Clonarea vocii bazată pe inteligență artificială poate face lucrurile mult prea ușoare pentru escroci. Specialistul ESET, Jake Moore a realizat un experiment pentru a demonstra ce riscuri atrage după sine această nouă tehnologie. 

Așa cum se întâmplă și în cazul înșelătoriilor de tip răpire virtuală, clonarea vocii pe bază de AI are deja potențialul de a provoca perturbări sociale. Astfel, Jake Moore a decis să folosească același software în scopuri „nefaste” și să vadă cât de departe se poate ajunge. Spoiler alert: a fost surprinzător de ușor de realizat și a durat foarte puțin.

„AI-ul probabil că va fi fie cel mai bun, fie cel mai rău lucru care i se întâmplă omenirii.” - Stephen Hawking

Într-adevăr, de când conceptul de inteligență artificială a devenit mai popular în filme de ficțiune precum Blade Runner și The Terminator, oamenii au pus sub semnul întrebării posibilitățile necruțătoare a ceea ce tehnologia ar putea continua să producă. Cu toate acestea, abia acum, cu baze de date puternice, putere de calcul sporită și un interes crescut din partea mass-media, am văzut că inteligența artificială a acaparat o audiență globală în moduri care sunt atât terifiante, cât și incitante în egală măsură. Având în vedere tehnologiile AI care se află deja printre noi, este foarte probabil să vedem atacuri creative și destul de sofisticate cu rezultate dăunătoare.

Escapada de clonare a vocii

Așa cum o spune și experiența sa de criminalist IT pentru forțele de ordine din Marea Britanie, abordarea lui Jake Moore de a încerca să gândească asemenea unui criminal are beneficii foarte tangibile și totuși subapreciate: cu cât cineva gândește și chiar acționează ca un criminal (fără a deveni efectiv unul), cu atât poate fi mai protejat. Acest lucru este absolut vital pentru a fi la curent cu cele mai recente amenințări, precum și pentru a anticipa tendințele viitoare. Așadar, pentru a testa unele dintre abilitățile actuale ale inteligenței artificiale, Jake Moore și-a asumat mentalitatea unui criminal digital și a simulat un atac asupra unei afaceri. Iată cum a decurs experimentul, după cum relatează Jake Moore: 

„Primul pas a fost de a cere permisiunea unui prieten, să-i spunem Harry, de a-i clona vocea pentru a o folosi mai apoi într-un atac asupra propriei companii. Harry a fost de acord și mi-a permis să încep experimentul creând o clonă a vocii sale folosind un software ușor disponibil. Din fericire pentru mine, obținerea vocii lui Harry a fost relativ simplă – el înregistrează adesea videoclipuri scurte prin care își promovează afacerea pe canalul său de YouTube, așa că am reușit să combin câteva dintre aceste videoclipuri pentru a face un bun banc de testare audio. În câteva minute, am generat o clonă a vocii lui Harry, care mi se părea exact ca el, iar apoi am putut să scriu orice script și să-l redau cu vocea lui.

Pentru a adăuga autenticitate atacului, am cerut permisiunea de a fura contul WhatsApp al lui Harry cu ajutorul unui atac de tip SIM swap. Apoi i-am trimis un mesaj vocal din contul său WhatsApp directorului financiar al companiei sale – să-i spunem Sally – solicitând o plată de 250 de lire sterline către un nou contractor. La momentul atacului, știam că Harry se afla pe o insulă din apropiere și avea un prânz de afaceri, ceea ce mi-a oferit povestea perfectă și oportunitatea de a lovi fără a ridica suspiciuni.

Mesajul vocal includea unde se afla, că avea nevoie de plătirea unui nou contractor și că va trimite detaliile bancare separat imediat după. Acest lucru a adăugat verificarea sunetului vocii sale din mesajul vocal care a fost adăugat în cronologia WhatsApp al lui Sally, ceea ce a fost suficient pentru a o convinge că cererea este autentică. În 16 minute de la mesajul inițial, am primit 250 de lire sterline în contul meu personal.

Trebuie să recunosc că am fost șocat de cât de simplu a fost și cât de repede am reușit să o păcălesc pe Sally pentru a fi încrezătoare că vocea clonată a lui Harry era reală. Acest nivel de manipulare a funcționat datorită unui număr convingător de factori conectați: numărul de telefon al CEO-ului a oferit autenticitate, povestea pe care am inventat-o s-a potrivit cu evenimentele zilei și mesajul vocal, desigur, suna ca Harry.

În confruntarea cu compania și analiza ulterioară, Sally a declarat că a considerat că aceasta este o verificare „mai mult decât suficientă” necesară pentru a îndeplini cererea. Inutil să spun că de atunci compania a adăugat mai multe măsuri de protecție pentru a-și menține finanțele protejate. Și, desigur, am rambursat cei 250 de lire sterline! ”

Uzurparea identității WhatsApp Business

Furtul contului WhatsApp al cuiva printr-un atac de tip SIM swap ar putea fi o modalitate destul de complexă de a face un atac mai credibil, dar se întâmplă mult mai frecvent decât ați putea crede. Totuși, infractorii cibernetici nu trebuie să depună atât de mult efort pentru a produce același rezultat.

De exemplu, iată un atac recent care l-a vizat pe Jake Moore, care, la prima vedere, părea credibil. Cineva a trimis un mesaj WhatsApp care pretindea a fi de la un prieten de-al său, care este director la o companie IT.

Dinamica interesantă aici a fost că, deși J.M este obișnuit să verifice informațiile, acest mesaj a sosit cu numele de contact legat în loc să apară ca număr. Acest lucru a fost de interes deosebit, deoarece numărul de la care a venit nu era salvat în lista de contacte și J.M a presupus că va apărea în continuare ca număr de mobil, mai degrabă decât numele.

Se pare că modul în care s-a rezolvat acest lucru a fost pur și simplu prin crearea unui cont WhatsApp Business, care permite adăugarea oricărui nume, fotografie și adresă de e-mail pe care o doriți într-un cont și face ca acesta să pară imediat autentic. Adăugați asta pe lângă clonarea vocii AI și voilà, am descoperit o nouă generație de inginerie socială.

Din fericire, J.M a recunoscut de la început că este o înșelătorie, dar mulți oameni ar putea cădea pradă acestui truc simplu care ar putea duce în cele din urmă la sustragerea de bani sub formă de tranzacții financiare în conturi compromise, carduri preplătite sau alte carduri, cum ar fi Apple Card, toate variante favorite pentru hoții cibernetici.

În timp ce Machine Learning și AI progresează rapid și devin din ce în ce mai disponibile pentru mase în ultimul timp, trecem într-o epocă în care tehnologia începe să ajute criminalii mai eficient decât oricând, inclusiv prin îmbunătățirea tuturor instrumentelor existente care ajută la ofuscarea identitățile acestora și a locației lor.

Rămâneți în siguranță

Revenind la experimentele noastre, iată câteva măsuri de precauție de bază pe care proprietarii de afaceri ar trebui să le ia pentru a evita să cadă victimele atacurilor care folosesc clonarea vocii și alte trucuri:

• Nu tratați superficial politicile de protecție de business
• Verificați oamenii și procesele; de exemplu, verificați din nou toate cererile de plată cu persoana (presupusă) care face cererea și validați cât mai multe transferuri posibile cu semnături de la doi angajați
• Fiți la curent cu cele mai recente tendințe în tehnologie și actualizați modulele de training și măsurile de apărare în consecință
• Efectuați cursuri de conștientizare ad-hoc pentru tot personalul
• Utilizați software de securitate cu mai multe straturi de protecție

Iată câteva sfaturi pentru a fi în siguranță în fața atacurilor SIM swap și alte atacuri care vizează datele personale sau cele bancare:

• Limitați informațiile personale pe care le distribuiți online; dacă este posibil, evitați să publicați detalii precum adresa sau numărul dvs. de telefon
• Limitați numărul de persoane care vă pot vedea postările sau alte materiale pe rețelele sociale
• Atenție la atacurile de phishing și la alte încercări care vă vor atrage să vă furnizați datele personale sensibile
• Dacă furnizorul dvs. de telefonie oferă protecție suplimentară pentru contul dvs. de telefon, cum ar fi un cod PIN sau o parolă, asigurați-vă că îl utilizați
• Utilizați autentificarea cu doi factori (2FA), în special o aplicație de autentificare sau un dispozitiv de autentificare hardware

Într-adevăr, importanța utilizării 2FA nu poate fi subestimată - asigurați-vă că o activați și pentru contul dvs. WhatsApp (unde se numește verificare în doi pași) și pentru orice alte conturi online care îl oferă.