AI toczy wojnę po obu stronach fałszywych dokumentów tożsamości
Weryfikacja KYC (Know Your Customer) jest teraz wszędzie — w bankach, giełdach kryptowalut, e-commerce, wszędzie tam, gdzie trzeba potwierdzić, że jesteś tym, za kogo się podajesz. Firmy takie jak Regula Forensics, Veriff, AU10TIX, Persona, i Resistant AI utrzymują ogromne bazy danych szablonów dokumentów tożsamości z setek krajów. Prosta idea: zweryfikuj dokument, zweryfikuj osobę. Problem? Niektórzy ludzie nie chcą być zweryfikowani.
AI znacząco wzmocniło obie strony. Przestępcy używają go do tworzenia przekonujących fałszerstw. Platformy weryfikacyjne używają go do ich łapania. Żadna ze stron nie wygrywa. To wyścig zbrojeń bez mety.
Jak AI tworzy fałszywe dokumenty tożsamości
Generatywna AI znacznie ułatwiła produkcję fałszywych dokumentów. Narzędzia takie jak Stable Diffusion i podziemne usługi mogą wypluwać realistycznie wyglądające prawa jazdy, paszporty i rachunki za media w ciągu kilku minut. Czarne giełdy sprzedają pakiety AI-generowanych dokumentów tożsamości — dokument plus pasujące selfie plus klip wideo — za 30 do 700 dolarów.
Deepfake'i sprawiają, że jest gorzej. Pre-recordowane filmy i ataki iniekcyjne są zaprojektowane tak, aby oszukać testy "spójrz w kamerę i mrugnij" . I to działa — AI-generowane dokumenty tożsamości z powodzeniem ominęły główne giełdy kryptowalut i uznane platformy KYC (KYC360, Thistle Initiatives). Wskaźnik oszustw dokumentowych w bankowości osiągnął 24% według SmartSearch.
Jak AI je łapie
Strona weryfikacyjna nie próżnuje. Nowoczesne systemy skanują w poszukiwaniu dziwności na poziomie pikseli, niespójności oświetlenia i charakterystycznych artefaktów ruchu, które produkują deepfake'i (GBG, LSEG). Pasywna detekcja żywotności sprawdza teksturę skóry, głębokość i mikro-wyrazy bez proszenia użytkownika o zrobienie czegokolwiek.
Aktywne kontrole są trudniejsze — przechyl głowę, uśmiechnij się, przeczytaj losowy tekst na ekranie. Są one specjalnie zaprojektowane tak, aby rozbić ataki z pre-recordowanymi filmami. Silniki weryfikacyjne również porównują wyodrębnione dane z zewnętrznymi bazami danych i flagują wszystko, co się nie zgadza (Kaspersky).
Cechy fizyczne: część, której AI nie może sfałszować
AI jest genialne w tworzeniu cyfrowych fałszerstw, które wyglądają przekonująco na ekranie. Dokumenty fizyczne to inna historia. Podniesiony tekst, grawerowanie laserowe, mikrodruk, farby reaktywne UV — nie można ich odtworzyć za pomocą oprogramowania. Nakładki holograficzne wymagają przemysłowego sprzętu. Karty poliwęglanowe z wbudowanymi chipami są niezwykle trudne do replikacji w dowolnej skali.
Nawet doświadczeni fałszerze przeoczą małe szczegóły: dokładną teksturę laminatu, odstępy między perforacjami, sposób, w jaki hologram zachowuje się, gdy przechylisz go pod światło. Te fizyczne szczegóły są powodem, dla którego kontrola w świecie rzeczywistym, w połączeniu z analizą cyfrową, nadal łapie fałszerstwa, które prześlizgują się przez kontrole online (AiPrise, VerifyOnline).
Wniosek: żadne fałszerstwo nigdy nie będzie doskonałe. Fizyczne funkcje bezpieczeństwa są po prostu zbyt złożone. Wykrywanie AI stale się poprawia, a połączenie analizy cyfrowej, porównywania baz danych i przeglądu ludzkiego oznacza, że strona weryfikacyjna ma strukturalną przewagę — nawet jeśli pojedyncze fałszerstwa czasami prześlizgują się przez.