पहचान दस्तावेज़ सत्यापन में डिज़ाइन दोष
अधिकांश पहचान सत्यापन (IDV) सिस्टम स्पष्ट नकली पहचानने के लिए डिज़ाइन किए गए थे: खराब Photoshop काम, मेल न खाते फ़ॉन्ट, या दस्तावेज़ जो किसी डेटाबेस में मौजूद नहीं हैं। वह दृष्टिकोण कुछ समय के लिए काम किया। अब काम नहीं करता।
मुद्दा यह नहीं है कि IDV प्रदाता अक्षम हैं। मुद्दा यह है कि खतरे का मॉडल बदल गया है, और मानक सत्यापन स्टैक आज के हमलों के लिए कभी नहीं बनाया गया था।
फेसस्वैपिंग चोरी की पहचान को नौकरी के प्रस्तावों में बदल देती है
हाल तक, एक विश्वसनीय नकली ID बनाने के लिए वास्तविक कौशल, विशेष मुद्रण उपकरण, और सुरक्षा सुविधाओं के विस्तृत ज्ञान की आवश्यकता थी। प्रवेश की बाधा ने अधिकांश धोखाधड़ी को पता लगाने योग्य बनाया।
वह बाधा ध्वस्त हो गई है। AI-संचालित फेसस्वैपिंग टूल अब उच्च-गुणवत्ता वाली दस्तावेज़ धोखाधड़ी को सस्ता और नियमित बनाते हैं। OnlyFake जैसी सेवाओं (अब बंद, लेकिन व्यापक रूप से अनुकरण) ने केवल $15 में AI-निर्मित नकली ID की पेशकश की। खरीदार अपने चेहरे की एक फ़ोटो अपलोड करता है, एक दस्तावेज़ प्रकार और देश चुनता है, और किसी और की पहचान पर अपने चेहरे के साथ एक यथार्थवादी ID प्राप्त करता है।
अधिक परिष्कृत हमलों के लिए, डार्कनेट बाजार पूर्ण "KYC बायपास किट" बेचते हैं — एक फेसस्वैप्ड दस्तावेज़ एक मिलान करने वाले डीपफेक सेल्फी वीडियो के साथ — आमतौर पर $50 से $200 के लिए। उद्योग शोध के अनुसार, 2023 में अकेले पहचान स्वैप हमले 704% बढ़ गए।
यह महत्वपूर्ण है क्योंकि ये तकनीकें अब केवल खाता अधिग्रहण या उपभोक्ता धोखाधड़ी के लिए उपयोग नहीं की जाती हैं। उन्हें उत्तर कोरियाई-जुड़े IT कर्मचारी नेटवर्क द्वारा व्यवस्थित रूप से तैनात किया जा रहा है जो चोरी या उधार ली गई पहचान का उपयोग करके रिमोट इंजीनियरिंग, DevOps, और साइबर सुरक्षा भूमिकाओं के लिए आवेदन करते हैं।
अर्थव्यवस्था पलट गई है। दस्तावेज़ धोखाधड़ी के लिए कभी विशेषज्ञता और पूंजी की आवश्यकता थी। अब एक क्रेडिट कार्ड और पंद्रह मिनट की आवश्यकता है।
वर्तमान बचाव क्यों विफल होते हैं
जब आपका IDV प्रदाता "दस्तावेज़ सत्यापन" चलाता है, तो वे वास्तव में क्या जाँच करते हैं?
अधिकांश सिस्टम DMV डेटाबेस या समान सरकारी रिकॉर्ड की क्वेरी करते हैं। वे सत्यापित करते हैं कि दस्तावेज़ नंबर मौजूद है, कि नाम मेल खाता है, कि दस्तावेज़ की चोरी की रिपोर्ट नहीं की गई है, और कि यह समाप्त नहीं हुआ है। कुछ जाँचते हैं कि दस्तावेज़ का दृश्य लेआउट उस राज्य या देश के लिए अपेक्षित टेम्पलेट से मेल खाता है।
वे दस्तावेज़ पर फ़ोटो की तुलना मूल सरकारी डेटाबेस में फ़ोटो से नहीं करते। वे नहीं कर सकते — अधिकांश DMV डेटाबेस अपने verification APIs के माध्यम से चेहरे की छवियाँ उजागर नहीं करते।
यह एक स्पष्ट अंतर बनाता है। एक फेसस्वैप्ड ID वास्तविक अंतर्निहित डेटा का उपयोग करती है। दस्तावेज़ नंबर वैध है। नाम मेल खाता है। पता जाँच आउट होता है। दस्तावेज़ के बारे में सब कुछ प्रामाणिक है सिवाय चेहरे के। और वह एकमात्र चीज़ है जिसे डेटाबेस लुकअप सत्यापित नहीं करता।
दस्तावेज़ वास्तविक है। उस पर का चेहरा नहीं है।
Liveness Detection आपको नहीं बचाएगी
आधुनिक IDV सिस्टम अक्सर "liveness detection" जोड़ते हैं यह सुनिश्चित करने के लिए कि एक वास्तविक व्यक्ति कैमरे के सामने है।
यह एक प्रश्न का उत्तर देती है: क्या यहाँ अभी एक वास्तविक व्यक्ति है? यह वह प्रश्न नहीं है जो मायने रखता है: क्या यह वह व्यक्ति है जिसे सरकार ने यह पहचान जारी की?
मानक IDV प्रवाह इस तरह दिखता है:
दस्तावेज़ स्कैन करें।
एक लाइव सेल्फी कैप्चर करें।
दो चेहरों की तुलना करें।
यदि दस्तावेज़ को हमलावर के असली चेहरे को दिखाने के लिए फेसस्वैप किया गया था, तो किसी डीपफेक की आवश्यकता नहीं है। हमलावर अपना खुद का चेहरा कैमरे को दिखाता है, यह बदले हुए दस्तावेज़ से मेल खाता है, और सत्यापन पूरी तरह पास हो जाता है।
Liveness detection किसी को फ़ोटो पकड़े या वीडियो रिप्ले करते हुए रोकने के लिए बनाई गई थी — दस्तावेज़ के हेरफेर का पता लगाने के लिए नहीं।
वास्तव में क्या काम करता है
दो दृष्टिकोण इस हमले श्रृंखला को विश्वसनीय रूप से तोड़ते हैं:
पासपोर्ट चिप (NFC) सत्यापन — स्वर्ण मानक। आधुनिक पासपोर्ट एक एम्बेडेड चिप पर धारक की फ़ोटो का एक डिजिटल रूप से हस्ताक्षरित संस्करण संग्रहीत करते हैं। जब ठीक से पढ़ा और सत्यापित किया जाता है, तो यह साबित करता है कि छवि जारी करने वाली सरकार से आई है और इसे बदला नहीं गया है। एक फेसस्वैप इस जाँच से नहीं बच सकती।
ड्राइवर लाइसेंस के साथ मजबूत डिवाइस और स्थान प्रमाण। जहाँ पासपोर्ट व्यावहारिक नहीं हैं, एक ड्राइवर लाइसेंस जाँच को रियल-टाइम डिवाइस अटेस्टेशन और भरोसेमंद GPS सत्यापन के साथ जोड़ा जा सकता है ताकि बड़े पैमाने पर प्रतिरूपण बहुत कठिन हो जाए। यह पासपोर्ट चिप की क्रिप्टोग्राफिक निश्चितता से मेल नहीं खाता, लेकिन यह सुनिश्चित करना कि उपयोगकर्ता का वर्तमान स्थान उनके ID दस्तावेज़ के देश से मेल खाता है, बार को उस स्तर तक बढ़ाता है जो सरल फेसस्वैप हरा नहीं सकते।
सामान्य सिद्धांत समान है: कुछ ऐसा सत्यापित करें जिसे हमलावर गढ़ नहीं सकता, न केवल कुछ ऐसा जो वे प्रस्तुत कर सकते हैं।
यह अभी क्यों महत्वपूर्ण है
यह काल्पनिक नहीं है। उत्तर कोरियाई IT कर्मचारी ऑपरेशन सक्रिय रूप से इन अंतरालों का शोषण कर रहे हैं ताकि रिमोट ठेकेदारों को फेसस्वैप की गई चोरी या उधार ली गई पहचान का उपयोग करके वैध कंपनियों में डाला जा सके। एक बार अंदर, वे क्रेडेंशियल और संवेदनशील ग्राहक डेटा तक पहुँच सकते हैं।
मानक IDV पर निर्भर किसी भी संगठन के लिए असहज प्रश्न सरल है: क्या आपकी प्रक्रिया पहले से बायपास हो चुकी है, बिना आपको जाने? यदि आपका प्रदाता स्पष्ट रूप से नहीं बता सकता कि वे फेसस्वैप्ड दस्तावेजों के उपयोग को कैसे रोकते हैं, तो संभावना अधिक है कि यह हो चुका है।
Polyguard संगठनों को इस अंतर को बंद करने के लिए क्रिप्टोग्राफिक दस्तावेज़ जाँच को डिवाइस और स्थान आश्वासन के साथ संयोजित करने में मदद करता है। यदि आप फेसस्वैप की दुनिया में पहचान सत्यापित करना चाहते हैं, तो Polyguard मदद कर सकता है।
Polyguard को क्रियान्वित देखना चाहते हैं?
अपनी संचार सुरक्षा के लिए रीयल-टाइम पहचान सत्यापन का अनुभव करें।
