Oli aeg, mil võisime uskuda kõike, mida nägime ja kuulsime. Kahjuks on need päevad ilmselt ammu möödas. Generatiivne tehisintellekt (GenAI) on muutnud deepfake-heli ja -video loomise nii kättesaadavaks, et võltsitud klippi on võimalik luua vaid paari nupuvajutusega. See on halb uudis kõigile, sealhulgas ettevõtetele.

Deepfake’id aitavad petturitel mööda hiilida „Tunne oma klienti” (Know Your Customer) ja konto autentimise kontrollidest. Need võimaldavad isegi pahatahtlikel riiklikel tegutsejatel end tööotsijateks maskeerida. Kuid arvatavasti suurim oht, mida need kujutavad, on finants- ja pangaülekande pettused ning juhtkonna kontode kaaperdamine.

Organisatsioonid alahindavad deepfake’ide ohtu omal vastutusel. Briti valitsus väidab, et eelmisel aastal jagati koguni kaheksa miljonit sünteetilist klippi, võrreldes vaid 500 000-ga 2023. aastal. Tegelik number võib olla palju suurem.

Kuidas rünnakud toimivad

Nagu on näidanud ka ESETi globaalse turvalisuse nõustaja Jake Moore’i eksperiment, pole kunagi varem olnud lihtsam korraldada deepfake-helirünnakut teie ettevõttele. Selleks on vaja vaid lühikest klippi ohvrist, kelle identiteeti soovitakse võltsida. GenAI teeb ülejäänu. Rünnak võib kulgeda järgmiselt:

  1. Ründaja valib isiku, kelleks ta end esitab. See võib olla tegevjuht, finantsjuht või isegi tarnija.
  2. Ta leiab internetist helinäite – mis on üsna lihtne tuntud juhtide puhul, kes esinevad regulaarselt avalikkuse ees. See võib pärineda sotsiaalmeedia kontolt, finantstulemuste avaldamisest, video- või telesaate intervjuust või muudest allikatest. Mõne sekundi pikkune salvestis peaks piisama.
  3. Nad valivad isiku, kellele helistada. See võib nõuda mõningast laua-uurimist – tavaliselt otsitakse LinkedInist IT-tugiisikuid või rahandusmeeskonna liikmeid.
  4. Nad võivad helistada isikule otse või saata eelnevalt e-kirja – näiteks tegevjuht, kes palub kiiret rahaülekannet, parooli/mitmefaktorilise autentimise (MFA) taastamist, või tarnija, kes nõuab maksmist viivitatud arve eest.
  5. Nad helistavad eelnevalt valitud sihtmärgile, kasutades GenAI poolt loodud deepfake-heli, et teeselda tegevjuhti/tarnijat. Sõltuvalt vahendist võivad nad järgida eelnevalt kirjutatud kõneteksti või kasutada keerukamat „speech-to-speech” meetodit, kus ründaja hääl tõlgitakse peaaegu reaalajas ohvri hääleks.

Kuulmine on uskumine

Selline rünnak muutub odavamaks, lihtsamaks ja veenvamaks. Mõned tööriistad suudavad isegi lisada taustamuusikat, pause ja kokutamist, et jäljendatav hääl kõlaks usutavamalt. Nad on muutunud palju paremaks iga kõneleja jaoks iseloomulike rütmide, intonatsiooni ja verbaalsete harjumuste jäljendamisel. Ja kui rünnak toimub telefoni teel, võib kuulajal olla AI-ga seotud tõrkeid raskem märgata.

Ründajad võivad oma eesmärkide saavutamiseks kasutada ka sotsiaalse inseneritaktikaid, näiteks avaldades kuulajale survet oma palvele kiiresti vastata. Teine klassikaline võte on kuulaja sundimine hoidma palvet konfidentsiaalsena. Lisage sellele asjaolu, et nad teesklevad sageli kõrget juhtivtöötajat, ja on lihtne mõista, miks mõned ohvrid petetakse. Kes tahaks sattuda tegevjuhi pahameele alla?

Sellest hoolimata on olemas viise, kuidas petturit ära tunda. Sõltuvalt sellest, kui arenenud on nende kasutatav GenAI, võib olla võimalik märgata järgmist:

  • Kõneleja kõne ebaloomulik rütm
  • Kõneleja hääle ebaloomulikult monotoonne emotsionaalne toon
  • Ebaloomulik hingamine või isegi hingetud laused
  • Ebatavaliselt robotlik hääl (kui kasutatakse vähem arenenud tööriistu)
  • Taustmüra, mis on kas kummaliselt puuduv või liiga ühtlane

Aeg vastu lüüa

Põhjus, miks kurjategijad pühendavad sellistele pettustele üha rohkem aega, on lihtne: pakutavad potentsiaalsed kasumid. Hoiatavad lood kogunevad pidevalt. Üks suurimaid vigu tehti juba 2020. aastal, kui Ühendemiraatide ühe ettevõtte töötaja veendi uskuma, et tema direktor oli helistanud ja palunud 35 miljoni dollari ülekannet ühinemis- ja ülevõtmistehingu jaoks.

Arvestades, et deepfake-tehnoloogia on viimase kuue aasta jooksul oluliselt arenenud, tasub uuesti üle vaadata mõned olulised sammud, mida saate astuda, et vähendada halvima stsenaariumi tõenäosust.

Alustada tuleks töötajate koolitamisest ja teadlikkuse tõstmisest. Neid programme tuleks ajakohastada, lisades sinna deepfake-heli simulatsioonid, et tagada, et töötajad teaksid, mida oodata, mis on kaalul ja kuidas käituda. Neile tuleks õpetada, kuidas märgata sotsiaalse inseneri ja tüüpiliste deepfake-stsenaariumide, nagu eespool kirjeldatud, tunnusmärke. Tuleks läbi viia red teaming harjutusi, et testida, kui hästi töötajad seda teavet omandavad.

Järgmiseks tuleb protsess. Kaaluge järgmist:

  • Kõikide telefonipõhiste taotluste väljaspool kanalit toimuv kontroll – st ettevõtte sõnumikontode kasutamine saatjaga iseseisvalt ühenduse võtmiseks
  • Kaks isikut, kes kinnitavad kõik suured rahalised ülekanded või muudatused tarnija pangarekvisiitides
  • Eelnevalt kokkulepitud salasõnad või küsimused, millele juhid peavad vastama, et tõestada telefoni teel, et nad on need, kes nad väidavad end olevat

Ka tehnoloogia võib aidata. Olemas on tuvastamisvahendid, millega kontrollida erinevaid parameetreid sünteetilise hääle olemasolu suhtes. Raskemini rakendatav, kuid teine võimalus oleks piirata ohuallikate võimalusi helisalvestiste kätte saamiseks, piirates juhtide avalikke esinemisi.

Inimesed, protsessid ja tehnoloogia

Kokkuvõttes on aga oluline, et deepfake’ide tootmine on lihtne ja odav. Arvestades petturitele kättesaadavaid potentsiaalselt suuri summasid, on ebatõenäoline, et häälkloonimispettused lähiajal kaovad. Seetõttu on inimestel, protsessidel ja tehnoloogial põhinev kolmetasandiline lähenemisviis parim võimalus, kuidas teie organisatsioon saab riski leevendada.

Kui plaan on heaks kiidetud, pidage meeles seda regulaarselt läbi vaadata, et see jääks otstarbekaks ka siis, kui tehisintellekti innovatsioon areneb. Uus küberpettuste maastik nõuab pidevat tähelepanu.

Loe täismahus analüüsi WeLiveSecurity veebist →