Securitywatch: oplichters gaan phishing met deepfakes

Ik krijg niet veel vragen over mijn werk van mijn familie. Ze zijn, begrijpelijkerwijs, veel meer geïnteresseerd in de hijinks van mijn ratten en mijn hond. Maar wanneer ik wordt gevraagd naar beveiliging, willen mensen altijd weten waarom de slechte dingen gebeuren. Er zijn veel antwoorden op die vraag, maar waar ik altijd op terugkom is eenvoudig: geld.

Ransomware? Gemakkelijk geld voor aanvallers. Phishing? Niets dan contant geld. Spam? Allerlei manieren om geld te verdienen met mensen die op links klikken. Datalekken? Dat spul wordt gebruikt voor fraude en de rest wordt verkocht (om te worden gebruikt voor meer fraude). Natiestaat aanvallen? Natuurlijk is er een ideologie, maar als je bedenkt dat Amerikaanse sancties ongetwijfeld een rol hebben gespeeld in de motivatie van Rusland om de verkiezingen van 2016 aan te vallen, staat geld op het spel. En dat is niet te vergeten de hackers van de natiestaat voor extra geld.

Niet op die lijst staan ​​deepfakes, video's waarmee is geknoeid, meestal met behulp van AI-technologie. We hebben gezichten van beroemdheden zien ruilen op lichamen van pornosterren en gemanipuleerde gezichten en stemmen van politici om hen te laten lijken dingen te zeggen die ze eigenlijk niet zeiden. Soms zijn ze gemaakt om wild opruiende samenzweringen te promoten; verraderlijker zijn de tijden waarin ze worden gemanipuleerd om dingen te zeggen die door toeschouwers kunnen worden gesuggereerd.

Deepfakes zijn de afgelopen maanden veel besproken, uit angst dat ze kunnen worden gebruikt in campagnes met verkeerde informatie om de kiezers in verwarring te brengen. Dat is (nog) niet op grote schaal gebeurd, maar pornografische deepfakes hebben al veel mensen beschadigd. Dus waarom noemen we dit een nieuwe dreiging? Waarschijnlijk omdat er geen voor de hand liggende manier was om er direct geld mee te verdienen. Dat veranderde deze week, omdat er wordt gemeld dat deepfakes zijn gebruikt om bedrijven voor honderdduizenden dollars te fleece.

Nieuwe tools, dezelfde oude Con

Achteraf gezien had ik het moeten zien aankomen. Social engineering - een fraaie manier om mensen te bedriegen - is een aloude tool voor het overtreden van digitale beveiliging of simpelweg snel geld verdienen. De toevoeging van deepfakes in de trickery is een perfecte pasvorm.

De Wall Street Journal meldde dat sommige slimme aanvallers een diep nep-stemmodel bouwden dat ze gebruikten om een ​​andere werknemer te overtuigen dat ze met de CEO van het bedrijf spraken. De werknemer autoriseerde vervolgens een overboeking van ongeveer $ 243.000. In zijn eigen rapportage schreef The Washington Post: "Onderzoekers van het cybersecuritybedrijf Symantec zeiden dat ze ten minste drie gevallen hebben gevonden waarin de stemmen van leidinggevenden werden nagebootst om bedrijven op te lichten." De geschatte afstand wordt gemeten in miljoenen dollars.

Voor mijn eigen opbouw ging ik zitten en probeerde ik de geschiedenis van deepfakes te achterhalen. Het is echt een concept voor het nepnieuws-tijdperk en begon eind 2017 in een Vice-artikel over face-swapped pornografie op Reddit. Het eerste gebruik van "deepfakes" was eigenlijk de gebruikersnaam van de persoon die de pornografische video's plaatste met het gezicht, maar niet het lichaam, van Gal Gadot, Scarlett Johansson en anderen.

In slechts een paar maanden ging de bezorgdheid over deepfakes over naar de politiek. Er verschenen filmpjes met opvallende politieke figuren, en dit is waar ik (en de rest van de veiligheidsgemeenschap) vast kwam te zitten. In navolging van de verkeerde informatie van Rusland tijdens de Amerikaanse verkiezingen van 2016, was (en is dat nog steeds) een idee van bijna niet te onderscheiden nepvideo's die de verkiezingscyclus van 2020 overspoelen. Het haalt ook de krantenkoppen en is een van die projecten voor het algemeen belang die beveiligingsbedrijven echt leuk vinden.

Ik zou nalatig zijn als ik niet zou wijzen op de beperkingen van deepfakes. Ten eerste heb je audioclips nodig van de persoon die je probeert na te doen. Dit is de reden waarom beroemdheden en politici in de nationale schijnwerpers voor de hand liggende doelen zijn voor deepfakery. Onderzoekers hebben echter al aangetoond dat slechts ongeveer een minuut audio nodig is om een ​​overtuigende audio-deepfake te creëren. Luisteren naar een oproep van een publieke investeerder, nieuwsinterview of (God helpe u) een TED-talk zou waarschijnlijk meer dan genoeg zijn.

Ik vraag me ook af hoe goed je deepfake-model zelfs moet werken om effectief te zijn. Een medewerker op laag niveau heeft bijvoorbeeld geen idee hoe de CEO klinkt (of er zelfs uitziet), waardoor ik me afvraag of een redelijke plausibele en gezaghebbende stem voldoende is om de klus te klaren.

Waarom het geld ertoe doet

Criminelen zijn slim. Ze willen zoveel mogelijk geld verdienen, snel, gemakkelijk en met het minste risico. Wanneer iemand een nieuwe manier bedenkt om die dingen te doen, volgen anderen. Ransomware is een goed voorbeeld. Versleuteling bestaat al tientallen jaren, maar toen criminelen het eenmaal gingen wapenen voor gemakkelijk geld, leidde het tot een explosie van ransomware.

Deepfakes die met succes worden gebruikt als hulpmiddel bij wat neerkomt op een gespecialiseerde speervisaanval, is het bewijs van een nieuw concept. Misschien zal het niet op dezelfde manier pannen als ransomware - het vereist nog steeds aanzienlijke inspanningen en eenvoudiger zwendel werkt. Maar criminelen hebben bewezen dat deepfakes op deze nieuwe manier kunnen werken, dus we moeten op zijn minst wat meer criminele experimenten verwachten.

• Hoe Amerikaanse verkiezingen te beschermen voordat het te laat is Hoe Amerikaanse verkiezingen te beschermen voordat het te laat is
• Verkiezingsinvloed campagnes: te goedkoop voor oplichters Campagne met invloed op verkiezingen: te goedkoop voor oplichters
• Russische Intel-agentschappen zijn een giftige stoofpot van concurrentie en sabotage Russische Intel-agentschappen zijn een giftige stoofpot van concurrentie en sabotage

In plaats van zich te richten op CEO's, zouden oplichters zich kunnen richten op gewone mensen voor kleinere uitbetalingen. Het is niet moeilijk om je een oplichter voor te stellen die video's gebruikt die op Facebook of Instagram zijn gepost om diepgaande stemmodellen te maken om mensen te overtuigen dat hun familieleden veel geld nodig hebben per bankoverschrijving. Of misschien krijgt de bloeiende robocall-industrie een diepe laag voor extra verwarring. Je hoort misschien de stem van een vriend naast het zien van een bekend telefoonnummer. Er is ook geen reden waarom deze processen niet tot op zekere hoogte zouden kunnen worden geautomatiseerd, omdat ze spraakmodellen produceren en vooraf afgesproken scripts doorlopen.

Niets van dit alles is om de potentiële schade van deepfakes bij verkiezingen, of het geld dat met die operaties is verbonden, te verdisconteren. Naarmate criminelen meer bedreven raken met deepfake-tools en die tools beter worden, is het mogelijk dat er een marktplaats voor deepfakes-for-hire ontstaat. Net zoals slechteriken tijd kunnen besteden op botnets voor snode doeleinden, kunnen criminele bedrijven die zich toeleggen op het creëren van deepfakes op contract verschijnen.

Gelukkig creëert een geldelijke stimulans voor de slechteriken er een voor de goeden. De opkomst van ransomware leidde tot betere antimalware voor het detecteren van kwaadaardige codering en het voorkomen van het overnemen van systemen. Er wordt al gewerkt aan het detecteren van deepfakes en hopelijk zullen die inspanningen alleen maar worden versterkt door de komst van deepfake phishing. Dat is weinig troost voor de mensen die al zijn opgelicht, maar het is goed nieuws voor de rest van ons.