Czy ataki Deepfake stanowią bezpośrednie zagrożenie dla firm i organizacji?

Deepfakes to coraz popularniejsze cyberzagrożenie, którego ofiarą może paść każdy internauta, który zamieścił swój wizerunek w sieci. Jednak te próby oszustwa to coś więcej niż tylko fałszywe filmy przedstawiające celebrytów sprzedających nielegalne produkty lub polityków mówiących śmieszne rzeczy. Deepfakes są coraz częściej wykorzystywane w atakach na przedsięwzięcia biznesowe na całym świecie.

Podczas niedawnej dyskusji z Bogdanem Botezatu, dyrektorem ds. badań zagrożeń i raportowania w Bitdefender, ekspert ten przedstawił wskazówki, które pomogą okiełznać szum związany z tą technologią i dokładnie określić, w jaki sposób deepfakes oraz inne narzędzia generatywnej sztucznej inteligencji (GenAI) stanowią zagrożenie dla stanu cyberbezpieczeństwa organizacji. Co najważniejsze, pomaga określić, czy ataki te są czymś, czym organizacje powinny się dziś martwić.

Dlaczego deepfakes są tak niebezpieczne i destrukcyjne?

Bogdan Botezatu: Deepfakes to najnowsza technologia z długiej listy narzędzi wykorzystywanych do przeprowadzania oszustw. Od tysiącleci oszuści dopuszczali się przestępstw, oszukując ludzi, aby myśleli, że są kimś innym. Dawno zaginieni krewni pojawiają się podczas podziału spadku. Lekarz o wątpliwej wiedzy oferuje cudowne lekarstwo. Nigeryjski książę potrzebuje Twojej pomocy w repatriacji milionów dolarów. Lista jest długa.

Jednak to, co sprawia, że deepfakes są tak niebezpieczne, to fakt, że pozwalają cyberprzestępcom atakować wiele osób na poziomie niezwykle osobistym w coraz bardziej wyrafinowany sposób. Te oszustwa związane z fałszywą tożsamością były kiedyś przeprowadzane osobiście, po jednej ofierze na raz, ale deepfake dostarczane za pośrednictwem elektronicznych kanałów komunikacji, takich jak poczta elektroniczna, SMS-y, chatboty, wiadomości w aplikacji i wideokonferencje, można dość łatwo spersonalizować i skalować. Najbardziej skuteczne ataki sprawiają, że ofiary kwestionują samą rzeczywistość – co może być bardzo skuteczną strategią i złą rzeczą.

W jaki sposób cyberprzestępcy wykorzystują obecnie deepfakes w swoich atakach?

BB: Deepfakes przeniosły oszustwa phishingowe na wyższy poziom. Podmioty zagrażające mogą gromadzić ogromną ilość bardzo szczegółowych i osobistych informacji o ludziach i organizacjach oraz wprowadzać je do narzędzi GenAI, aby naśladować dyrektorów lub inne autorytety. Wykracza to poza sam głos i wygląd, a także obejmuje określone zachowanie, składnię, preferencje i tendencje. W połączeniu z kampaniami inżynierii społecznej, które identyfikują oprogramowanie finansowe używane przez organizację, banki, w których ma ona konta, a także wewnętrzne procesy i zasady, deepfakes mogą być niezwykle dokładne, osobiste i trudne do wykrycia.

Narzędzia do klonowania głosu umożliwiają cyberprzestępcom ustne proszenie podwładnych o zainicjowanie fałszywej transakcji przez telefon. Publicznie dostępne chatboty obsługiwane przez GenAI umożliwiają im prowadzenie konwersacji na poziomie ludzkim za pośrednictwem wiadomości tekstowych lub aplikacji do przesyłania wiadomości w aplikacji. Usługi tworzenia wideo GenAI umożliwiają im prowadzenie spotkań za pośrednictwem aplikacji do wideokonferencji w celu jednoczesnego dostarczania grupie osób fałszywych rozkazów marszu.

To prawda, że ludzie są coraz bardziej świadomi rozpoznawania fałszywych zdjęć (wystarczy spojrzeć na dowolną liczbę sześciopalczastych dłoni na niektórych obrazach generowanych przez sztuczną inteligencję), ale wskaźnik sukcesu jest nadal stosunkowo niski. Z ciekawości przeprowadziłem nienaukowe badanie, w którym poprosiłem profesjonalnych fotografów o zidentyfikowanie zdjęć wygenerowanych przez AI zmieszanych z prawdziwymi obrazami. Nawet wśród tych ekspertów, które zarabiają na życie fotografią, a nawet używają Photoshopa do ich retuszowania, współczynnik wykrywania obrazów wygenerowanych wynosi mniej niż 50%. Współczynnik rozpoznawania filmów typu deepfake jest jeszcze niższy, ponieważ obrazy się poruszają i trudno wychwycić subtelne niedokładności.

Czy możesz wskazać jakieś najnowsze przykłady oszustw z wykorzystaniem deepfake?

BB: Pierwszy przykład, jaki pamiętam, miał miejsce w 2016 r., kiedy grupie hakerów udało się wyłudzić 40 milionów euro od niemieckiej firmy produkcyjnej, przekonując dyrektora finansowego (CFO) jej fabryki w Rumunii, że o transakcję poprosił dyrektor z centrali. Chociaż początkowa prośba została przesłana e-mailem, kolejna rozmowa telefoniczna z wykorzystaniem technologii klonowania głosu przypieczętowała transakcję i przekonała ofiarę, że prośba była uzasadniona.

Niedawno usłyszeliśmy o ataku na dużą firmę motoryzacyjną, podczas którego dyrektor finansowy został oszukany i przelał dużą kwotę pieniędzy na fałszywe konto. Otrzymaliśmy także raporty o dyrektorze innej firmy z listy Fortune 500, który uczestniczył w fałszywej rozmowie telefonicznej na Zoomie z kadrą kierowniczą wyższego szczebla. W miarę jak technologia deepfake ewoluuje do tego stopnia, że każdy może tworzyć treści o hollywoodzkiej jakości, usłyszymy znacznie więcej o skutecznych atakach deepfake, które poszerzą naszą wiedzę na temat tego, co jest prawdziwe, a co nie.

Co organizacje mogą zrobić, aby chronić się przed deepfakes?

BB: Niestety nie ma narzędzia, które mogłoby z ze stu procentową skutecznością zidentyfikować ataki typu deepfake. Znaki wodne i inne technologie znakowania również prawdopodobnie nie powstrzymają ataków. Organizacje będą musiały opracować i egzekwować zasady zapobiegające niekwestionowanemu przebiegowi oszukańczych transakcji, edukować swoich pracowników, aby lepiej wykrywali nietypowe zachowania, a także utrzymywać dobrą higienę cybernetyczną w swoich środowiskach IT, aby zapobiec początkowemu naruszeniu.

Ochrona organizacji przed deepfakes polega na stałym budowaniu i utrzymywaniu zaufania. Należy stworzyć i egzekwować zabezpieczenia w przypadku przeprowadzania transakcji i innych ryzykownych działań. Na przykład wymaganie wielokrotnych podpisów w przypadku dużych transakcji, ograniczenie kwoty środków, które można przenieść, zezwolenie na wysyłanie transakcji tylko na zweryfikowane konta lub wprowadzenie okresu oczekiwania, lub pośrednika, aby dać czas na uwierzytelnienie wniosku.

Dobrym pomysłem jest również wprowadzenie obowiązku szkolenia w zakresie wykrywania deepfake’ów i oszustw. Nie można polegać na tym, że użytkownicy rozpoznają każdą próbę oszustwa, ale przesunięcie współczynnika identyfikacji na swoją korzyść o kilka punktów nigdy nie jest złym pomysłem. Samo zapewnienie ludziom możliwości kwestionowania nietypowych zachowań bez napiętnowania i konsekwencji może w dużym stopniu przyczynić się do stworzenia silnej kultury zwalczania nadużyć finansowych.

Wreszcie, utrzymanie dobrej higieny cybernetycznej może przede wszystkim proaktywnie powstrzymać występowanie tych ataków. Najbardziej wyrafinowane ataki phishingowe wymagają legalnego kanału komunikacji, aby dostarczyć deepfake, co wymaga kradzieży danych uwierzytelniających wiadomości e-mail, urządzenia końcowego lub aplikacji. Utrzymywanie solidnego poziomu zabezpieczeń, który chroni te punkty końcowe i powstrzymuje boczne rozprzestrzenianie się na inne systemy biznesowe, to dobry sposób na proaktywne zapobieganie początkowemu naruszeniu i łagodzenie skutków udanego ataku.

Czego możemy się spodziewać w przyszłości, w miarę ciągłego rozwoju technologii deepfake?

BB: Nie ma wątpliwości, że deepfakes są coraz bardziej wyrafinowane i powszechne. Nie zdziwiłbym się, gdyby w 2024 r. doszło do poważnego ataku typu deepfake, zwłaszcza w obliczu zbliżających się jesiennych wyborów prezydenckich w USA. Osobiście jestem wielkim zwolennikiem zwalczania ognia ogniem. Narzędzia cyberbezpieczeństwa oparte na sztucznej inteligencji i uczeniu maszynowym (ML) będą kluczem do ochrony organizacji na całym świecie przed tego typu atakami. Co najważniejsze, nauczą się, jak odróżnić zachowanie uzasadnione od zachowania oszukańczego, poprzez ciągłą obserwację działań użytkowników i kadry kierowniczej w czasie rzeczywistym. Czy ktoś próbuje uzyskać dostęp do danych, do których nie powinien? Czy do konta uzyskuje dostęp nieznany podmiot? Tego typu analizy behawioralne przeprowadzane na poziomie IT i uwierzytelniania pomogą organizacjom zidentyfikować coraz bardziej wyrafinowane próby oszustwa.

Ataki deepfake – kluczowe wnioski

Deepfakes i inne technologie AI Gen. zmienią świat. Organizacje będą musiały zachować szczególną czujność w obliczu tych wysoce wyrafinowanych ataków, które mogą skłonić ludzi do kwestionowania samej rzeczywistości. Wdrożenie zasad i zabezpieczeń zapobiegających nietypowym zachowaniom, lepsze szkolenie użytkowników w zakresie wykrywania prób oszustw oraz utrzymywanie dobrej higieny cybernetycznej w całej organizacji to najlepsze sposoby na powstrzymanie przedostawania się deepfakes do Twojej organizacji dziś i w przyszłości.

Pamiętaj także, że zapewnienie wysokiego poziomu cyberbezpieczeństwa swojej organizacji znacząco zminimalizuje ryzyko wniknięcia do Twojej sieci przez niepowołane osoby. Jeśli chcesz dowiedzieć się, w jaki sposób systemy antywirusowe Bitdefender uchronią Twoją firmę przed następstwami phishingu i błędu pracowników, to odwiedź tę stronę.