ความก้าวหน้าของเทคโนโลยีปัญญาประดิษฐ์ หรือ AI โดยเฉพาะ Deepfake ได้กลายเป็นภัยไซเบอร์ที่กำลังสร้างความท้าทายแก่การใช้เทคโนโลยีจำจดใบหน้า
เนื่องจากความสามารถของ Deepfake นั้น นำมาสร้างภาพ วิดีโอ หรือเสียงปลอมที่สมจริงจนยากต่อการตรวจจับ หากระบบที่นำมาใช้งาน ไม่มีมาตรการป้องกันและประสิทธิภาพที่ดี อาจถูกมิจฉาชีพใช้ Deepfake สวมรอยเพื่อเข้าถึงข้อมูลหรือสิทธิประโยชน์ ซึ่งถือเป็นภัยคุกคามต่อความมั่นคงปลอดภัย โดยเฉพาะระบบ Digital ID ที่ใช้ข้อมูลชีวมิติ เช่น ใบหน้าและเสียง ที่ได้ถูกนำมาใช้อย่างแพร่หลายในมิติต่างๆ เช่น การสแกนใบหน้าเพื่อเข้าใช้แอปการเงิน ฯลฯ
โดยเฉพาะเมื่อระบบขาดการตรวจสอบความมีชีวิตหรือเป็นบุคคลจริง (Liveness Detection) ทำให้ผู้ไม่หวังดีสามารถใช้ภาพหรือวิดีโอปลอมเพื่อหลอกลวงระบบยืนยันตัวตน และอาจนำไปสู่การขโมยข้อมูลอัตลักษณ์หรือเข้าถึงบริการที่ต้องการความปลอดภัยสูง เช่น ธุรกรรมทางการเงินหรือการยืนยันตัวตนกับหน่วยงานของรัฐ ฯลฯ
ข้อมูลจาก สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือเอ็ตด้า (ETDA) ระบุว่า Deepfake ใช้เทคนิคโครงข่ายประสาทเทียมปฏิปักษ์ (Generative Adversarial Networks: GANs) เพื่อสร้างสื่อสังเคราะห์ที่แนบเนียน โดยอาศัยข้อมูลภาพ วิดีโอ หรือเสียงของบุคคลเป้าหมาย ทำให้สามารถเลียนแบบใบหน้าและเสียงได้อย่างสมจริง
ผลกระทบของ Deepfake ไม่ได้จำกัดอยู่เพียงการสวมรอยเป็นบุคคลอื่น แต่ยังส่งผลต่อความน่าเชื่อถือของผู้ให้บริการ เช่น การฉ้อโกงทางการเงิน การทำลายชื่อเสียงองค์กร หรือแม้แต่การสร้างข่าวปลอมในวงกว้าง
ภัยคุกคามที่มักพบจากการโจมตีโดย Deepfake เช่น การลงทะเบียนโดยปลอมแปลงข้อมูลเป็นผู้อื่น (Fraudulent Registration) โดย ผู้ไม่หวังดีสร้าง Digital ID ใหม่โดยสวมรอยเป็นบุคคลอื่น กระบวนการโจมตีนี้เริ่มจากการเข้าถึงข้อมูลส่วนบุคคลของเหยื่อ เช่น หมายเลขบัตรประชาชน พร้อมรวบรวมภาพหรือวิดีโอจากแหล่งสาธารณะ เช่น โซเชียลมีเดีย ข้อมูลเหล่านี้จะถูกนำไปใช้สร้างสื่อสังเคราะห์ด้วยเทคโนโลยี Deepfake เพื่อสร้างวิดีโอใบหน้าของเหยื่อที่สมจริงและเคลื่อนไหวได้ตามเงื่อนไขที่กำหนด
จากนั้นวิดีโอนี้จะถูกใช้หลอกลวงกระบวนการทำความรู้จักลูกค้าผ่านช่องทางอิเล็กทรอนิกส์ (e-KYC) ที่ต้องตรวจสอบข้อมูลชีวมิติด้วยใบหน้า หากระบบไม่สามารถตรวจจับความผิดปกติได้ การลงทะเบียนจะสำเร็จ ทำให้ผู้ไม่หวังดีสามารถสร้าง Digital ID ที่ปลอมเป็นเหยื่อได้
ซึ่ง Digital ID นี้อาจถูกนำไปใช้ในการฉ้อโกงทางการเงิน ฟอกเงิน หรือกิจกรรมผิดกฎหมายอื่น ๆ ที่สร้างความเสียหายต่อเหยื่อที่เป็นเจ้าของข้อมูลตัวจริง
นอกจากนี้ ยังมีการใช้ Deepfake ปลอมแปลงใบหน้าเพื่อทำธุรกรรม (Transaction Spoofing) โดยป็นการโจมตีที่มุ่งเข้าถึง Digital ID ของเหยื่อ เมื่อระบบของผู้ให้บริการร้องขอการยืนยันตัวตนด้วยใบหน้า ผู้ไม่หวังดี หรือมิจฉาชีพ จะใช้วิดีโอที่สร้างจาก Deepfake ซึ่งจะแสดงใบหน้าของเหยื่อที่สามารถแสดงการขยับท่าทางต่าง ๆ ได้ มาแสดงต่อระบบรู้จำใบหน้า หากระบบขาดกลไกตรวจจับความมีชีวิตหรือเป็นบุคคลจริง (Liveness Detection) หรือเทคโนโลยีป้องกันการปลอมแปลง (Anti-spoofing) ที่มีประสิทธิภาพ ระบบจะยอมรับข้อมูลปลอมและอนุมัติให้ผู้ไม่หวังดีเข้าถึง Digital ID ของเหยื่อ และสามารถเข้าถึงทรัพย์สินหรือข้อมูลสำคัญของเหยื่อได้
ขณะเดียวกัน ยังมีการใช้ การปลอมแปลงด้วยภาพนิ่ง/หน้ากาก (Static Image/Mask Spoofing) โดยเป็นการโจมตีโดยใช้ภาพถ่ายความละเอียดสูง วิดีโอบันทึกภาพใบหน้าและการขยับท่าทางต่าง ๆ ของเหยื่อ หรือหน้ากากสามมิติ เพื่อหลอกระบบจดจำใบหน้าที่ไม่มีเทคโนโลยีตรวจจับความมีชีวิตหรือเป็นบุคคลจริง (Liveness Detection) ที่เพียงพอ ทำให้ระบบไม่สามารถแยกแยะใบหน้าจริงกับภาพปลอมได้
จุดอ่อนนี้เกิดจากการที่ระบบไม่สามารถตรวจสอบสัญญาณชีวมิติที่บ่งบอกถึงการมีชีวิต เช่น การกะพริบตา การขยับกล้ามเนื้อใบหน้า หรือมิติความลึกที่แท้จริง ส่งผลให้ระบบอนุมัติการเข้าถึงผิดพลาด ทำให้ผู้ไม่หวังดีเข้าถึงข้อมูลหรืออุปกรณ์ที่ได้รับการป้องกันได้
อย่างไรก็ตาม ทาง เอ็ตด้า แนะนำ แนวทางเบื้องต้นในการป้องกันภัยคุกคามจาก Deepfake เช่น การใช้ Liveness Detection แบบสุ่ม โดยเป็นการใช้เทคโนโลยี เช่น AI ในการทำหน้าที่ตรวจสอบว่าบุคคลที่ทำธุรกรรมหรือยืนยันตัวตนเป็นมนุษย์จริงที่มีชีวิตและอยู่ต่อหน้ากล้องในขณะนั้น (physically present) กลไกนี้ช่วยป้องกันการโจมตีแบบ Presentation Attack ที่ผู้ไม่หวังดีใช้สิ่งปลอมแปลง เช่น ภาพถ่าย วิดีโอที่บันทึกไว้ หน้ากากสามมิติ หรือวิดีโอ Deepfake ที่สมจริง เพื่อหลอกระบบจดจำใบหน้า
สำหรัการใช้ Liveness Detectionสามารถแบ่งเป็น 3 ประเภท คือ 1.Active Liveness เป็นวิธีที่ต้องการให้ผู้ใช้บริการแสดงท่าทางตอบสนองตามคำสั่งของระบบ เพื่อยืนยันว่ามีตัวตนจริงและมีชีวิตอยู่ในขณะนั้น เช่น การหันศีรษะไปทางซ้ายหรือขวา การกะพริบตาตามจังหวะ หรือการยิ้ม วิธีนี้มีความแม่นยำสูงเพราะยากต่อการปลอมแปลงด้วยภาพนิ่งหรือวิดีโอที่บันทึกไว้ 2.Semi-Active Liveness เป็นวิธีแบบผสมที่ต้องการการโต้ตอบจากผู้ใช้บริการน้อยกว่าวิธีแรก เช่น การขยับศีรษะเล็กน้อยหรือทำท่าทางง่าย ๆ โดยไม่ต้องทำตามคำสั่งที่ซับซ้อนมากนัก วิธีนี้ช่วยลดความยุ่งยากของผู้ใช้ แต่ยังคงมีความปลอดภัยในระดับที่เหมาะสม อย่างไรก็ตาม อาจยังมีช่องโหว่หากผู้ไม่หวังดีใช้วิดีโอ Deepfake ที่สามารถแสดงท่าทางการเคลื่อนไหวพื้นฐานบางอย่างได้
และ 3 Passive Liveness เป็นวิธีที่ระบบจะทำการวิเคราะห์ภาพหรือวิดีโอในขณะที่ผู้ใช้บริการกำลังยืนยันตัวตนหน้ากล้อง โดยระบบจะใช้เทคนิคต่าง ๆ ในการตรวจสอบสัญญาณชีวมิติ เช่น การสะท้อนแสงบนผิวหน้า ความลึกของภาพ (3D depth) และการเคลื่อนไหวตามธรรมชาติของกล้ามเนื้อใบหน้า วิธีนี้สะดวกที่สุดสำหรับผู้ใช้บริการเพราะไม่ต้องทำตามคำสั่งใด ๆ แต่ต้องอาศัยเทคโนโลยีขั้นสูงและฮาร์ดแวร์ที่มีคุณภาพ เช่น กล้องที่รองรับการจับภาพสามมิติ เพื่อป้องกันการโจมตีด้วยภาพนิ่งคุณภาพสูงหรือวิดีโอ Deepfake ที่สมจริง
นอกจากนี้ การใช้เทคโนโลยี Liveness Detection แล้วควรใช้การยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication) โดยผสานข้อมูลชีวมิติกับปัจจัยอื่น เช่น อุปกรณ์ OTP เพื่อเพิ่มความปลอดภัย ซึ่งการรับมือกับภัยคุกคามจาก Deepfake ต้องดำเนินการแบบบูรณาการ ทั้งด้านเทคโนโลยี มาตรการทางกฎหมาย และการสร้างความตระหนักรู้ในสังคม
เพื่อป้องกันไม่ให้ Deepfake กลายเป็นช่องโหว่สำคัญในการหลอกหลวงสร้างความเสียหายให้กับคนไทย.
Cyber Daily
