KYC (Know Your Customer) is een cruciale stap voor financiële instellingen, fintech-startups en banken om de identiteit van hun klanten te verifiëren. Dit proces, dat vaak de inzet van ‘ID-foto’s’ of geverifieerde selfies omvat, is de hoeksteen van de beveiliging voor bedrijven zoals Wise, Revolut, en crypto-platforms zoals Gemini en LiteBit. Echter, de opmars van generatieve AI werpt nu een schaduw van twijfel over deze beveiligingsmaatregelen.
Recente virale berichten op platforms zoals X (voorheen bekend als Twitter) en Reddit onthullen een verontrustend scenario: aanvallers kunnen, met behulp van eenvoudig toegankelijke software, een selfie manipuleren om een KYC-controle te doorstaan. Hoewel het nog niet bewezen is dat dergelijke GenAI-hulpmiddelen daadwerkelijk zijn ingezet om echte KYC-systemen te misleiden, is de schijnbare eenvoud waarmee deepfake ID-foto’s worden gemaakt, een bron van zorg.
In de standaardprocedure voor KYC ID-foto-authenticatie uploadt een klant een foto van zichzelf met een identiteitsbewijs. Deze methode, die bedoeld is om identiteitsfraude te voorkomen, is nooit onfeilbaar geweest. Nu opent GenAI echter de deur naar allerlei nieuwe fraudemogelijkheden. Online tutorials laten bijvoorbeeld zien hoe men met Stable Diffusion, een gratis beeldgenerator, realistische afbeeldingen van personen kan creëren, compleet met vervalste identiteitsdocumenten.
Hoewel het creëren van overtuigende deepfake-ID’s enige inspanning vereist, is de technische drempel aanzienlijk verlaagd. Wat vroeger geavanceerde fotobewerkingskennis vereiste, is nu toegankelijker dan ooit.
Een Groeiend Gevaar
Bovendien is het doorvoeren van deze deepfake KYC-afbeeldingen naar apps verrassend eenvoudig. Apps kunnen worden misleid om deepfake-afbeeldingen te accepteren, zowel via desktopemulators als via webgebaseerde toepassingen die elke afbeelding of videobron in een virtuele webcam kunnen veranderen.
De traditionele ‘levendigheidscontroles’, waarbij gebruikers gevraagd worden om een korte video te maken waarin ze bijvoorbeeld hun hoofd draaien of knipperen, bieden ook geen garantie meer. Zelfs deze kunnen nu omzeild worden met GenAI-technologieën. Vorig jaar waarschuwde Jimmy Su, de Chief Security Officer van Binance, al dat deepfake-hulpmiddelen al geavanceerd genoeg zijn om zelfs de meest strikte levendigheidscontroles te misleiden.
Dit alles wijst op een onheilspellende toekomst voor KYC-processen. Waar deze procedures ooit als een robuuste beveiligingslaag golden, kunnen ze binnenkort verouderd en ineffectief blijken te zijn. Hoewel deepfake afbeeldingen en video’s momenteel misschien nog niet elke menselijke controleur kunnen bedriegen, is het slechts een kwestie van tijd voordat ook deze barrière doorbroken wordt.”