FBI警告:有人正利用AI合成的虚假裸照实施敲诈勒索!
FBI近日警告称,恶意行为者制作深度虚假内容来实施性勒索攻击的趋势正在上升。
性勒索是网络勒索形式的其中一种,这些恶意行为者通过公开泄露窃取或胁迫获得的露点图像和视频,来威胁他们的目标,通常是要求这些受害者支付封口费。
在许多性勒索案件中,那些泄露的内容其实并非真实影像,威胁行为者只是假装自己有访问权限,以达到最终勒索赎金的目的。
FBI警告说,性勒索者现在正在收集他们勒索目标的公开图像,比如发布在社交媒体平台上的无害图片和视频。然后将这些图像输入深度伪造内容创建工具,将其转化为人工智能生成的露骨色情内容。
虽然制作的图像或视频都不是真实的,但它们看起来非常真实,威胁行为者只要将这些材料发送给勒索目标的家人,同事等,极可能给受害者带来巨大的个人和声誉伤害。
截至2023年4月,FBI发现性勒索受害者报告使用虚假图像或视频的情况有所增加,而这些图像或视频均是基于他们在社交媒体网站或网页上发布的内容创建的,或者是在视频聊天中捕获的。
根据最近的受害者报告,恶意行为者通常要求:
1.付款(如金钱、礼品卡),并威胁如果未收到资金,将图像或视频分享给家人或社交媒体朋友;
2.受害者发送真实的性主题图片或视频;
FBI表示,有一些勒索者会跳过勒索部分,直接将制作好的视频发布到色情网站,在受害者不知情或未经其同意的情况下,将受害者暴露在大量观众面前。
在某些情况下,性勒索者还会利用这些公开上传的内容来增加受害者的压力,要求其支付从网站上删除发布的图像/视频的费用。
FBI报告称,不幸的是这种媒体操纵活动也影响到了未成年人。
强大的人工智能内容创建工具正在高速迭代,提供便利的同时也为所有互联网用户创造了一个充满敌意的环境,尤其是那些敏感类别的用户。
比如,通过GitHub有多个免费的内容创建工具项目,它可以从目标面部的单个图像创建逼真的视频,不需要额外的训练或数据集。
这些工具中有许多都内置了防止滥用的保护措施,但那些在地下论坛和暗网市场上出售的工具却没有。
暗网上提供的色情创作工具(来源:卡巴斯基)
FBI建议父母监控孩子的在线活动,并告诉他们在线分享个人信息的风险。此外,家长最好隔一段时间就在网上搜索一次,以确定他们的孩子在网上的曝光量,并在必要时采取行动删除内容。
在网上发布图片或视频的成年人应该限制在一个小的私人朋友圈内观看,以减少曝光。同时,孩子的脸应该尽量模糊处理。
最后,如果你在色情网站上发现了与你相关的AI虚假合成内容,请向有关部门报告,并联系托管平台,要求删除违规媒体。
英国最近以《在线安全法案》(Online Safety Bill)修正案的形式引入了一项法律,将未经同意分享深度造假的行为正式列为一种犯罪行为。
NASA网站曝严重漏洞,或将沦为黑客钓鱼网站?
美国国家航空航天局(NASA)天体生物学专用网站存在一个严重的安全漏洞,可能通过伪装带有NASA名称的危险URL来诱骗用户访问恶意网站。
太空旅行无疑是危险的。然而,在访问NASA网站的时候也有可能如此。Cybernews研究团队发现了一个NASA天体生物学网站的开放式重定向漏洞。
经过研究人员的调查,早在几个月前(2023年1月14日)已经有研究人员通过漏洞赏金计划发现并报告该漏洞,但该机构没有处理和修复。
攻击者可以利用这个漏洞将任何人重定向到恶意网站,从而获取他们的登录凭证、信用卡号码或其他敏感数据。
自4月初以来,Cybernews研究团队已多次联系美国国家航空航天局,截止到今天尚未收到任何答复。
开放式重定向漏洞简单来说就像是一个假冒的出租车司机。例如你叫了一辆出租车并告诉司机你想去哪里,但是他并没有把你送到目的地,而是把你带到另一个地方。
同样,试图访问 astrobiology.nasa.gov 的用户可能就被重定向进入了一个恶意的网站。通常情况下,网络应用程序会验证用户提供的输入,如URL或参数,以防止恶意重定向的发生。
网络新闻研究人员解释说:攻击者可以利用该漏洞,通过将恶意网址伪装成合法网址,诱使用户访问恶意网站或钓鱼网页。
攻击者可以用额外的参数修改NASA的网站,将用户引导到他们选择的地方。重新跳转的网站甚至可能类似于NASA的页面,只是在其中加入要求输入信用卡数据的提示。
此外,攻击者可以利用开放的重定向漏洞,引导用户进入网站,在登陆后立即将恶意软件下载到他们的电脑或移动设备上。
另一种利用该漏洞的方式是通过将用户重定向到展示低质量内容或垃圾邮件的网站来控制搜索引擎的排名。
虽然我们没有确认是否有人真正利用了NASA网站的这个漏洞,但是事实上这个漏洞已经暴露了几个月。
3、如何减轻开放式重定向漏洞的影响
利用开放式重定向漏洞可以使恶意行为者进行网络钓鱼攻击,窃取凭证并传播恶意软件。
为了避免此类事故,Cybernews研究团队强烈建议网站验证所有用户输入,包括URL。
研究人员解释说:这可能包括使用正则表达式来验证URL的正确格式,检查URL是否来自受信任的域,并验证URL不包含任何额外或恶意的字符。
为了防止恶意字符被注入URLs,网站管理员还可以使用URL编码。同时,网站所有者可以创建一个可信URL的白名单,只允许重定向到这些URL。防止攻击者将用户重定向到恶意的或未经授权的网站。
文章来源 :freebuf
精彩推荐