Deepfake w oszustwach wykorzystujących inżynierię społeczną

instytutcyber.pl 6 miesięcy temu
Zdjęcie: deepfake


Niesamowicie wiarygodne treści generowane przez A.I. przestały być sztuczką i zabawą w mediach społecznościowych i stały się zagrożeniem dla biznesu jako wektor ataków socjotechnicznych. Deepfake wykorzystują sztuczną inteligencję do zamiany twarzy, tworzenia nowych tożsamości, naśladowania głosów lub generowania całkowicie fikcyjnych treści, które coraz trudniej odróżnić od rzeczywistości.

Jak wynika z badania przeprowadzonego przez specjalistów ISMS, jedna trzecia (32%) brytyjskich firm doświadczyła w ciągu ostatnich 12 miesięcy incydentu związanego z bezpieczeństwem typu deepfake. W ankiecie przeprowadzonej wśród 502 firm, jedynie infekcje złośliwym oprogramowaniem były częściej spotykanym zagrożeniem niż deepfake. Przestępcy zaczęli wykorzystywać technologię klonowania głosu i wideo opartą na sztucznej inteligencji, aby oszukać potencjalne ofiary poprzez wyłudzenie pieniędzy lub danych dostępowych. Najbardziej znanym jak dotąd przykładem jest pracownik finansowy firmy Arup, który w styczniu został oszukany i nakłoniony do zapłacenia 200 milionów dolarów hongkońskich (100 milionów złotych) podczas rozmowy wideo. Deepfake mogą również zostać wykorzystane do kradzieży danych uwierzytelniających, spowodować szkodę dla reputacji, a choćby stanowić potencjalny mechanizm obejścia uwierzytelniania poprzez rozpoznawanie twarzy i głosu – ostrzegają specjaliści ISMS.online.

Oszustwa deepfake coraz lepsze

Deepfake są znane od lat, ale dzięki ciągłym udoskonaleniom AI (sztucznej inteligencji) stają się z każdym dniem coraz bardziej przekonujące. W przypadku nowoczesnych systemów i produktów generatywnej sztucznej inteligencji wystarczy jedno zdjęcie lub 30 sekund nagrania głosu, aby stworzyć deepfake. choćby jeżeli są one stosunkowo łatwe do wykrycia, a generowanie wysokiej jakości, przekonujących filmów wideo z pojedynczymi osobami przez cały czas wymaga czegoś więcej niż prostej usługi typu „wskaż i kliknij”, zawsze znajdą się mniej spostrzegawcze osoby, które mogą paść ich ofiarą.

YouTube; ScreenSlam/YouTube

Deepfake są już na dobrej drodze, aby stać się głównym elementem ataków typu spear phishing i socjotechnika, szczególnie przeciwko konsumentom. Według oddziału agencji informacji kredytowej Entrust liczba prób oszustw typu deepfake, ukierunkowanych na konsumentów, wzrosła o 3000% rok do roku w latach 2022–2023.

Jak wykryć oszustwa deepfake?

Sprawdzanie informacji zdecydowanie pomaga w walce z deepfake, dla których obowiązują te same zasady weryfikacji informacji. jeżeli to, co słyszysz lub widzisz, brzmi zbyt dobrze, aby mogło być prawdziwe, prawdopodobnie tak jest. Sprawdzanie treści z innymi wiarygodnymi źródłami jest konieczne nie tylko po to, aby lepiej zrozumieć informacje ale także, aby dowiedzieć się, czy są one w ogóle prawdziwe. W przypadku ataków nakierowanych typowo na pracowników firm powinniśmy również uważać na nietypowe prośby lub instrukcje – zwłaszcza te, które są sprzeczne z ustalonymi protokołami lub zasadami. Uważajmy też na wiadomości, które pochodzą z nieoczekiwanych źródeł lub wiążą się z pilnymi żądaniami dotyczącymi wrażliwych informacji lub transakcji finansowych. Taktyki nacisku polegające na próbie ominięcia standardowych procesów i odwrócenie uwagi od zwykłych wzorców komunikacji często mogą wskazywać na próby oszustwa typu deepfake.

Typowe sygnały ostrzegawcze wygenerowanych cyfrowo materiałów, obejmują niespójności w jakości dźwięku i obrazu, takie jak nienaturalny wyraz twarzy, brak synchronizacji ruchów warg z dźwiękiem lub zniekształcenia plików multimedialnych.

źródła:
https://www.isms.online/state-of-infosec-24/
https://insight.scmagazineuk.com/deepfakes-add-a-new-dimension-to-social-engineering-scams
https://www.unr.edu/nevada-today/news/2023/atp-deepfakes

Idź do oryginalnego materiału