זיהוי פנים / צילום: Shutterstock, DedMityay
מערכות זיהוי פנים, שמזה זמן רב קודמו כדרך מהירה ואמינה לזהות כל מי שצריך, מאורחים בבתי מלון ועד עובדים, הפכו לפתח לתרמיות. במשך שנים, חוקרים הזהירו לגבי החולשות בטכנולוגיה, אבל כמה מעשי תרמית מהעת האחרונה מאשרים את החששות - ומדגישים את הצורך החשוב לשפר את המערכות.
בשנה האחרונה, אלפי אנשים בארה"ב ניסו לרמות את מערכת זיהוי הפנים לאימות על מנת לנסות לדרוש דמי אבטלה באופן שקרי מסוכנויות מדינה וכוח אדם, כך אומרים בחברת אימות הזהות ID.me. החברה, המשתמשת בתוכנת זיהוי פנים על מנת לאמת אנשים ב-26 מדינות בארה"ב, אומרת שבין יוני 2020 לינואר 2021 גילתה יותר מ-80 אלף ניסיונות לרמות את שלב הסלפי בזיהוי ממשלתי בקרב הסוכנויות להן היא מספקת שירות. הניסיונות כללו אנשים שלבשו מסכות מיוחדות, השתמשו בדיפ פייק - דימויים ריאליסטיים הנוצרים על-ידי אינטליגנציה מלאכותית - או החזיקו צילומים או סרטונים של אנשים אחרים, כך אומר מנכ"ל ID.me בלייק הול.
כלי זיהוי פנים לזיהוי אדם אחד-לאחד הפך לאחד מהשימושים הנרחבים ביותר באינטליגנציה מלאכותית, ומאפשר לאנשים לבצע תשלומים דרך הטלפון, לעבור במערכות לביקורת דרכונים או לאמת זהותם כעובדים. נהגים של חברת Uber, למשל, צריכים להוכיח באופן שגרתי שיש להם רישיון על-ידי צילום סלפי והעלאתו לשרתי החברה, שאחר כך משתמשת בטכנולוגיית זיהוי פנים של מיקרוסופט על מנת לאמת את זהותם. החברה מכניסה לשימוש את הזיהוי על-ידי סלפי בהדרגה במדינות רבות בעולם ועושה זאת בגלל שנאלצה להתמודד עם מצבים בהם נהגים הצליחו לפרוץ את המערכת שלה ושיתפו ביניהם חשבונות. ב-Uber סירבו להגיב לכתבה זו.
אמזון וחברות קטנות יותר כמו Idemia Group, Thales Group ו-AnyVision Interactive Technologies מוכרים מערכות לאימות זהות על-ידי זיהוי פנים. הטכנולוגיה עובדת על-ידי מיפוי הפנים ליצירת מה שנקרא טביעת פנים. זיהוי אנשים בודדים לרוב מדויק יותר מזיהויים מתוך המון אדם.
עדיין יש לצורה הזו של זיהוי ביומטרי מגבלות, אומרים החוקרים.
למה פושעים מנסים להתל במערכות הזיהוי
אנליסטים בחברת דירוג האשראי Experian כתבו בדו"ח בטיחות ממרץ שהם צופים שרמאים ייצרו יותר ויותר "פרצופי פרנקנשטיין" תוך שימוש באינטליגנציה מלאכותית על מנת לשלב מאפייני פנים של אנשים שונים כדי ליצור זהות חדשה לגמרי ולהתל במערכות זיהוי הפנים.
האנליסטים אמרו שהאסטרטגיה היא חלק מסוג צומח במהירות של פשע פיננסי המוכר כגניבת זהות סינתטית, כשהרמאים משתמשים בשילוב של מידע אמיתי ומזויף על מנת ליצור זהות חדשה.
עד לאחרונה, היו אלה פעילים שהפגינו נגד מעקבים שהתנגדו בתוקף למערכות זיהוי פנים. תומכים בפרטיות האזרחים בבריטניה, למשל, ציירו על פניהם איפור לא סימטרי שנועד בכוונה לשבש את התוכנה המופעלת במערכות זיהוי פנים בזמן שהם הולכים באזורים עירוניים.
לפושעים סיבות רבות יותר לעשות כך, החל מזיוף פניהם של אנשים כדי להגיע לארנקים הדיגיטליים שלהם על גבי מכשירי הטלפון, או כדי לקבל כניסה למקומות מאובטחים כמו מלונות, מרכזי עסקים או בתי חולים, כך אמר אלכס פוליאקוב, מנכ"ל Adversa.ai, חברה החוקרת אינטליגנציה מלאכותית בטוחה. כל מערכת בקרת כניסה למקומות שונים שהחליפה שומרים אנושיים במצלמות זיהוי פנים נמצאת בסיכון, כך הוא אומר, ומוסיף שהצליח לשטות במערכות זיהוי פנים שחשבו שהוא מישהו אחר על-ידי הרכבת משקפיים בעיצוב מיוחד או פלסטרים.
איום גובר
הרעיון לשטות במערכות האוטומטיות האלה התחיל כבר לפני כמה שנים. בשנת 2017, לקוח זכר של חברת הביטוח Lemonade ניסה לרמות את מערכות האינטליגנציה המלאכותית של החברה כשלבש פאה בלונדינית וליפסטיק והעלה סרטון בו אמר שהמצלמה שלו ששווה 5,000 דולר נגנבה. מערכות האינטליגנציה המלאכותית ב-Lemonade, המנתחות סרטונים כאלה כדי למצוא רמזים לתרמיות, סימנו את הסרטון כחשוד והחברה גילתה שהאדם ניסה לייצר זהות בדויה. קודם לכן קיבל כספים מהחברה בתביעת ביטוח כשהזדהה בזהותו האמיתית, כך כתבה החברה בבלוג שלה.
ב-Lemonade, הכותבת באתר שלה שהיא משתמשת במערכות זיהוי פנים על מנת למצוא תביעות המוגשות על-ידי אותו אדם בזהויות שונות, סירבו להגיב לכתבה.
מוקדם יותר השנה, תובעים בסין האשימו שני אנשים בגניבת יותר מ-77 מיליון דולר על-ידי הקמת חברת מעטפת מזויפת המתיימרת למכור תיקי עור ושולחת חשבוניות מס מזויפות ללקוחות שרצו אותם. הזוג הצליחו לשלוח חשבוניות שנראו לגיטימיות על-ידי זה שהצליחו לרמות את מערכת זיהוי הפנים של רשויות המס הסיניות, שהוקמה כדי לעקוב אחר תשלומים ולהילחם בהעלמת מס, כך צוטטו התובעים בדיווח ממרץ שהופיע בעיתון שינואה דיילי טלגרף. באתר הצ'טים WeChat כתבו התובעים פוסט בו פירטו שהתוקפים פרצו את שירות זיהוי הפנים של הממשלה המקומית בעזרת סרטונים שהפיקו. את התובעים משנחאי לא ניתן היה להשיג לקבלת תגובה.
הזוג רכש צילומים באיכות גבוהה של פרצופים משוק שחור מקוון, ואחר כך הפעילו תוכנה שיצרה מתוכם סרטונים קצרצרים שגרמו לצילומים להיראות מהנהנים בראשם, ממצמצים או פותחים את הפה, כך נכתב בדיווח.
אחר כך, הזוג השתמש בטלפון נייד מיוחד שבכל פעם שנדרש לצלם סלפי, העביר במקום סרטון מהצלמה הקדמית את הסרטונים שעברו מניפולציה לאתר של מערכת המס של שנחאי, המשתמש בזיהוי פנים על מנת לאמת החזרי מס, כך נכתב בדו"ח. על פי התובעים פעלו כך שני הסינים מאז 2018.
כדי לשטות במערכת זיהוי פנים לא תמיד צריך תוכנות מורכבות, כך אומר ג'ון ספנסר, מנהל אסטרטגיה בחברת הזיהוי הביומטרית Veridium. אחת הדרכים הנפוצות ביותר לרמות מערכת זיהוי פנים, או לבצע מה שזכה לכינוי התקפת פרזנטציה, היא להדפיס צילום של מישהו, לחתוך מתוכו את העיניים ולהשתמש בו כמסכה, אמר. מערכות זיהוי פנים רבות, כמו אלה המשמשות בפלטפורמות מסחר פיננסיות, בודקות אם הסרטון מראה אדם חי על-ידי בחינה אם העיניים זזות או ממצמצות.
ברוב המקרים, אומר ספנסר, הצוות שלו יכול היה להשתמש בטקטיקה הזו ובאחרות על מנת לבחון את גבולות מערכות זיהוי הפנים, לפעמים תוך קיפול הפרצוף מנייר על מנת להעניק לו מעט יותר נפח. "תוך שעה אחת אני יכול לרמות כמעט כל מערכת כזו", אמר.
תוכנת Face ID של אפל, שהושקה ב-2017 עם האייפון X, היא אחת הקשות ביותר לפריצה, על פי החוקרים. המצלמה שלה מקרינה יותר מ-30 אלף נקודות בלתי נראות על מנת ליצור מפת עומק של פנים של אדם, ואז מנתחת אותה, בזמן שהיא מצלמת גם צילום אינפרא-אדום. בעיבוד בשבב של הטלפון, הצילום הופך לייצוג מתמטי שאחר כך מושווה לבסיס הנתונים של פני המשתמש, כך כתוב באתר של אפל. דוברת של אפל אומרת שבאתר של החברה מצוין שמסיבות של פרטיות, נתוני הפנים בתוכנת Face ID לעולם לא יוצאים מהמכשיר.
כמה בנקים וחברות שירותים פיננסיים משתמשות בשירותי זיהוי פנים מצד שלישי, לא במערכת Face ID של אפל, על מנת להחתים לקוחות לאפליקציות הטלפונים שלהם באייפון, אומר ספנסר. זה כנראה פחות מדויק. "אין יכולת אינפרא אדום, אין הקרנה של נקודות".
בנקים רבים שפועלים ברשת בלבד מבקשים ממשתמשים להעלות סרטוני סלפי לצד צילום של רישיון הנהיגה שלהם או הדרכון, ואז משתמשים בתוכנות של חברות צד שלישי על מנת להתאים את הסרטון לזהות. הסרטונים האלה לעתים מגיעים לבודקים אנושיים, כשהתוכנה מסמנת משהו כחשוד, כך אומר ספנסר.
מחפשים פתרון
פוליאקוב באופן שגרתי בוחן את הבטיחות של מערכות זיהוי פנים עבור לקוחותיו ואומר שיש שתי דרכים להגן עליהן ממעשי מרמה. אחת היא לעדכן את המודלים של האינטליגנציה המלאכותית שבבסיס המערכות שייזהרו ממתקפות חדשות על-ידי עיצוב מחדש של האלגוריתמים המפעילים אותן. הדרך השנייה היא לאמן את המודלים בכמה שיותר דוגמאות של הפנים שעברו שינויים ועשויים להתל בתוכנה, מה שנקרא דוגמא שלילית.
למרבה הצער, כדי ללמד תוכנת זיהוי פנים גם להתגונן מזיופים צריך להראות לתוכנה כמות גדולה פי 10 של צילומים - וזה תהליך ארוך ויקר. "לכל פני אדם אנושיים אתה צריך להוסיף את אותו פרצוף עם משקפיים, עם כובע, כך שהמערכת הזו תכיר את כל האפשרויות", אומר פוליאקוב.
חברות כמו גוגל, פייסבוק ואפל עובדות על מציאת דרכים למנוע התקפות פרזנטציה, כך ניתן ללמוד מהניתוח של החברה של פוליאקוב של יותר מ-2,000 מחקרים מדעיים על בטיחות האינטליגנציה המלאכותית. פייסבוק, למשל, הודיעה בחודש שעבר שהיא מפרסמת כלי חדש לזיהוי דיפ פייקים.
הול, מהחברה ID.me, אומר שעד פברואר האחרון החברה שלו הצליחה לעצור כמעט את כל ניסיונות הסלפי המזויפים באתרי ממשלה, והביאה את מספר ההתקפות שהצליחו לרמות לבודדות בלבד מתוך מיליוני פניות. החברה השתפרה בזיהוי מסכות מסוימות ומתייגת את הצילומים האלה כמזויפים וכמו כן עוקבת אחרי המכשיר, כתובות ה-IP ומספרי הטלפון של רמאים המנסים שוב ושוב מכמה חשבונות מזויפים להיכנס למערכות. כעת בוחנת החברה איך האור הבוקע ממסך סמרטפון משתקף מעור של אדם לעומת חומרים אחרים. הניסיונות לרמות מערכות זיהוי פנים גם הם נמצאים בירידה. "התוקפים לרוב לא יהיו מוכנים להשתמש בפנים האמיתיים שלהם כשהם מבצעים פשע", אומר הול.
- ליזה לין וקיאנווי ז'אנג השתתפו בהכנת הכתבה.