سایر مقالات
| زمان مطالعه: حدود 16 دقیقه

Mask Attack چیست و سازوکار احراز هویت دیجیتال چطور با آن مقابله می‌کند؟

احراز هویت بایومتریک طی سال‌های اخیر به یکی از مهم‌ترین فناوری‌های مورداستفاده در خدمات آنلاین تبدیل شده است. امروز بسیاری از کاربران بدون مراجعه حضوری و فقط با استفاده از دوربین موبایل و اسکن چهره می‌توانند حساب بانکی افتتاح کنند، از خدمات مالی استفاده کنند، قرارداد امضا کنند یا به پلتفرم‌های مختلف دسترسی داشته باشند. این تحول تجربه کاربری را سریع‌تر، ساده‌تر و کم‌هزینه‌تر کرده است، اما هم‌زمان چالش‌های امنیتی تازه‌ای را هم به‌وجود آورده است. 

مهم‌ترین چالش این است که سیستم چطور تشخیص می‌دهد فردی که مقابل دوربین قرار گرفته واقعاً همان کاربر اصلی است و نه نسخه‌ای جعلی از چهره او؟

یکی از پیچیده‌ترین و پیشرفته‌ترین روش‌های جعل هویت در سیستم‌های تشخیص چهره حمله‌ای است که با نام Mask Attack شناخته می‌شود. در این نوع حمله مهاجم تلاش می‌کند با استفاده از ماسک‌های دوبعدی یا سه‌بعدی، ساختار واقعی چهره یک فرد را شبیه‌سازی کند تا سیستم احراز هویت را فریب دهد.

برخلاف حملات ساده‌تری مانند Print Attack که بر پایه تصویر چاپی انجام می‌شوند، در Mask Attack مهاجم تلاش می‌کند ویژگی‌های فیزیکی چهره انسان را بازتولید کند. این موضوع تشخیص حمله را بسیار دشوارتر می‌کند.

در ادامه بررسی می‌کنیم Mask Attack چیست، چگونه انجام می‌شود، چرا به یکی از مهم‌ترین تهدیدهای امنیت بایومتریک تبدیل شده است و سیستم‌های احراز هویت دیجیتال چگونه با آن مقابله می‌کنند.

Mask Attack چیست؟

این حمله یکی از انواع حمله‌های Presentation Attack در سیستم‌های احراز هویت بایومتریک است که در آن مهاجم با استفاده از ماسک، چهره جعلی را به دوربین یا حسگر سیستم ارائه می‌کند تا خود را به‌جای فرد دیگری جا بزند.

این ماسک‌ها ممکن است چاپی و دوبعدی باشند، نیمه‌سه‌بعدی طراحی شوند یا به‌صورت ماسک‌های حرفه‌ای سیلیکونی و سه‌بعدی ساخته شوند. هدف اصلی در تمامی این سناریوها یک چیز است: فریب سیستم تشخیص چهره و عبور از فرایند احراز هویت.

چرا Mask Attack اهمیت زیادی دارد؟

در سال‌های اولیه توسعه سیستم‌های تشخیص چهره بیشتر حملات بر پایه تصویر چاپی یا ویدئو انجام می‌شدند، اما با پیشرفته‌ترشدن فناوری‌های تشخیص زنده‌بودن تصویر، مهاجمان هم به‌سمت روش‌های پیچیده‌تر حرکت کردند.

امروزه ساخت ماسک‌های واقع‌گرایانه بسیار ساده‌تر و ارزان‌تر از گذشته شده است. فناوری‌هایی مانند چاپ سه‌بعدی، اسکن سه‌بعدی چهره، متریال‌های سیلیکونی و ابزارهای مدل‌سازی دیجیتال باعث شده‌اند ساخت ماسک‌هایی با جزئیات بسیار بالا امکان‌پذیر شود.

همچنین سیستم‌های تشخیص چهره هم در بسیاری از خدمات حساس استفاده می‌شوند، از بانکداری دیجیتال گرفته تا کیف‌پول‌های مالی، احراز هویت مشتریان و امضای دیجیتال و غیره.

موفقیت یک Mask Attack  در چنین وضعیتی می‌تواند به جعل هویت، تقلب مالی یا دسترسی غیرمجاز به اطلاعات حساس بینجامد.

Mask Attack چگونه انجام می‌شود؟

در حمله‌های مبتنی بر ماسک مهاجم تلاش می‌کند ساختار فیزیکی چهره انسان را بازسازی کند تا سیستم تصور کند یک فرد واقعی مقابل دوربین قرار دارد.

سطح پیچیدگی این حمله‌ها می‌تواند بسیار متفاوت باشد، از ماسک‌های ساده گرفته تا نمونه‌های فوق‌واقعی.

استفاده از ماسک‌های دوبعدی

مهاجم در بعضی سناریوها از ماسک‌های چاپی دوبعدی استفاده می‌کند تا بخش‌هایی از صورت را شبیه‌سازی می‌کنند. این روش معمولاً دربرابر سیستم‌های مدرن موفقیت محدودی دارد، اما همچنان ممکن است بعضی سیستم‌های ضعیف را فریب دهند.

استفاده از ماسک‌های سه‌بعدی

یکی از رایج‌ترین انواع Mask Attack استفاده از ماسک‌های سه‌بعدی است. این ماسک‌ها می‌توانند فرم بینی، برجستگی گونه‌ها، ساختار فک و عمق طبیعی صورت را شبیه‌سازی کنند.

در بعضی موارد حتی از موادی استفاده می‌شود که بازتاب نور آن‌ها تا حدی شبیه پوست واقعی انسان است.

ماسک‌های سیلیکونی حرفه‌ای

پیشرفته‌ترین نسخه‌های این حمله معمولاً با استفاده از ماسک‌های سیلیکونی انجام می‌شود. این ماسک‌ها ممکن است رنگ پوست طبیعی داشته باشند، جزئیات صورت را بازتولید و حتی حرکت‌های محدودی را شبیه‌سازی کنند. تشخیص این ماسک‌ها در بعضی نمونه‌ها برای انسان هم دشوار است.

ماسک‌های طراحی‌شده برای فریب هوش مصنوعی

بعضی حمله‌های Mask Attack در سال‌های اخیر، به‌جای فریب انسان، مستقیماً برای فریب مدل‌های هوش مصنوعی طراحی می‌شوند. در این سناریوها، هدف این نیست که ماسک برای انسان کاملاً واقعی به‌نظر برسد، بلکه هدف این است که الگوریتم تشخیص چهره نتواند تفاوت میان چهره واقعی و ماسک را تشخیص دهد.

این نوع حملات معمولاً با استفاده از تحلیل رفتار مدل‌های AI و داده‌های آموزشی انجام می‌شوند.

چرا تشخیص Mask Attack دشوارتر از Print Attack است؟

یکی از مهم‌ترین تفاوت‌های Mask Attack با حمله‌های ساده‌تر این است که در این روش مهاجم تلاش می‌کند ویژگی‌های سه‌بعدی چهره انسان را شبیه‌سازی کند.

در حملات مبتنی بر تصویر چاپی سیستم معمولاً با سطحی تخت روبه‌رو است، اما در Mask Attack عمق چهره وجود دارد، زاویه‌های صورت طبیعی‌ترند و بعضی الگوهای نوری نیز شبیه‌سازی می‌شوند؛ به‌همین دلیل، سیستم‌هایی که فقط تحلیل ساده تصویر انجام می‌دهند، ممکن است در برابر این حملات آسیب‌پذیر باشند.

ادعای دورزدن Face ID اپل با ماسک

یکی از معروف‌ترین نمونه‌های رسانه‌ای مربوط به Mask Attack در سال ۲۰۱۷ منتشر شد. در سال ۲۰۱۷ شرکت امنیتی Bkav مدعی شد با استفاده از ماسکی سفارشی و ترکیبی از اجزای چاپ سه‌بعدی و مواد مصنوعی توانسته است Face ID اپل را دور بزند. هرچند میزان عملی‌بودن این سناریو برای حملات گسترده همواره محل بحث بوده است.

این ماجرا نشان داد حتی پیشرفته‌ترین سیستم‌های تشخیص چهره نیز باید به‌صورت مداوم دربرابر روش‌های جدید حمله بهبود پیدا کنند.

چرا سیستم‌های ساده دربرابر Mask Attack آسیب‌پذیرند؟

ریشه اصلی مشکل در بسیاری از سیستم‌های ابتدایی این است که تمرکز آن‌ها فقط روی Face Matching است، یعنی سیستم صرفاً بررسی می‌کند آیا تصویر ورودی شبیه تصویر مرجع هست یا نه؛ اما در حملات مبتنی بر ماسک، شباهت ظاهری ممکن است بسیار بالا باشد. 

اگر سیستم نتواند واقعی‌بودن چهره را ارزیابی کند، احتمال موفقیت حمله وجود دارد؛ به‌همین دلیل، احراز هویت بایومتریک پیشرفته فقط به تطبیق چهره محدود نمی‌شود و از فناوری‌های Anti-Spoofing و Liveness Detection نیز استفاده می‌کند.

Liveness Detection چگونه با Mask Attack مقابله می‌کند؟

تشخیص زنده‌بودن تصویر چهره کاربر یا Liveness Detection مجموعه‌ای از فناوری‌هاست که تلاش می‌کنند حضور واقعی یک انسان را تشخیص دهند. در حملات مبتنی بر ماسک، این فناوری‌ها معمولاً رفتارهایی را تحلیل می‌کنند که بازتولید کامل آن‌ها با ماسک دشوار است و این کار را با دو سازوکار Passive و Active انجام می‌دهند.

سیستم در روش Passive، بدون نیاز به اقدام خاص از سمت کاربر، نشانه‌های طبیعی چهره را بررسی می‌کند؛ برای مثال، برای بافت پوست، رفتار نور روی صورت، جزئیات حرکتی یا الگوهای طبیعی عمق تصویر را تحلیل می‌کند. هدف این فرایند این است که تفاوت میان پوست واقعی و متریال مصنوعی تشخیص داده شود.

در روش Active، سیستم از کاربر می‌خواهد اقدام خاصی انجام دهد؛ برای مثال، سر را حرکت دهد، پلک بزند، لبخند بزند یا به جهت مشخصی نگاه کند. بازسازی طبیعی این رفتارها با ماسک معمولاً دشوارتر از حملات مبتنی بر تصویر است.

سیستم‌های مدرن چگونه Mask Attack را تشخیص می‌دهند؟

مقابله با حملات مبتنی بر ماسک معمولاً به ترکیبی از الگوریتم‌ها و مدل‌های هوش مصنوعی نیاز دارد. ازجمله آن‌ها می‌توان به این موارد اشاره کرد:

تحلیل بافت پوست

پوست واقعی انسان الگوهای بسیار پیچیده‌ای دارد که در ماسک‌های مصنوعی به‌طور کامل بازتولید نمی‌شوند. سیستم‌های ضدجعل می‌توانند بافت غیرطبیعی، الگوهای مصنوعی یا رفتار متفاوت متریال‌ها را شناسایی کنند.

تحلیل بازتاب نور

نور روی پوست انسان و سطح سیلیکونی رفتار یکسانی ندارد. بعضی سیستم‌ها رفتار نور را در چند زاویه مختلف تحلیل می‌کنند تا تفاوت میان پوست واقعی و ماسک تشخیص داده شود.

تحلیل عمق و حرکت

هرچند ماسک‌های سه‌بعدی ساختار صورت را شبیه‌سازی می‌کنند، اما رفتار طبیعی عضلات و حرکت‌های میکروسکوپی چهره را به‌سختی می‌توان بازتولید کرد. تحلیل حرکت‌های طبیعی صورت می‌تواند به شناسایی حملات مبتنی بر ماسک کمک کند.

تحلیل چندفریمی و ویدئویی

بعضی نشانه‌های جعل فقط در یک تصویر مشخص نمی‌شوند؛ به‌همین دلیل، بسیاری از سیستم‌های مدرن از تحلیل ویدئویی و چندفریمی استفاده می‌کنند تا رفتارهای غیرطبیعی یا الگوهای مصنوعی را شناسایی کنند.

نقش هوش مصنوعی در مقابله با Mask Attack

هوش مصنوعی در سال‌های اخیر نقش مهمی در توسعه فناوری‌های Face Anti-Spoofing داشته است. مدل‌های یادگیری عمیق می‌توانند تفاوت میان چهره واقعی، ماسک سه‌بعدی، تصویر چاپی یا نمایشگر را با دقت بالاتری تشخیص دهند.

این مدل‌ها معمولاً روی حجم بزرگی از داده‌های واقعی و سناریوهای حمله آموزش می‌بینند تا بتوانند الگوهای پیچیده جعل هویت را شناسایی کنند.

البته همان‌طور که فناوری‌های دفاعی پیشرفته‌تر می‌شوند، حملات مبتنی بر هوش مصنوعی هم پیچیده‌تر می‌شوند و مهاجمان تلاش می‌کنند روش‌های تازه‌ای برای دورزدن سیستم‌های ضدجعل پیدا کنند.

در این مطلب درباره فناوری‌های کلیدی در احراز هویت دیجیتال بیشتر توضیح داده‌ایم:

فناوری‌های کلیدی  eKYC در بانکداری دیجیتال کدام‌اند؟

آیا Mask Attack هنوز تهدید جدی محسوب می‌شود؟

پاسخ کوتاه به این سؤال بله است. هرچند فناوری‌های ضدجعل و تشخیص زنده‌بودن پیشرفت زیادی کرده‌اند، حملات مبتنی بر ماسک همچنان یکی از مهم‌ترین تهدیدهای امنیت بایومتریک محسوب می‌شوند؛ به‌ویژه در سرویس‌هایی که فقط عملیات Face Matching انجام می‌دهند، از فناوری‌های Anti-Spoofing ضعیف استفاده می‌کنند یا تشخیص زنده‌بودن ندارند؛ در چنین شرایطی، احتمال موفقیت حمله افزایش پیدا می‌کند.

همچنین باید به‌خاطر داشت که دسترسی ساده‌تر به فناوری‌های چاپ سه‌بعدی و مدل‌سازی دیجیتال باعث شده است اجرای این حملات نسبت به گذشته آسان‌تر شود.

سرویس احراز هویت دیجیتال جیبیت چگونه با Mask Attack مقابله می‌کند؟

امنیت در سرویس احراز هویت دیجیتال جیبیت فقط به تطبیق تصویر چهره محدود نمی‌شود؛ علاوه بر Face Matching، سازوکارهای ضدجعل و تشخیص زنده‌بودن نیز برای کاهش ریسک حملات مبتنی بر ماسک استفاده می‌شوند.

این سازوکارها می‌توانند شامل تحلیل رفتار طبیعی چهره، بررسی الگوهای نوری، تحلیل چندفریمی، تحلیل عمق تصویر و شناسایی نشانه‌های رایج حملات مبتنی بر ماسک باشند.

هدف این است که سیستم فقط شباهت ظاهری چهره را بررسی نکند، بلکه بتواند حضور واقعی کاربر را نیز ارزیابی کند. این موضوع در فرایندهای حساسی مانند افتتاح حساب آنلاین، احراز هویت مالی، ثبت‌نام خدمات بانکی، امضای دیجیتال و غیره اهمیت بسیار زیادی دارد.

جمع‌بندی

Mask Attack یکی از پیچیده‌ترین انواع حملات به سیستم‌های احراز هویت بایومتریک است. در این حمله مهاجم تلاش می‌کند با استفاده از ماسک‌های دوبعدی یا سه‌بعدی، سیستم تشخیص چهره را فریب دهد. 

هرچند فناوری‌های مدرن ضدجعل و تشخیص زنده‌بودن احتمال موفقیت این حملات را کاهش داده‌اند، همچنان سیستم‌های فاقد سازوکارهای امنیتی مناسب می‌توانند در برابر آن آسیب‌پذیر باشند؛ به‌همین دلیل، در احراز هویت دیجیتال مدرن صرف تشخیص شباهت چهره کافی نیست؛ سیستم باید بتواند تشخیص دهد آیا واقعاً یک انسان زنده مقابل دوربین حضور دارد یا نه.

اینجاست فناوری‌هایی مانند Liveness Detection ،Face Anti-Spoofing و Presentation Attack Detection (PAD) به بخش جدایی‌ناپذیر امنیت سامانه‌های احراز هویت بایومتریک تبدیل شده‌اند.

FAQ of Mask Attack

پرسش‌های متداول

Mask Attack چیست؟

Mask Attack یکی از انواع حملات به سیستم‌های احراز هویت مبتنی بر چهره است که در آن مهاجم تلاش می‌کند با استفاده از ماسک دوبعدی یا سه‌بعدی، سیستم تشخیص چهره را فریب دهد.

آیا Mask Attack از Print Attack پیچیده‌تر است؟

بله. در Print Attack معمولاً از تصویر چاپی استفاده می‌شود، اما در Mask Attack مهاجم تلاش می‌کند ساختار فیزیکی و سه‌بعدی چهره انسان را شبیه‌سازی کند؛ به‌همین دلیل تشخیص آن دشوارتر است.

چه نوع ماسک‌هایی در Mask Attack استفاده می‌شوند؟

در این حملات ممکن است از ماسک‌های چاپی، ماسک‌های نیمه‌سه‌بعدی، ماسک‌های سیلیکونی حرفه‌ای یا ماسک‌های چاپ سه‌بعدی استفاده شود.

آیا سیستم‌های تشخیص چهره می‌توانند ماسک را تشخیص دهند؟

سیستم‌های مدرن مجهز به فناوری‌های Anti-Spoofing و Liveness Detection معمولاً می‌توانند بسیاری از حملات مبتنی بر ماسک را شناسایی کنند، اما سیستم‌های ضعیف‌تر ممکن است آسیب‌پذیر باشند.

Liveness Detection چیست؟

Liveness Detection یا تشخیص زنده‌بودن مجموعه‌ای از فناوری‌هاست که بررسی می‌کند آیا واقعاً یک انسان زنده مقابل دوربین حضور دارد یا خیر. این فناوری برای جلوگیری از حملاتی مانند Print Attack، Replay Attack و Mask Attack استفاده می‌شود.

تفاوت Passive Liveness Detection و Active Liveness Detection چیست؟

در Passive Liveness Detection سیستم بدون نیاز به اقدام خاص از سمت کاربر، نشانه‌های طبیعی چهره را تحلیل می‌کند، اما در Active Liveness Detection از کاربر خواسته می‌شود عملی مانند پلک‌زدن یا حرکت سر انجام دهد.

چرا مقابله با Mask Attack برای کسب‌وکارها اهمیت دارد؟

موفقیت یک حمله مبتنی بر ماسک می‌تواند به جعل هویت، تقلب مالی، دسترسی غیرمجاز یا سوءاستفاده از خدمات آنلاین منجر شود؛ به‌همین دلیل استفاده از فناوری‌های ضدجعل در احراز هویت دیجیتال اهمیت زیادی دارد.

سرویس احراز هویت دیجیتال جیبیت چگونه با Mask Attack مقابله می‌کند؟

سرویس احراز هویت دیجیتال جیبیت، علاوه بر تطبیق چهره، از سازوکارهای ضدجعل و تشخیص زنده‌بودن برای کاهش ریسک حملات مبتنی بر ماسک استفاده می‌کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

تازه‌ترین مقالات

کاربردهای امضای دیجیتال چیست و کدام نیاز کسب‌وکارها را برطرف می‌کند؟

وب‌سرویس استعلام ثنا؛ راهکار بررسی پیش‌نیازهای صدور سفته، وکالت‌نامه و تعهدات دیجیتال

چگونه با دایرکت دبیت پرداخت‌های ناموفق قبض‌ها و اشتراک‌ها را کاهش دهیم؟