新聞 
幣種資訊 
關於我們 
出現以「*假臉*」與「*假聲音*」突破 KYC(客戶身分認證)的駭客工具,正讓傳統金融與「加密貨幣」平台的「*身分驗證*」機制面臨前所未有的考驗。隨著「*生成式 AI*」技術迅速進步,過去被視為安全門檻的「*生物特徵認證*」與視訊驗證,如今正被「*深度偽造(Deepfake)*」技術快速侵蝕。
根據「Dark Web Informer」在 6 日(當地時間)於 X(原推特)上的追蹤情報,威脅行為者「Jinkusu」正販售一款專門繞過金融平台 KYC 的「*駭客工具包*」。該工具結合「*臉部深偽*」與「*語音偽造*」功能,能在視訊通話中即時更換臉孔、變造聲音,藉此欺騙銀行與「加密貨幣」交易所的身分驗證流程。有安全公司分析指出,這類工具透過「*即時臉部替換*」搭配「*動態語音變聲*」,可有效繞過依賴臉部與聲紋的「*生物辨識系統*」。
資安公司 Cyberus 執行長 Dedi Raviv 表示,這類工具的問世,是對現行 KYC 系統的一次「*警告信號*」。他指出,AI 正在「*大幅降低合成身分詐騙的門檻*」,讓任何人都能以低成本取得「*假身分*」,而傳統只守在「入口驗證」的思維已難以因應。
評論:Raviv 的觀點凸顯出一個關鍵風險——當攻擊工具被做成「一鍵套件」,資安防線就不再只對抗少數高手駭客,而是面對「*工具化、服務化的詐騙產業*」。
事實上,「幣安」(Binance) 的安全負責人 Jimmy Su 早在 2023 年 5 月就曾公開警告「*Deepfake 對 KYC 的威脅*」。他當時指出,隨著 AI 演算法持續精進,「*只憑一張照片*」就足以生成逼真的假臉影像,進而騙過部分交易所與金融 App 的身分確認流程。這次曝光的犯罪工具包,更被指能讓「*沒有技術背景的詐騙集團*」輕易操作,用於「*愛情詐騙(Romance Scam)*」與「*豬殺盤*」等套路,大幅擴大受害範圍。
從金額來看,衝擊已不容小覷。根據 2024 年的統計數據,與「*豬殺盤*」相關的案件已累計約 20 萬宗,推估損失金額高達約 55 億美元,受害者多為「加密貨幣」與線上投資族群。
評論:這顯示出「*KYC 形式上存在,但實質防護不足*」的結構性問題——當詐騙集團能以 AI 大量複製、批量執行詐騙腳本,傳統依賴「人工審核」、「單一生物驗證」的流程明顯跟不上攻擊規模。
更引人關注的是,部分資安研究人員懷疑,此次販售 Deepfake KYC 工具的「Jinkusu」,極可能與今年 2 月曝光的釣魚工具包「*Starkiller*」為同一名或同一團隊開發者。Starkiller 被視為「*釣魚即服務(PhaaS)*」的一環,專門提供模板化釣魚頁面與後台管理功能。若兩者確實出自同一來源,意味著「*從釣魚連結、假官網,到假臉、假聲音*」的詐騙全套工具,正逐步形成完整產業鏈。
在這樣的背景下,業界對「僅靠 KYC 並不夠」的共識愈發強烈。Deepfake 正將「*身分驗證*」變成可被量產偽造的環節,迫使銀行與「加密貨幣」平台思考如何將防線延伸至「*KYC 之後*」,也就是:
- 持續性、行為導向的「*交易風險監控*」
- 異常登入與設備指紋比對
- 「*多因子驗證*」與「*多層次安全架構*」
- 對可疑帳戶與資金流的即時 AI 風控分析
評論:在「*AI 對 AI*」的攻防格局下,未來的「加密貨幣」與金融安全,將不再是單一技術能解決的問題,而是「*從身分、設備到行為*」的一體化風控戰爭。這起假臉、假聲音突破 KYC 的案例,等於再度敲響警鐘——不強化「*認證後*」的安全機制,任何平台入口的 KYC 設計,都可能只是「*看起來安全*」。
留言 0