Uzbrojony w kilka więcej niż a Flipper Zerokilka aplikacji specjalizujących się w głębokie podróbki i chęć wyrządzenia krzywdy, niedawno udowodniłem, jak łatwo jest realistycznie podszyć się pod dowolną osobę na tej planecie.
Mogę być najgorętszym aktorem w Hollywood, nie opuszczając mojego rodzinnego miasta Bournemouth. Mogę być Jasonem Bourne’em, nie wspinając się na żadne budynki, albo mogę być Wilkiem z Wall Street, niestety, nie spotykając się nigdy z Margot Robbie.
Jak? Witamy w erze sztucznej inteligencji.
Dziś żyjemy w świecie, w którym wszystko jest możliwe dzięki kreatywności i intuicji sztucznej inteligencji oraz deepfakes.
Możemy klonować wpływowe osobistości i szerzyć dezinformację.
Możemy włamać się do biur, udawać dyrektora generalnego i zrobić sobie selfie z sali konferencyjnej, co dokładnie zrobiłem ostatnio.
Miałem misję udowodnienia, iż sztuczna inteligencja w połączeniu ze złymi intencjami otworzyła zupełnie nową i niebezpieczną sferę w domenie cybernetycznej, oferując przestępcom nieograniczone możliwości przeprowadzania oszustw w stylu Mission Impossible.
Aby jednak udowodnić swoją rację, potrzebowałem chętnego kandydata.
Pomimo tego, iż wyczerpałem już wielu moich przyjaciół do moich wysiłków hakerskich opartych na badaniach, znalazłem chętnego uczestnika w osobie Jasona Gaulta, założyciela Praca zespołowa.
Wyzwanie zostało postawione. Miałem włamać się do biura Jasona, ominąć wszystkie jego zabezpieczenia, tak aby nikt niczego nie podejrzewał.
Jason był idealnym kandydatem do mojego eksperymentu. Ma tysiące obserwujących na LinkedIn, świetne biura w Dorset i był na tyle naiwny, by uwierzyć, iż to, co proponowałem, jest niemożliwe.
Uwaga, spoiler – mylił się.
W pierwszym etapie mojego eksperymentu udało mi się ukraść biuro Jasona Karta RFID na spotkaniu, o którym wiedziałem, iż umożliwi mi wejście do budynku.
Zrobiłem to dzięki małego urządzenia o nazwie Flipper Zero. Flipper Zero może sklonować prawie każdy napotkany sygnał, od kluczyków do samochodu, kluczy hotelowych, kluczy do biura i kart kredytowych. w tej chwili jest sprzedawany na Amazonie za mniej niż 180 funtów, co jest niewielką różnicą, biorąc pod uwagę potencjał zarobkowy, jaki oferuje przestępcom.
Gdy już posiadałem kartę RFID, musiałem ominąć kamery CCTV i ochroniarzy budynku. Ale to znowu okazało się proste przy użyciu narzędzia o nazwie Zamień twarz. dzięki tego narzędzia zmieniłem twarz tak, aby przechodząc obok kamer CCTV nie zostać rozpoznanym przez ochroniarzy.
Kiedy minąłem kamery CCTV, bezpiecznie znalazłem się w budynku i udałem się do sali konferencyjnej, gdzie udało mi się oszukać niczego niepodejrzewającego pracownika Jasona, aby zrobił mi zdjęcie. To było takie proste. Jason i ja byliśmy zszokowani tym, jak dobrze to zadziałało.
Ale to była dopiero pierwsza część eksperymentu. W następnym etapie postanowiliśmy przetestować moje umiejętności na LinkedIn, aby sprawdzić, czy uda mi się oszukać ponad 2000 obserwujących Jasona.
Po raz kolejny był to bułka z masłem.
Używanie Hej, Gen. AIzamieściłem na LinkedIn film przedstawiający Jasona ogłaszającego fałszywy cykl z Wielkiej Brytanii do Australii. Jason jest wielkim fanem kolarstwa, więc jego obserwującym nie było to specjalnie niewiarygodne, ale kiedy film obejrzało ponad 4000 osób, a setki polubiły go i skomentowały, wiedziałem, iż mi się udało.
W końcu, po szalonym telefonie od dyrektora finansowego Jasona z pytaniem, gdzie będzie przebywał przez następne sześć miesięcy, byliśmy zmuszeni wcześniej zamknąć film, ale eksperyment rzeczywiście pokazał siłę deepfakes w szerzeniu dezinformacji.
To były tylko eksperymenty, które przeprowadziłem z wykorzystaniem powszechnie dostępnych aplikacji, ale wyobraźcie sobie, co mógłby zrobić przeciwnik?
Wyobraź sobie, iż przestępca sklonował dyrektora generalnego i nakłonił pracowników do wykonania pilnego przelewu bankowego lub opublikował film przedstawiający LinkedIn ogłaszający zbiórkę pieniędzy na cele charytatywne?
Kiedy ludzie widzą twarz, którą rozpoznają, ufają jej bez wątpienia. Ale w cyfrowym świecie nie mamy już tego luksusu.
Ludzi uczy się ostrożności e-maile z nieznanych źródełale co z prośbami pochodzącymi od rozpoznanej twarzy? Postępy w deepfakes i sztucznej inteligencji oznaczają, iż nie zawsze możemy im ufać.
Zapewni to zupełnie nową dziedzinę szkoleń w zakresie świadomości bezpieczeństwa, w ramach której wszyscy użytkownicy komputerów zostaną przeszkoleni w zakresie wykrywania deepfake’ów, a ich wzrok musi być laserowo ostry, aby wykryć znaki ostrzegawcze, takie jak niedokładna synchronizacja ruchu warg lub niejasna grafika.
Wyzwania te są już na horyzoncie i niezwykle istotne jest, abyśmy już dziś się na nie przygotowali.
Na DTX Londyn w tym tygodniu byłem gospodarzem sesji omawiającej Powstanie cyberklonów oraz o tym, jak sztuczna inteligencja pomaga przestępcom w sposób, który nigdy wcześniej nie wydawał się możliwy.
Oprowadziłem publiczność po moich ostatnich hackach i wyjaśniłem dokładnie, jak udało mi się sfałszować tożsamość Jasona Gaulta, włamać się do jego biura i oszukać wielu jego obserwujących na LinkedIn, a wszystko to w kilku prostych krokach.
Sesja ma na celu edukować, zaskakiwać i przypominać, iż widzieć nie zawsze znaczy wierzyć w cyfrowy świat.
Bądź bezpieczny tam.
Jake’a Moore’a jest globalnym doradcą ds. bezpieczeństwa cybernetycznego w firmie ESETU. Jake, były funkcjonariusz policji w Dorset, specjalizujący się w kryminalistyce cyfrowej i cyberprzestępczości, w 2018 r. przeszedł do sektora prywatnego i w tej chwili pomaga klientom prowadzić ich przez ścieżki bezpieczeństwa. Można go również spotkać podczas prowadzenia badań i analiz dotyczących bezpieczeństwa. Lubi odkrywać możliwości kreatywnego, etycznego hakowania, często wykorzystując sztuczną inteligencję. Jest częstym mówcą i komentatorem wpływowych historii dotyczących bezpieczeństwa cybernetycznego.
