deepfakes -blogi

Deepfake-uhka on täällä: On aika alkaa rakentaa sitä yrityksen riskienhallintaan

Kun Ison-Britannian kuluttajaoikeuksien mestari Martin Lewis ryhtyi sosiaaliseen mediaan mainostamaan uutta "Quantum AI" -sijoitusjärjestelmää, monet olivat yllättyneitä liikkeestä. Loppujen lopuksi Lewis oli rakentanut luottamusta yleisön keskuudessa monien vuosien ajan kieltäytymällä hyväksymästä kaikenlaisia ​​kaupallisia hankkeita. Itse asiassa videomainos, jossa esiintyy Lewis osoittautui syvälle väärennökseksi. Samankaltaisuuden laatua leimattiin "pelottavaksi" miehelle itselleen, joka varoitti, että tällaiset väärennökset voivat "tuhata elämää".

Se on epäilemättä totta. Mutta kun tekniikkaa käytetään haitallisesti, se ei ole vain petosuhka kuluttajille, vaan se muodostaa valtavan taloudellisen ja maineriskin yrityksille. On riski, että terve tietoturvan hallintajärjestelmä (ISMS) voisi auttaa vähentämään sitä.

Mikä on Deepfake Tech?

Deepfakes käyttää syväoppimisena tunnettua tekoälyteknologiaa luomaan huijausvideoita ja ääniä ihmisistä, joita on vaikea erottaa aidosta sisällöstä. Sitä voidaan käyttää puheen syntetisoimiseen ja kasvojen ilmeiden tehokkaaseen manipulointiin, jotta se näyttäisi siltä, ​​että henkilö sanoo jotain, mitä hän ei ole. Vaikka tekniikalla on laillisia käyttötarkoituksia esimerkiksi elokuvateollisuudessa, sitä käytetään yhä useammin pahanlaatuisiin tarkoituksiin.

Martin Lewisin väärennös on yksi ensimmäisistä kertoista, kun videota on käytetty tällä tavalla sijoituspetosten edistämiseen. Deepfake audio on kuitenkin ollut olemassa jo muutaman vuoden, ja sitä on käytetty huijaamaan vastaanottajia ohjaamaan varoja huijareiden tileille. Tämä tekniikka huijasi brittiläisen Toimitusjohtaja uskomaan syvä väärennetty ääni hänen saksalaisesta pomostaan, joka käskee häntä siirtämään yli 240,000 XNUMX dollaria kolmannen osapuolen tilille. Ja se huijasi japanilaisen managerin uskoa, että hänen emoyrityksensä johtaja oli pyytänyt 35 miljoonan dollarin siirtoa.

Mitkä ovat mahdolliset uhat?

Yllä olevat tapaukset ovat eräänlainen riffi Business email Compromise (BEC) -huijauksesta, eräänlainen ennakkomaksupetos, jossa huijari huijaa uhrit tekemään suuria siirtoja jälkimmäiselle. Yrityksille on kuitenkin tulossa muitakin uhkia. Nämä sisältävät:

Ylilatauksen tietojenkalastelutaktiikat: Yrityksen luotetun tahon, esimerkiksi IT- tai liiketoimintayksikön johtajan, syväfake ääni tai video voi huijata uhrin luovuttamaan valtuustietonsa tai arkaluontoisia yritystietoja. FBI:lla on jo varoitettu Deepfake-äänen työntekijät, joita käytetään yhdessä videoneuvottelualustojen kanssa.

Hae vilpillisesti etätyötä: FBI: llä on myös varoitti syväväärennöksiä, joita käytetään varastettujen henkilötietojen kanssa auttaa huijareita voittamaan etätyötöitä. Yrityksen verkkoyhteyksiä voitaisiin sitten käyttää arkaluonteisten asiakkaiden ja yritysten tietojen varastamiseen.

Henkilöllisyyden tarkistusten ohittaminen: Kasvojen tai puheentunnistus on organisaatioille yhä suositumpi tapa todentaa käyttäjiä, erityisesti asiakkaita. Kuten on eritellyt Europolin, syväväärennöksiä voitaisiin käyttää huijaamaan nämä järjestelmät tarjoamaan tilille pääsyn. Vaikka tämä ei ole suora uhka yrityksen turvallisuudelle, se voi vaikuttaa vakavasti maine- ja taloudellisiin riskeihin.

Asiakkaiden huijaaminen suoraan: Kuten Taniumin turvallisuusneuvonantaja Timothy Morris väittää, äänen syväväärennöksiä voitaisiin käyttää jäljityskampanjoille (phishing text), joissa asiakkaita kehotetaan soittamaan numeroon, jos he eivät tunnista tilillään tiettyä maksua.

"Jos soitat, ystävällinen deepfake, joka edustaa pankkiasi, odottaa ottavansa valtakirjasi ja rahasi", hän selittää ISMS.online-sivustolle. "Samankaltaiset menetelmät voivat hyödyntää syväväärennösten teknistä tukea ja romantiikkahuijauksia."

Disinformaation levittäminen yrityksestä: Yritys saattaa esimerkiksi haluta vaikuttaa kilpailijansa myyntiin ja osakekurssiin julkaisemalla valheellisen videon, jossa toimitusjohtaja väittää, että heidän yrityksensä tuotteet ovat viallisia. 

"Organisaatioiden tai avainhenkilöiden kunnianloukkaamiseen tarkoitetun syvän väärennetyn sisällön levittäminen voi aiheuttaa merkittäviä mainevaurioita", Incoden toimitusjohtaja Ricardo Amper kertoo ISMS.onlinelle. "Manipuloimalla yleistä käsitystä syväväärennöksillä voi olla kauaskantoisia yhteiskunnallisia vaikutuksia, jotka vaikuttavat markkinoiden käsitykseen, asiakkaiden luottamukseen ja jopa poliittiseen ympäristöön."

Kuinka ISMS voi auttaa?

Bulletproofin ISO-konsultin Eze Adighiben mukaan onneksi on olemassa asioita, joita organisaatiot voivat tehdä systemaattisesti vähentääkseen syväväärennösten aiheuttamia riskejä.

"Deepfake liittyy erilaisiin kyberriskejä, että tehokas tietoturvan hallintajärjestelmä (ISMS) vaatimustenmukaisuuskehyksen, kuten ISO 27001, kautta voi tukea lieventämistä. Esimerkkejä näistä riskeistä ovat manipulointihyökkäykset, huijaukset, identiteettivarkaudet, väärennetyt profiilit ja automaattinen väärä tieto", hän kertoo ISMS.online-sivustolle.

”ISMS vaatii kattavan tietoturvariskien arviointi vaikutusanalyysin ja kontrollien valinnan avulla tunnistettujen riskien käsittelemiseksi. Siksi organisaatioiden tulisi harkita syväväärennösten sisällyttämistä riskinarviointitoimintoihinsa ottaen huomioon niiden nykyinen uhka."

Adighiben mukaan ISMS voi auttaa vähentämään syväväärennösriskiä kolmella alueella:

  • Tietoisuuden lisääminen syväväärennöksiin liittyvistä riskeistä työntekijöiden keskuudessa
  • Asianmukaisten teknisten valvontatoimien toteuttaminen syväväärennösten havaitsemiseksi ja estämiseksi
  • Tapahtumien vastaus-/hallintamenetelmien kehittäminen syvähyökkäyksien käsittelemiseksi

Hän selittää, että ISO 27001:ssä luetellut hallintalaitteet, jotka voivat auttaa tässä, ovat tietoturvakoulutus/phishing-simulaatiot, vahvat kulunvalvontavälineet ja turvallisuuden seurantatyökalut. Muut kattavat yksityisyyden ja henkilökohtaisten tunnistetietojen suojan, tietojen poistamisen, turvallisuustapahtumien raportointi ja uhkatiedustelu.

"Nousevien uhkien lieventämiseen perehtyneillä organisaatioilla on jo toimenpiteitä syväväärennösten torjumiseksi, mutta kaikkien yritysten on koosta riippumatta korkea aika arvioida riskit ja ottaa käyttöön oikeat turvatarkastukset", Defense.comin toimitusjohtaja Oliver Pinson- Roxburgh kertoo ISMS.onlinelle.

Hän on oikeassa. Deepfake audio/video ei ole vain yhä realistisempaa. Se on tulossa edullisemmaksi useammalle henkilölle, joilla on ilkeä tarkoitus. siellä ovat myös merkkejä että näitä ominaisuuksia tarjotaan maanalaisen tietoverkkorikollisuuden palveluna. Se on varma tapa demokratisoida se entistä ilkeämmille toimijoille.

 

kirjailija

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Näytä kaikki Phil Muncasterin viestit

Aiheeseen liittyvät julkaisut

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!