Από τον Sadiq Iqbal, Ευαγγελιστή & Σύμβουλο Ασφάλειας στον Κυβερνοχώρο, Check Point Software Technologies, Αυστραλία/Νέα Ζηλανδία
Τα deepfakes έχουν αυξηθεί αρκετά κυρίως λόγω της αυξανόμενης πολυπλοκότητας τους. Η ικανότητα μίμησης ενός ατόμου, στην ποιότητα που γίνεται τώρα, είναι πιο δυνατή από ποτέ. Αυτό συμβαίνει επειδή η πρόσβαση στα εργαλεία AI που χρησιμοποιούνται για τη δημιουργία deepfakes είναι καλύτερη και αυτό – μαζί με το χαμηλό κόστος εισόδου ως εμπόδιο – σημαίνει ότι πειστικά ψέματα μπορούν να αναπτυχθούν σε κλίμακα.
Η έρευνά μας διαπίστωσε ότι μέσα σε 30 δευτερόλεπτα ή και λιγότερο, ο οποιοσδήποτε ελάχιστα εκτεθειμένος στα σχετικά εργαλεία AI θα μπορούσε να κατασκευάσει ένα deepfake της φωνής ενός ομιλητή για οποιοδήποτε θέμα και για όσο διάστημα επιθυμεί, με σχεδόν μικρό ή καθόλου κόστος. Αυτό αλλάζει το παιχνίδι και το ίδιο ισχύει τώρα και για το βίντεο.
Ο αριθμός των deepfake επιθέσεων (επιτυχημένων σε αυτό) είναι εκπληκτικός, Σύμφωνα με μια έκθεση της Sumsub Research που διεξήχθη πέρυσι, τα παγκόσμια περιστατικά deepfake έχουν δεκαπλασιαστεί από το 2022 έως το 2023 με τη Βόρεια Αμερική να έχει την υψηλότερη αύξηση επιθέσεων deepfake 1740%.
Για τις επιχειρήσεις, μια βασική ανησυχία είναι αν ένα στέλεχος μπορεί να είναι πειστικά deepfaked – ή ένας «προνομιούχος» υπάλληλος που ξεγελιέται από ένα ψέμα. Νωρίτερα φέτος, ένας επιμελής οικονομικός υπάλληλος στο Χονγκ Κονγκ εξαπατήθηκε για να εγκρίνει μια πληρωμή 25$ εκατομμυρίων δολαρίων ΗΠΑ από μια περίτεχνη τηλεδιάσκεψη με ένα deepfake του CFO της εταιρείας. Ζήτησε μια συνάντηση Zoom ως απάντηση σε αίτημα μεταφοράς χρημάτων και έστειλε τα χρήματα μόνο αφού μίλησε με τον οικονομικό διευθυντή και αρκετούς άλλους συναδέλφους στην ίδια κλήση, οι οποίοι ήταν όλοι deepfakes. Η υπόθεση έφερε στην πραγματικότητα την εξέλιξη της τεχνολογίας και τις δυνατότητές της ως νέου φορέα απειλής για επιχειρηματικές απάτες.
Οι σημαντικές επιχειρηματικές επιπτώσεις που σχετίζονται με την κακόβουλη ανάπτυξη deepfakes κάνουν τους ανθρώπους και τις επιχειρήσεις να αναρωτιούνται τι μπορούν να κάνουν για να προστατεύσουν τον εαυτό τους και τις δραστηριότητές τους. Πώς μπορούν να καταλάβουν αν το άτομο στην άλλη άκρη μιας τηλεδιάσκεψης είναι πραγματικό και όχι ένα δημιούργημα τεχνητής νοημοσύνης;
Σε υψηλό επίπεδο, απαιτεί από τους ανθρώπους να επαγρυπνούν και να εκτελούν ορισμένους ελέγχους κοινής λογικής. Σε όλες τις περιπτώσεις, οι άνθρωποι τείνουν να σταθμίζουν αυτό που βλέπουν και να κάνουν ορισμένες εκτιμήσεις κινδύνου. Με τον ίδιο τρόπο που οι άνθρωποι ελέγχουν επί του παρόντος την ακρίβεια ενός μηνύματος ηλεκτρονικού ταχυδρομείου ή των περιεχομένων του – διασταύρωση του αναγνωριστικού αποστολέα, τοποθέτηση του δείκτη του ποντικιού πάνω από μια διεύθυνση URL ή συνημμένο αρχείο, εξέταση του στυλ και της γραμματικής – μπορούν να επωφεληθούν από την εφαρμογή του ίδιου τύπου προσέγγισης στις τηλεδιάσκεψης, στις οποίες καλούνται να συμμετέχουν σήμερα.
Αυτός ο τριγωνισμός των ενδείξεων και των παραγόντων κινδύνου είναι ένα είδος «ελέγχου ταυτότητας πολλαπλών παραγόντων» που πρέπει τώρα να εκτελέσουμε πιο συνειδητά στα περιβάλλοντα εργασίας.
Συμβουλές
Ποιοι είναι λοιπόν μερικοί από τους ελέγχους που μπορούν να εκτελέσουν οι εργαζόμενοι σήμερα για να εντοπίσουν ένα deepfake ή να ειδοποιηθούν για μια πιο εξελιγμένη προσπάθεια απάτης που χρησιμοποιεί τεχνολογία deepfake;
Ο πρώτος είναι να εκτελέσετε έναν γρήγορο έλεγχο «ζωντάνιας» – ζητήστε από το άτομο στην άλλη άκρη του βίντεο να γυρίσει το κεφάλι του από τη μία πλευρά στην άλλη. Αυτό είναι αποτελεσματικό σήμερα, επειδή τα γενετικά εργαλεία AI που χρησιμοποιούνται για την παραγωγή deepfakes δεν δημιουργούν τρισδιάστατη ή 360 μοιρών ομοιότητα του ατόμου, μπορούν να παράγουν μόνο επίπεδες μπροστινές εικόνες. Οι πλευρικές προβολές του κεφαλιού και του προσώπου δεν θα αποδοθούν ή δεν θα εμφανιστούν σωστά. Έτσι, εάν οι εργαζόμενοι είναι ύποπτοι, θα πρέπει να ζητήσουν από το άτομο να στρίψει αριστερά ή δεξιά και αν εξαφανιστεί το πρόσωπο, κλείστε το τηλέφωνο.
Ομοίως, άλλες φυσικές ανθρώπινες συμπεριφορές που παρατηρούνται συχνά σε μια τηλεδιάσκεψη – κάποιος που φτάνει και ξύνει ή αγγίζει το κεφάλι του, για παράδειγμα – δεν θα εμφανιστεί σωστά με ένα deepfake.
Αυτό βέβαια ισχύει σήμερα, αλλά μπορεί να μην ισχύει αύριο. Ο ταχύς ρυθμός ανάπτυξης της γενετικής τεχνητής νοημοσύνης σημαίνει ότι τα εργαλεία θα γίνουν καλύτερα στη δημιουργία πιο ρεαλιστικών ομοιοτήτων των ανθρώπων και των τρόπων τους, γεγονός που θα μπορούσε να κάνει έναν έλεγχο ζωντάνιας πιο δύσκολο με την πάροδο του χρόνου.
Οι εργαζόμενοι μπορεί να είναι σε θέση να πάρουν πρόσθετες ενδείξεις ότι μια τηλεδιάσκεψη με ένα στέλεχος δεν είναι αυτό που φαίνεται.
Ένας χρήσιμος έλεγχος όταν λαμβάνεται ένας σύνδεσμο τηλεδιάσκεψης – ή όταν συμμετέχετε σε μια κλήση πολλών μερών – είναι να ελέγξετε εάν οι συμμετέχοντες συμμετέχουν χρησιμοποιώντας μια έκδοση αυτού του λογισμικού με εταιρική άδεια. Αυτό είναι συχνά προφανές, επειδή οι εταιρείες χρησιμοποιούν μια “διεύθυνση URL ματαιοδοξίας” – companyname.videoplatform.com – για να δείξουν από πού καλούν. Η εμπιστοσύνη μπορεί να εδραιωθεί περαιτέρω επικοινωνώντας εκ των προτέρων – μέσω διαφορετικής μεθόδου, όπως συνομιλία ή ηλεκτρονικό ταχυδρομείο – πώς εσείς και άλλοι θα συμμετάσχετε στην τηλεδιάσκεψη. Εάν γνωρίζετε εκ των προτέρων ότι θα λάβετε μια πρόσκληση τηλεδιάσκεψης από έναν συγκεκριμένο τομέα εταιρείας, είναι ένας άλλος «παράγοντας» που μπορεί να ληφθεί υπόψη όταν αποφασίζετε εάν θα αποδεχτείτε ή όχι τη σύσκεψη. Εάν η σύσκεψη ξεκινά από έναν προσωπικό λογαριασμό ή κάποιος συμμετέχει απροσδόκητα και χωρίς εξήγηση από έναν προσωπικό λογαριασμό, μπορεί να είναι μια κόκκινη σημαία – και δικαιολογεί, τουλάχιστον, μια ερώτηση ή δύο ή μερικούς περαιτέρω ελέγχους.
Μια τρίτη χρήσιμη στρατηγική είναι να έχετε συμφωνήσει εσωτερικές κώδικές λέξεις που πρέπει να ελέγχονται εκτός ζώνης πριν εκτελεστούν ορισμένες ενέργειες – όπως μια μεταφορά χρημάτων. Στην περίπτωση του εργαζόμενου στο Χονγκ Κονγκ, αυτό θα σήμαινε να στείλουν μήνυμα στον CFO με τον οποίο νόμιζαν ότι μιλούσαν μέσω ενός εντελώς διαφορετικού καναλιού και να ρωτήσουν: «Ποια είναι η λέξη;». Η απάντηση που θα έπαιρναν πίσω θα τους έλεγε γρήγορα αν ο “CFO” – και το αίτημα που υποβάλλεται- είναι γνήσιος ή όχι.
Οι εργαζόμενοι θα πρέπει να συνεχίσουν να είναι προσεκτικοί και ανήσυχοι, να χρησιμοποιούν όλες τις συμβουλές που έχουν στη διάθεσή τους και να παραμένουν ενημερωμένοι με την εξέλιξη της τεχνολογίας AI, για να αντιμετωπίσουν την απειλή των deepfake. Οι προσπάθειές τους μπορούν να υποστηριχθούν αποτελεσματικά από οργανισμούς που εφαρμόζουν λύσεις ασφάλειας στον κυβερνοχώρο, συμπεριλαμβανομένης της ισχυρής προστασίας ηλεκτρονικού ταχυδρομείου, η οποία μπορεί να εντοπίσει και να αποτρέψει την παράδοση πολλών κακόβουλων προσκλήσεων σε σύσκεψη στα εισερχόμενα. Δεδομένης της πραγματικότητας της απειλής, είναι σημαντικό να υπάρχει ολοκληρωμένη προστασία.
