Głębokie oszustwo, czyli jak deepfake może zagrozić firmom
Dostajesz od znajomego mailowe zaproszenie na wideorozmowę, podczas której masz otrzymać niesamowitą propozycję biznesową? Uważaj, to może być oszustwo. Dowiedz się, jak cyberprzestępcy wykorzystują technologię deepfake i jak się przed nią obronić.
Na początek wyjaśnijmy, czym jest deepfake i na jakiej zasadzie działa. Sama nazwa pochodzi od połączenia angielskich terminów „deep learning”, czyli „głębokie uczenie” oraz „fake” – „fałszywy”. Mówiąc najprościej, to technologia polegająca na preparowaniu obrazu czy dźwięku przy użyciu sztucznej inteligencji – na przykład podmianie twarzy, gestów, głosu czy mimiki na wizerunek innej osoby.
Pierwszy znany przypadek wykorzystania tej technologii odnotowano w 2017 roku, kiedy to do sieci trafiły „filmy dla dorosłych” z twarzami znanych osób. Osób, które oczywiście nigdy w tych produkcjach nie zagrały.
Oszustwo, ale niegroźne
Od tej pory technologia deepfake stale się rozwija, a najnowsze materiały przygotowane z jej wykorzystaniem są coraz trudniejsze do odróżnienia od prawdziwych filmów. Wraz z rosnącymi możliwościami deepfake’ów pojawiają się również kolejne możliwości ich zastosowań. Pierwsze to cele czysto rozrywkowe, zyskujące miliony wyświetleń na serwisach takich jak YouTube.
Przykłady rozrywkowych deepfake’ów:
- wideo z Kitem Haringtonem przepraszającym za ostatni sezon „Gry o Tron”,
- materiał z „wielojęzycznym” Davidem Beckhamem,
- film z Tomem Cruise’em pokazujący skalę możliwości tej technologii,
- „poprawiony” przez fanów wizerunek odmłodzonego Marka Hamilla pojawiający się w serialu „Mandalorianin”.
Gdy deepfake staje się bronią
Ale technologia ta ma również swoją drugą, zdecydowanie mroczniejszą stronę.
Pierwszy z niepokojących aspektów deepfake’ów, na który należy zwrócić uwagę, to użycie ich w celach dezinformacyjnych, w szczególności do przekazywania i popularyzowania tak zwanych fake newsów, czyli informacji mających celowo wprowadzić w błąd odbiorców. Działania takie mogą być bardzo poważne w skutkach, prowadzić nawet do konfliktów czy skandali dyplomatycznych lub wywołania paniki społecznej.
Innym groźnym kierunkiem są materiały o charakterze kompromitującym, wymierzone szczególnie w osoby publiczne, w tym polityków. Odpowiednio dobrze przygotowane wideo może doprowadzić do poważnego kryzysu wizerunkowego. Znane materiały tego typu to „fałszywe” orędzie Królowej Elżbiety II czy przemowa Baracka Obamy.
Dlatego też coraz więcej rządów, instytucji oraz podmiotów tworzy i wdraża strategie mające ukrócić ten proceder.
Przykładowo Agencja Reutera już od 2019 roku prowadzi dla dziennikarzy bezpłatne szkolenia mające pomóc im skutecznie identyfikować fałszywe materiały. Facebook z kolei usuwa ze swojego serwisu materiały deepfake, mogące wprowadzić jego użytkowników w błąd. Analogiczne działania podjął też Twitter.
Aspektem szczególnie groźnym z punktu widzenia przedsiębiorców jest jednak wykorzystanie deepfake w cyberprzestępczości. Wielu ekspertów upatruje zagrożenia związanego z tą technologią szczególnie w kontekście wciąż przybierającego na sile phishingu. I niestety, temu zjawisku trudno się dziwić, biorąc pod uwagę, że opiera ono swe funkcjonowanie przede wszystkim na zabiegach socjotechnicznych.
Kolejnym czynnikiem mogącym wpływać na rozwój phishingu jest coraz większa rola technologii wideo w codziennym życiu – zarówno w postaci wideorozmów, jak i przekazywania wiadomości w tej formie. Szczególnie w rozproszonym, zdalnym modelu pracy, z jakim mamy teraz na co dzień do czynienia.
Oczywiście nie każdy cyberzłodziej z apetytem na nasze dane i pieniądze ma odpowiednie umiejętności i dostęp do technologii pozwalającej na przeprowadzenie takiego oszustwa. Ale przecież w dzisiejszych czasach prawie wszystko można kupić jako usługę i nie inaczej jest niestety także z cyberatakami.
Mowa tutaj o CaaS (Cybercrime-as-a-Service), czyli udostępnianiu przez doświadczonych cyberprzestępców narzędzi lub usług mniej zaawansowanym technologicznie oszustom. W rezultacie nawet osoby o ograniczonej wiedzy i doświadczeniu są w stanie ze względną łatwością przeprowadzać ataki, także te polegające na preparowaniu fałszywych nagrań wideo i audio.
Zastanówmy się zatem, jak może wyglądać cyberatak z wykorzystaniem deepfake’a.
Jak nie dać się „złowić” na deepfake?
Wyobraźmy sobie taką sytuację: dostajemy zaproszenie na wideorozmowę ze współpracownikiem czy partnerem w interesach. Odbywamy ją, zdradzając informacje związane z naszą firmą, a po wszystkim okazuje się, że… rozmawialiśmy z osobą podszywającą się pod naszego rozmówcę.
Wbrew pozorom bowiem, oszuści korzystający ze sztucznej inteligencji nie muszą ograniczać się jedynie do tworzenia wizerunku osób publicznych, regularnie grających w filmach czy udzielających wywiadów. Technologia ta poszła do przodu już na tyle, że materiałem źródłowym dla algorytmów może być typowa, regularna aktywność w mediach społecznościowych. To, co robimy na co dzień: publikowanie zdjęć, filmów czy relacji w mediach społecznościowych wystarczy, by stworzyć naszą „wideokopię”.
W jaki sposób możemy zostać zaatakowani przez deepfake?
- e-mail – 78 proc.,
- wiadomości mobilne – 57 proc.,
- głos – 34 proc.,
- kanały społecznościowe – 34 proc.
Jak więc pokazują wyniki badania VMware, kanały, z których może nadejść atak deepfake, nie różnią się aż tak bardzo od tych, które wykorzystywane są do „konwencjonalnych” kampanii phishingowych.
Dlatego też linia obrony przed nimi może bazować w dużej mierze na mechanizmach skutecznie zabezpieczających przed phishingiem jako takim.
Sposoby na obronę przed cyberatakami deepfake:
- zachowaj czujność – nietypowa, nagła prośba, wyjątkowa okazja biznesowa czy obietnica niezwykłych zysków? Zwykle sama treść wiadomości może zdradzić jej nadawcę,
- sprawdzaj – nawet jeśli treść wiadomości czy zaproszenia nie wzbudza Twojej nieufności, zweryfikuj ją z nadawcą, korzystając z innego kanału komunikacji,
- stwórz wideohasło – tajne słowo znane tylko współpracownikom, o które poprosisz podczas rozmowy, pozwoli zweryfikować, czy ktoś nie podszywa się pod Twojego rozmówcę,
- „to nie na rozmowę wideo” – ustal ze współpracownikami listę działań oraz informacji, o jakie nigdy nie poprosicie się w wideorozmowie czy poprzez wiadomość głosową lub wideo,
- zwracaj uwagę na rozmówcę – technologia deepfake wciąż nie jest doskonała. Dziwny ruch warg, oszczędna mimika, nienaturalne ruchy głowy, brak synchronizacji dźwięku z obrazem czy artefakty wokół włosów mogą łatwo zdradzić „podróbkę”,
Inną metodą stosowaną przez cyberprzestępców może być tak zwane hakerstwo biometryczne, czyli używanie wygenerowanych kopii wizerunku (twarzy, głosu) w celu ominięcia zabezpieczeń stosowanych np. w dostępach do bankowości elektronicznej. Tutaj receptą może być klasyczny środek bezpieczeństwa, jaki powinniśmy stosować w sieci, czyli korzystanie z uwierzytelniania dwuskładnikowego wszędzie, gdzie jest to możliwe.
Deepfake vs. firma – jak wygrać?
Ale podstawowym narzędziem obrony przed atakami deepfake jest przede wszystkim świadomość ich istnienia. Dlatego tak ważna jest edukacja w zakresie cyberbezpieczeństwa – jasne zdefiniowanie zagrożenia, możliwe kanały ataku i środki bezpieczeństwa, jakie powinniśmy podjąć.
Drugim elementem ułatwiającym odróżnienie „fałszywek” od realnych ludzi jest oczywiście zabezpieczanie dróg, którymi mogą nadejść takie ataki. Zidentyfikowanie próby oszustwa na poziomie odpowiednio chronionej skrzynki e-mail może zniweczyć cały wysiłek cyberprzestępców, niezależnie od tego, z jak doskonałych algorytmów by korzystali.
Jak to często bywa, najlepszą odpowiedzią na technologię jest inna technologia. Już teraz istnieją i są rozwijane rozwiązania mające sprawdzać autentyczność filmów – DeepFake-o-meter. Inna droga obrony przed deepfake’ami to odpowiednie oznaczanie tworzonych materiałów, np. przez stosowanie niewidocznych dla oka znaków wodnych. W przypadku próby manipulacji nimi takie oznaczenie stanie się widoczne, obnażając oszustwo.
Choć więc technologia deepfake rozwija się, a cybezprzestępcy upatrują w niej swoich szans, możemy się przed nimi bronić, a kluczowym orężem jest oczywiście nasza czujność. Gdy ją zachowamy, deepfake będzie dostarczał nam jedynie rozrywki, a nie powodów do zmartwień.