【專攻越泰】中國黑客組織GoldFactory呃相呃證件 深度造假技術進行金融詐騙
網絡安全機構 Group-IB 發表調查報告,揭露一個以騙取泰國及越南市民人臉數據及身分證明文件的中國黑客組織 GoldFactory 的詐騙手法。黑客會誘騙目標人安裝 iOS 或 Android 木馬程式,從而暗中盜取這些資料,再利用 deepfake 技術去進行金融詐騙。研究員指現時攻擊仍然持續,香港用家亦要小心防範。
Deepfake 深度造假技術相信大家都耳熟能詳,早前香港就有一間跨國公司的員工受騙,導致公司損失過億港元。而這次被 Group-IB 研究員發現的黑客組織 GoldFactory,過往亦有開發一系列的惡意軟件,如 GoldDigger、GoldKefu 等,但在最新的惡意軟件 GoldPickaxe 中,還加入了盜取目標人物的生物辨識數據的功能。
訊息以當地語言寫成
研究員指出,GoldFactory 集團最早在去年 10 月開始散播 GoldPickaxe,它分為 iOS 及 Android 版本,黑客首先會通過 LINE 社交應用程式接觸目標人物,利用社交工程攻擊讓對方相信自己是政府機構,由於訊息以當地語言寫成,因此某程度上亦令目標人士信以為真,並按黑客指示安裝聲稱為退休金的應用程式。
針對 Android 用家的攻擊比較簡單,黑客首先會將 GoldPickaxe 偽裝成上述的應用程式,或以其他名目在 Google Play 上架,之後只要誘使目標人物在官方商店或以 apk 形式安裝便可。研究員說 iOS 則比較複雜,因為 Apple Store 的驗證手續嚴謹,而且系統本身不容許安裝第三方軟件,因此黑客必須說服目標人物執行其他安裝方式,例如借助 iOS 用於讓開發者發布小規模測試程式的 Testflight 功能,或用於配置手機的 MDM 移動設備管理配置文件,才能成功將木馬程式載入 iPhone 內。
可以deepfake偽冒通過銀行身分驗證
無論目標人物安裝哪一個版本的惡意軟件,研究員說 GoldPickaxe 便可在背後半自動操作,包括聯繫黑客的 C2 控制中心、彈出要求受害者錄製臉部影像或拍攝身分證明文件的訊息、將數據上傳控制中心等,而由於 Android 系統取用手機其他功能的自由度較大,因此黑客還可上傳受害者手機內最新拍攝的 100 張相片、瀏覽文件系統及讀取短訊,破壞力更大。
研究員解釋,雖然黑客並非直接破解手機系統內儲存的 FaceID 數據,但相信黑客在取得這些資料後,便可以 deepfake 技術偽冒當事人,通過當地金融機構如銀行的身分驗證,特別是當超過一定金額,銀行便會要求當事人進行生物識別檢查,才能進行交易。而要防範這種攻擊,只能夠從源頭出發,必須小心驗證對方的身分,同時不應從非官方途徑下載及安裝應用程式,便可減少受騙機會。
