Κάποτε μπορούσαμε να εμπιστευτούμε ό,τι βλέπαμε και ακούγαμε. Δυστυχώς, εκείνη η εποχή έχει παρέλθει. Σήμερα, η γενετική τεχνητή νοημοσύνη (GenAI) έχει διεισδύσει στη δημιουργία deepfake ήχου και βίντεο σε τέτοιο σημείο, που η παραγωγή ενός πλαστού κλιπ είναι πλέον τόσο εύκολη όσο το πάτημα ενός κουμπιού. Και αυτό δεν είναι καθόλου καλή είδηση.
«Κανείς δεν είναι εκτός στόχου», εξηγεί ο Phil Muncaster από την παγκόσμια εταιρία ψηφιακής ασφάλειας ESET. Τα deepfakes δίνουν στους απατεώνες τη δυνατότητα να υποδύονται πρόσωπα που δεν είναι πχ για να ανοίξουν τραπεζικούς λογαριασμούς, ή για να παρουσιαστούν ως υποψήφιοι για θέσεις εργασίας. «Ωστόσο, η μεγαλύτερη απειλή που συνιστούν αφορά την οικονομική απάτη, ιδίως τις τραπεζικές απάτες και την κατάληψη λογαριασμών υψηλόβαθμων στελεχών» εξηγεί ο Muncaster από την ESET.
Κι όμως, πολλοί οργανισμοί εξακολουθούν να υποτιμούν την απειλή, με δική τους ευθύνη. Η βρετανική κυβέρνηση υποστηρίζει ότι πέρυσι διαμοιράστηκαν έως και οκτώ εκατομμύρια συνθετικά βίντεο, από μόλις 500.000 το 2023. Ο πραγματικός αριθμός ενδέχεται να είναι πολύ μεγαλύτερος.
Πως γίνονται οι επιθέσεις
Όπως έδειξε ένα πείραμα που πραγματοποίησε ο Jake Moore, σύμβουλος παγκόσμιας ασφάλειας στην ESET, δεν ήταν ποτέ πιο εύκολο να πραγματοποιηθεί μια επίθεση deepfake audio εναντίον μιας επιχείρησης. Το μόνο που χρειάζεται είναι ένα σύντομο βίντεο του θύματος, η τεχνητή νοημοσύνη μπορεί να κάνει τα υπόλοιπα.
Δείτε πώς μπορεί να πραγματοποιηθεί μια τέτοια επίθεση:
- Ο απατεώνας διαλέγει ποιόν θα υποδυθεί, πχ τον CEO, τον οικονομικό διευθυντή, έναν προμηθευτή.
- Ψάχνει στο διαδίκτυο για δείγμα της φωνής του. Για υψηλόβαθμα στελέχη που μιλούν δημόσια, αυτό είναι πολύ εύκολο. Το δείγμα μπορεί να προέρχεται από λογαριασμό στα μέσα κοινωνικής δικτύωσης, από τηλεδιάσκεψη παρουσίασης οικονομικών αποτελεσμάτων, από τηλεοπτική συνέντευξη ή από οποιαδήποτε άλλη πηγή. Μερικά δευτερόλεπτα φτάνουν.
- Επιλέγει ποιον θα «χτυπήσει» — συνήθως κάποιον από το IT ή το οικονομικό τμήμα, τον οποίο εντοπίζει εύκολα μέσω LinkedIn.
- Ο απατεώνας τον καλεί ή του στέλνει πρώτα ένα email. Για παράδειγμα, μπορεί να παρουσιαστεί ως διευθύνων σύμβουλος που ζητά μια επείγουσα μεταφορά χρημάτων, να ζητήσει επαναφορά κωδικού πρόσβασης, ή να υποδυθεί έναν προμηθευτή που απαιτεί πληρωμή για ένα ληξιπρόθεσμο τιμολόγιο.
- Ο εισβολέας χρησιμοποιεί ήχο που έχει δημιουργηθεί με τεχνητή νοημοσύνη για να υποδυθεί τον CEO ή τον προμηθευτή. Ανάλογα με το εργαλείο, μπορεί να ακολουθεί ένα προκαθορισμένο σενάριο ή να χρησιμοποιεί μια πιο εξελιγμένη μέθοδο speech-to-speech, όπου η φωνή του μετατρέπεται σχεδόν σε πραγματικό χρόνο στη φωνή του θύματος.
Μην πιστεύετε στα αυτιά σας
Αυτός ο τύπος επίθεσης γίνεται όλο και φθηνότερος, ευκολότερος και πιο πειστικός. Ορισμένα εργαλεία είναι πλέον ικανά να εισάγουν θόρυβο στο παρασκήνιο, παύσεις και τραυλίσματα, ώστε η φωνή που μιμούνται να ακούγεται πιο φυσική και αξιόπιστη. Παράλληλα, βελτιώνονται συνεχώς στο να αναπαράγουν τους ρυθμούς, τις εντάσεις και τις λεκτικές ιδιαιτερότητες που είναι μοναδικές για κάθε ομιλητή. Όταν μάλιστα μια επίθεση πραγματοποιείται μέσω τηλεφώνου, οι δυσλειτουργίες που σχετίζονται με την τεχνητή νοημοσύνη μπορεί να είναι ακόμη πιο δύσκολο να εντοπιστούν από τον ακροατή.
Οι επιτιθέμενοι χρησιμοποιούν συχνά και τακτικές κοινωνικής μηχανικής, όπως η άσκηση πίεσης στο θύμα να ανταποκριθεί άμεσα στο αίτημά τους, προκειμένου να πετύχουν τον στόχο τους. Μια άλλη κλασική τακτική είναι να παροτρύνουν το θύμα να διατηρήσει το αίτημα εμπιστευτικό. Αν προστεθεί σε αυτό και το γεγονός ότι οι απατεώνες συχνά υποδύονται ανώτερα στελέχη, γίνεται εύκολα κατανοητό γιατί ορισμένα θύματα εξαπατώνται. Άλλωστε, ποιος θα ήθελε να μπει στο μάτι του διευθύνοντος συμβούλου;
Ωστόσο, υπάρχουν τρόποι για να εντοπίσετε έναν επιτήδειο. Ανάλογα με το πόσο εξελιγμένη είναι η GenAI που χρησιμοποιούν, μπορεί να είναι δυνατό να διακρίνετε:
- Έναν αφύσικο ρυθμό στην ομιλία του ομιλητή
- Μια αφύσικα επίπεδη συναισθηματική χροιά στη φωνή του
- Αφύσικη αναπνοή ή ακόμη και προτάσεις χωρίς παύσεις για αναπνοή
- Έναν ασυνήθιστα ρομποτικό ήχο (ιδίως όταν χρησιμοποιούνται λιγότερο προηγμένα εργαλεία)
- Θόρυβο στο υπόβαθρο που είτε απουσιάζει παράξενα είτε είναι υπερβολικά ομοιόμορφος
Ώρα για αντεπίθεση
Ο λόγος για τον οποίο οι δράστες απειλών αφιερώνουν ολοένα περισσότερο χρόνο σε τέτοιου είδους απάτες είναι απλός: τα πιθανά οικονομικά κέρδη είναι σημαντικά.
Ένα από τα πιο χαρακτηριστικά περιστατικά σημειώθηκε το 2020, όταν ένας υπάλληλος εταιρείας στα Ηνωμένα Αραβικά Εμιράτα εξαπατήθηκε και πίστεψε ότι ο διευθυντής του τον είχε καλέσει τηλεφωνικά για να ζητήσει μεταφορά κεφαλαίων ύψους 35 εκατομμυρίων δολαρίων για μια συμφωνία εξαγοράς.
Δεδομένου ότι η τεχνολογία deepfake έχει βελτιωθεί σημαντικά τα τελευταία έξι χρόνια, αξίζει να επανεξετάσουμε ορισμένα βασικά μέτρα που μπορούν να μειώσουν την πιθανότητα ενός τέτοιου σεναρίου.
Το πρώτο βήμα είναι η εκπαίδευση και η ευαισθητοποίηση των εργαζομένων. Τα σχετικά προγράμματα θα πρέπει να επικαιροποιηθούν ώστε να περιλαμβάνουν προσομοιώσεις deepfake ήχου, διασφαλίζοντας ότι το προσωπικό γνωρίζει τι μπορεί να αντιμετωπίσει, τι διακυβεύεται και πώς πρέπει να αντιδράσει.
Οι εργαζόμενοι θα πρέπει επίσης να εκπαιδεύονται στον εντοπισμό των προειδοποιητικών σημείων της κοινωνικής μηχανικής και των τυπικών σεναρίων deepfake, όπως αυτά που περιγράφονται παραπάνω. Παράλληλα, θα πρέπει να διεξάγονται ασκήσεις με προσομοιώσεις κυβερνοεπιθέσεων, προκειμένου να αξιολογείται κατά πόσο οι εργαζόμενοι έχουν αφομοιώσει αυτές τις πληροφορίες.
Στη συνέχεια έρχεται η διαδικασία. Εξετάστε τα εξής:
- Εξωτερική επαλήθευση αιτημάτων μέσω τηλεφώνου – δηλαδή, χρήση εταιρικών λογαριασμών ανταλλαγής μηνυμάτων για ανεξάρτητη επιβεβαίωση με τον αποστολέα.
- Δύο άτομα θα πρέπει να υπογράφουν για οποιαδήποτε μεταφορά μεγάλων χρηματικών ποσών ή για αλλαγές στα τραπεζικά στοιχεία προμηθευτών.
- Προκαθορισμένες φράσεις πρόσβασης ή ερωτήσεις στις οποίες πρέπει να απαντούν τα στελέχη, ώστε να αποδεικνύουν ότι είναι πράγματι τα άτομα που ισχυρίζονται ότι είναι όταν επικοινωνούν τηλεφωνικά.
Η τεχνολογία μπορεί επίσης να βοηθήσει. Υπάρχουν εργαλεία ανίχνευσης που ελέγχουν διάφορες παραμέτρους για την παρουσία συνθετικής φωνής. Μια άλλη λύση, πιο δύσκολη στην εφαρμογή, θα ήταν ο περιορισμός των ευκαιριών των απειλητικών παραγόντων να αποκτήσουν πρόσβαση σε ηχητικά αρχεία, για παράδειγμα με τον περιορισμό των δημόσιων εμφανίσεων των στελεχών.
Άνθρωποι, διαδικασίες και τεχνολογία
Ωστόσο, το συμπέρασμα είναι σαφές: τα deepfakes είναι εύκολο να δημιουργηθούν και το κόστος παραγωγής τους είναι ελάχιστο. Δεδομένου του τεράστιου κέρδους που μπορούν να αποκομίσουν οι απατεώνες, είναι απίθανο να δούμε σύντομα το τέλος των απατών που βασίζονται στην κλωνοποίηση φωνής.
Για το λόγο αυτό, μια τριπλή προσέγγιση που βασίζεται στους ανθρώπους, τις διαδικασίες και την τεχνολογία αποτελεί την καλύτερη επιλογή για τον μετριασμό του κινδύνου.
Μόλις εγκριθεί ένα σχέδιο, είναι σημαντικό να επανεξετάζεται τακτικά ώστε να παραμένει επίκαιρο, καθώς η καινοτομία στον τομέα της τεχνητής νοημοσύνης προχωρά με ταχύ ρυθμό. Το νέο τοπίο της κυβερνοαπάτης απαιτεί συνεχή επαγρύπνηση.
