA nicht über ein robustes System zum Schutz vor Spoofing verfügen?

 

Arten von Facial Spoofing

Nachdem Sie nun mehr über Image Spoofing wissen, lassen Sie uns zu den verschiedenen Arten übergehen. Es gibt zwei gängige Arten: 2D-Präsentationen und 3D-Präsentationen (statisch oder dynamisch).

2D-Präsentationsangriffe

Statisches 2D Image Spoofing wird mit Fotos, flachem Papier oder Masken durchgeführt. Bei dynamischen Angriffen hingegen werden mehrere Bilder in einer Sequenz oder ein Bildschirmvideo verwendet.

3D-Präsentationsangriffe

In ihrer statischen Form verwenden Cyberkriminelle 3D-Bilder und -Skulpturen. Auf der anderen Seite werden fortschrittliche Roboter für dynamische 3D-Präsentationsangriffe eingesetzt.

 

Wie kann man Image Spoofing verhindern?

Es gibt mehrere Möglichkeiten, Image Spoofing zu verhindern, und alle fallen unter die Technik der Liveness Detection.

Was ist Liveness Detection?

Grundsätzlich wird erkannt, ob die biometrischen Gesichtsdaten echt oder nachgeahmt sind. Der Prozess wird mit Hilfe von Computer-Vision-Technologie durchgeführt, die Image Spoofing verhindert, indem Darstellungen wie Fotos, Videos oder Masken ausgeschlossen werden.

Die Technik zur Liveness Detection kann entweder aktiv oder passiv sein. Gehen wir ein wenig tiefer, um beide zu verstehen.

  • Aktive Liveness: Dies funktioniert, indem die Lebendigkeit durch den Aufbau einer Kommunikation zwischen Gesichtserkennungssystemen überprüft wird. Bei diesem interaktiven und effizienten Ansatz zur Erkennung einer Gesichtsfälschung müssen sich die Benutzer vor eine Kamera stellen und einige Aktionen (wie Lächeln oder Nicken) ausführen, die vom System vorgegeben werden. 

In den meisten Fällen sind die Aktionen zufällig, was bedeutet, dass die Spoofer nicht wissen können, was auf sie zukommt. Dies macht es für sie schwierig, diese Sicherheitsfunktion zu umgehen.

  • Passive Liveness: Aktive Erkennungsprotokolle können für einige Systeme ungeeignet sein, da sie auf Benutzerinteraktion beruhen. In solchen Fällen kommt die passive Liveness Detection zur Rettung.

Hierbei sind sich die Nutzer überhaupt nicht bewusst, dass sie getestet werden; es handelt sich also um eine robuste und narrensichere Methode, um Image Spoofing zu verhindern.

Gängige Techniken zur Bekämpfung von Image Spoofing

Um mehr darüber zu erfahren, wie man Image Spoofing verhindern kann, wollen wir uns mit Methoden zur Liveness Detection beschäftigen, die auf Textur, Farbe, Bewegung, Form oder Reflexion basieren.

Erkennung von Augenblinzeln

Der natürliche Augenblinzeltest gilt als sehr genau. Ein Mensch blinzelt 25-30 Mal in der Minute, und bei jedem Blinzeln bleiben die Augen für fast 250 Millisekunden geschlossen.

Auf neuen Technologien basierende hochmoderne Kameras nehmen Videos mit minimalen Intervallen zwischen aufeinanderfolgenden Bildern auf. So wird die Anzahl der Blinzler gezählt, was dazu beiträgt, Face Spoofing zu erkennen.

Deep Learning

Diese Technik zur Verhinderung von Image Spoofing verwendet ein Faltungsneuronales Netzwerk (convolutional neural network, CNN), das darauf trainiert ist, den Unterschied zwischen echten und gefälschten Grafiken zu erkennen. CNN ist eine Technik, die auf künstlicher Intelligenz basiert und dazu dient, Pixeldaten zu bestimmen.

Challenge-Response-Techniken

Bei dieser Methode geht es um die Validierung der biometrischen Daten des Nutzers, die auf Herausforderungen wie Lächeln basieren. Sie erfordert jedoch zusätzliche Eingaben, was die Benutzerfreundlichkeit insgesamt beeinträchtigt. Wenn Ihr Geschäftsmodell also Gesichtserkennung beinhaltet und Sie diese Technologie einsetzen möchten, ist sie möglicherweise nicht sehr ergiebig.

3D-Kameras

Sie gilt als eine der zuverlässigsten Methoden zur Verhinderung von Face Spoofing. Dies funktioniert durch die Bestimmung der Pixeltiefeninformationen. Die Pixeltiefe eines Gesichts unterscheidet sich von einer flachen Form, was dazu beiträgt, die Eingabe von gefälschten Darstellungen zu verhindern.

Aktives Blitzlicht

Dies unterstützt die Verhinderung von Image Spoofing durch die Nutzung von Lichtreflexionen auf einem Gesicht. Hier wird eine Umgebung mit wenig Licht verwendet, wobei zusätzliches Licht nur vom Bildschirm des Geräts kommt. Auf diese Weise werden gefälschte Gesichter erkannt, da das weiße Licht eine Reflexion hervorruft.

Das System wird darauf trainiert, die Vor- und Nachblitzversionen des Gesichts zu analysieren und anschließend die Pixeltiefe zu berechnen.

Fazit

Die Zahl der Spoofing-Angriffe hat nach dem ersten Höhepunkt von Covid-19 deutlich zugenommen. Im Jahr 2020 gingen 4,1 Mrd. Dollar durch bösartige Akteure verloren. Daher ist es unerlässlich, E-Mail-Spoofing, DNS-Spoofing, IP-Spoofing und andere Cyberangriffe zu erkennen.

Derzeit gilt Deep Learning als die zuverlässigste Methode zur Erkennung von 2D- und 3D-Darstellungen, und es wird davon ausgegangen, dass die kommenden Apps und Software zur Gesichtserkennung für Spoofing nur diese Methode nutzen werden. Es müssen jedoch vernünftige Metriken erstellt werden, wenn wir 100% genaue Ergebnisse von dieser Software und diesen Apps erhalten wollen.