CEO fraude met deepfake spraaktechnologie?
Deepfake wordt steeds nauwkeuriger.
Wat is deepfake technologie?
De naam deepfake is een combinatie van de woorden deep learning en fake (nep). Deep learning is een techniek die valt onder kunstmatige intelligentie. Het zorgt ervoor dat computers nieuwe dingen kunnen leren op basis van grote hoeveelheden data. Het maakt dan niet uit of die data getallen, tekst, geluid of beeld is.
Deepfake software zet dus kunstmatige intelligentie in om nepvideo’s en audio te maken die echt lijken. Dit soort software was vroeger alleen te vinden in dure filmstudio’s in Hollywood, maar is nu steeds vaker gratis te downloaden en te gebruiken.
Wat is er gebeurd?
Criminelen gebruikten deepfake spraak AI-software om zich voor te doen als de baas van een Duits moederbedrijf dat eigenaar is van een Brits energiebedrijf. Vervolgens hebben ze de Britse directeur van deze laatste er in een uur tijd toe aangezet om 243.000€ “dringend” door te sluizen naar een Hongaarse leverancier, met de garantie dat de overdracht onmiddellijk zou worden terugbetaald. De Britse CEO van het bedrijf, die het bekende lichte Duitse accent en de stempatronen van zijn baas hoorde, zou niets vermoed hebben, aldus het rapport. Maar niet alleen werd het geld niet terugbetaald, de fraudeurs deden zich ook voor als de Duitse CEO om een nieuwe dringende overschrijving te vragen. Deze keer weigerde de Britse directeur echter de betaling te doen.
Het blijkt dat de gelden die de Britse directeur naar Hongarije heeft overgemaakt, uiteindelijk naar Mexico en andere locaties zijn versluisd. De autoriteiten moeten nog bepalen wie de daders van de cyberdiefstal zijn. Het bedrijf werd verzekerd door de Euler Hermes Groep, die de volledige kosten van de betaling voor haar rekening nam. Het incident zou in maart hebben plaatsgevonden.
Waarom is dit verontrustend?
AI-gebaseerde imitatieaanvallen zijn slechts het begin van wat in de toekomst grote zorgen voor bedrijven en organisaties zou kunnen opleveren.
In dit geval was de AI spraaksoftware in staat om met succes de stem van de Duitse CEO te imiteren. Maar het is onwaarschijnlijk dat dit een alleenstaand geval met behulp van AI blijft. Integendeel, ze zullen alleen maar toenemen als dit soort social-engineering aanvallen succesvol blijken te zijn.
Naarmate de tools om stemmen na te bootsen realistischer worden, wordt ook de kans groter dat criminelen ze in hun voordeel gebruiken. Door een identiteit aan de telefoon te veinzen, kan gemakkelijk toegang verkregen worden tot informatie die anders privé was.
In juli waarschuwde het Israel National Cyber Institute voor een “nieuw type cyberaanval”, dat gebruik maakt van AI-technologie om zich voor te doen als hogere leidinggevenden van ondernemingen. Het instrueren van werknemers om transacties uit te voeren, zoals overschrijvingen en andere kwaadaardige activiteiten op het netwerk behoren tot de mogelijkheden.
Het feit dat een deepfake misdaad van deze aard reeds zijn eerste slachtoffer heeft geëist zou een reden tot bezorgdheid moeten zijn. Deze technologie maakt het voor ondernemingen moeilijk om dit type aanvallen te ontdekken. Vorig jaar meldde Pindrop – een cyberbeveiligingsbedrijf dat antifraude-spraaksoftware ontwerpt – van 2013 tot 2017 een toename van 350 procent in spraakfraude, waarbij 1 op de 638 gesprekken niet echt zou zijn.
Bovendien wordt deepfake technologie ook steeds toegankelijker voor minder ervaren makers. De Chinese app Zao maakt het bijvoorbeeld mogelijk voor gebruikers om hun gezicht op het lichaam van filmsterren te plaatsen. Op YouTube zijn er tutorials te vinden voor het maken van deepfakes en er bestaan websites waarop deepfakes gecreëerd kunnen worden.
Wat kan je er tegen doen?
De opkomst van AI-gebaseerde tools heeft zijn voor- en nadelen. Aan de ene kant geeft het ruimte voor exploratie en creativiteit. Aan de andere kant staat het ook criminaliteit, bedrog en fraude toe.
Om bedrijven te beschermen tegen de economische en reputatieschade is het van cruciaal belang dat “spraakinstructies” worden geverifieerd via een follow-up e-mail of andere alternatieve middelen zoals Multi Factor Authentication en Approval.
Recente reacties