Mai puteți crede ce auziți? Din ce în ce mai des, răspunsul este nu. Iată care sunt riscurile pentru afacerea dvs. și cum îi puteți depista pe cei care folosesc tehnologia deepfake.

A existat o vreme când puteam crede tot ceea ce vedeam și auzeam. Din păcate, acele zile sunt, probabil, de mult apuse. Inteligența artificială generativă (GenAI) a democratizat crearea de conținut audio și video deepfake, ajungând în punctul în care generarea unui clip fabricat este la o apăsare de buton distanță. E o veste proastă pentru toată lumea, inclusiv pentru companii.

Tehnologia deepfake îi ajută pe escroci să ocolească procedurile de verificare a identității (Know Your Customer) și sistemele de autentificare a conturilor. Le permite chiar și atacatorilor susținuți de state să impersoneze candidați la interviurile de angajare. Totuși, cea mai mare amenințare o reprezintă fraudele prin transfer bancar și deturnarea conturilor unor membri din conducere.

Organizațiile care subestimează amenințarea deepfake o fac pe propriul risc. Guvernul britanic susține că anul trecut au fost distribuite nu mai puțin de opt milioane de clipuri sintetice AI, în creștere de la doar 500.000 în 2023. Cifra reală ar putea fi mult mai mare.

Cum funcționează atacurile

După cum a demonstrat un experiment realizat de Jake Moore, Global Security Advisor la ESET, lansarea unui atac audio deepfake asupra unei companii nu a fost niciodată mai simplă. Este nevoie doar de un scurt fragment audio cu persoana care urmează să fie impersonată. GenAI se ocupă de restul. Iată cum ar putea decurge un astfel de atac:

– Atacatorul alege persoana pe care urmează să o impersoneze. Poate fi un CEO, un CFO sau chiar un furnizor.
– Găsește online o mostră audio – lucru destul de ușor în cazul executivilor cu vizibilitate, care vorbesc frecvent în public. Poate proveni dintr-un cont de social media, dintr-un apel cu investitorii, un interviu video/ TV sau din multe alte surse. Câteva secunde de înregistrare sunt, de obicei, suficiente.
– Alege persoana pe care o va contacta. Acest pas poate necesita puțină documentare – de regulă, prin căutări pe LinkedIn pentru a identifica angajați din IT helpdesk sau membri ai echipei financiare.
– Poate suna direct persoana vizată sau poate trimite mai întâi un email – de exemplu, un CEO care solicită un transfer urgent de bani, o cerere de resetare a parolei/ autentificării multifactor (MFA) sau un furnizor care cere plata unei facturi restante.
– Apelează ținta selectată în prealabil, folosind un audio deepfake generat cu GenAI pentru a se da drept CEO/ furnizor. În funcție de instrumentul utilizat, atacatorul poate folosi un discurs predefinit sau o metodă mai avansată de tip „speech-to-speech”, în care vocea sa este transformată aproape în timp real în vocea victimei impersonate.

A auzi înseamnă a crede

Acest tip de atac devine tot mai ieftin, mai ușor de realizat și mai convingător. Unele instrumente pot chiar să adauge zgomot de fundal, pauze și bâlbâieli pentru ca vocea impersonată să pară mai autentică. De asemenea, devin din ce în ce mai eficiente în imitarea ritmului vorbirii, a intonației și a particularităților verbale specifice fiecărui vorbitor. Iar atunci când atacul are loc prin telefon, eventualele imperfecțiuni generate de AI pot fi mult mai greu de observat de către interlocutor.

Atacatorii pot folosi și tactici de inginerie socială, precum crearea unui sentiment de urgență pentru a determina interlocutorul să răspundă rapid solicitării. O altă metodă clasică este insistarea asupra confidențialității cererii. Dacă adăugăm faptul că aceștia impersonează un executiv de rang înalt, devine ușor de înțeles de ce unele victime sunt păcălite. La urma urmei, cine și-ar dori să intre în dizgrația unui CEO?

Totuși, există modalități prin care puteți identifica o voce falsificată. În funcție de cât de sofisticată este tehnologia GenAI utilizată, pot apărea următoarele indicii:
– un ritm nenatural al vorbirii
– un ton plat al vocii, lipsit de emoție
– respirație nenaturală sau chiar propoziții rostite fără pauze de respirație
– un sunet neobișnuit de robotic (în cazul utilizării unor instrumente mai puțin avansate)
– zgomot de fundal fie nefiresc de absent, fie prea uniform

Cum reacționăm

Motivul pentru care atacatorii investesc tot mai mult timp în astfel de fraude este simplu: câștigurile potențiale sunt uriașe. Exemplele sunt tot mai multe. Una dintre cele mai mari fraude de acest tip a avut loc încă din 2020, când un angajat al unei companii din Emiratele Arabe Unite a fost păcălit că directorul firmei l-a sunat pentru a solicita un transfer de 35 de milioane de dolari, necesar pentru o falsă tranzacție de tip fuziune și achiziție (M&A).

Având în vedere că tehnologia deepfake s-a îmbunătățit semnificativ în cei șase ani care au trecut de atunci, este oportun să revenim asupra câtorva măsuri esențiale pe care le puteți adopta pentru a reduce la minimum riscul unui scenariu nefericit.

Totul ar trebui să înceapă cu instruirea și conștientizarea angajaților. Programele de training trebuie actualizate pentru a include simulări audio deepfake, astfel încât personalul să știe la ce să se aștepte, ce riscuri există și cum să reacționeze. Angajații ar trebui învățați să recunoască semnele specifice ale ingineriei sociale și scenariile tipice de deepfake, precum cele descrise anterior. De asemenea, ar trebui organizate exerciții de tip red teaming pentru a testa cât de bine sunt asimilate aceste informații.

Următorul pas ține de procesele interne. Luați în considerare următoarele măsuri:
– verificarea printr-un canal alternativ (out-of-band) a oricăror solicitări primite telefonic; de exemplu, confirmarea independentă cu expeditorul prin conturile oficiale de mesagerie ale companiei
– aprobarea de către două persoane a oricărui transfer financiar important sau a modificărilor privind datele bancare ale furnizorilor
– stabilirea unor parole sau întrebări convenite în prealabil, la care executivii trebuie să răspundă pentru a demonstra telefonic că sunt cine pretind că sunt

Și tehnologia poate ajuta. Există instrumente de detecție capabile să analizeze diverși parametri pentru a identifica prezența unei voci sintetice. O măsură mai dificil de implementat, dar posibilă, ar fi și limitarea oportunităților prin care atacatorii pot obține mostre audio – de exemplu, prin reducerea aparițiilor publice ale executivilor.

Oameni, procese și tehnologie

În esență, deepfake-urile sunt ușor de realizat și implică costuri reduse. Având în vedere sumele potențial uriașe pe care infractorii le pot obține, este puțin probabil ca fraudele bazate pe clonarea vocii să dispară prea curând. De aceea, o abordare construită pe trei piloni – oameni, procese și tehnologie – reprezintă cea mai eficientă metodă prin care organizația dvs. poate reduce riscurile.

Odată ce un plan a fost aprobat, este important să fie revizuit periodic pentru a rămâne relevant și eficient, pe măsură ce inovațiile din domeniul AI continuă să evolueze. Noul peisaj al fraudei cibernetice necesită atenție constantă.