In januari 2024 ontving een financiële werknemer van een multinational met hoofdzetel in Hongkong een e-mail van de chief financial officer (CFO) van het bedrijf in het Verenigd Koninkrijk. Het bericht vermeldde het uitvoeren van vertrouwelijke transacties, iets ongewoons, maar een videogesprek zou de situatie opklaren.
Het gesprek omvatte verschillende hoge functionarissen van de organisatie, dus de werknemer in Hongkong ging over tot het verrichten van 15 betalingen, met een totaal van 200 miljoen Hongkongse dollars (ongeveer 25,6 miljoen Amerikaanse dollars), naar vijf lokale bankrekeningen. Pas toen hij de transacties vermeldde bij het hoofdkantoor werd de fraude ontdekt.
De CFO had nooit om de overboekingen gevraagd. De mensen in het gesprek waren zelfs niet echt. Alles was georkestreerd door een cybercrimineel.
De superintendent van de politie van Hongkong, Baron Chan Shun-ching, legde uit aan Radio Television Hong Kong dat de oplichter waarschijnlijk de video’s van tevoren had gedownload en kunstmatige intelligentie gebruikte om valse stemmen toe te voegen aan de videoconferentie.
Dit is geen geïsoleerd geval. De politie van Hongkong heeft ten minste 20 gevallen gevonden waarbij machine learning is gebruikt om deepfakes te creëren en geld te verkrijgen door bedrog, meldde CNN. Deskundigen waarschuwen dat deze trend nog maar net begint.
“Het escaleert”, zegt Todd Wade, een expert op het gebied van informatiebeveiliging. “Criminele bendes zijn callcentra aan het opzetten over de hele wereld en beheren deze als bedrijven. En ze groeien”.
De technologische vooruitgang en het gebruik van kunstmatige intelligentie (AI) hebben de ontwikkeling van fraude mogelijk gemaakt die traditionele verdedigingen omzeilt en het zwakste schakel van elke cybersecuritystrategie aanvalt: de mensen.
Nick Biasini, hoofd van het uitreikingsbureau bij Cisco Talos, stelt dat “sociale engineering een steeds grotere rol speelt in dit landschap. We zien meer en meer dreigingsactoren die niet noodzakelijk technisch geavanceerd zijn, maar wel goed in het manipuleren van mensen”.
Deze toename in de verfijning van op AI gebaseerde bedreigingen is een andere drijvende factor. In het afgelopen jaar zijn technologische vooruitgangen zover gekomen dat het steeds moeilijker wordt om een deepfake van de werkelijkheid te onderscheiden.
Terwijl het voorheen makkelijk was om een deepfake te herkennen door vreemde spreekpatronen of slecht getekende handen, worden deze problemen snel overwonnen. Nog zorgwekkender is dat AI nu realistische deepfakes kan creëren met zeer kleine trainingssets.
“Er zijn veel callcentra die je alleen bellen om je stem op te nemen”, zegt Luke Secrist, CEO van het ethische hackingbedrijf BuddoBot. “De telefoontjes die je ontvangt zonder antwoord, proberen je op te nemen terwijl je ‘Hallo, wie is dit?’ zegt. Ze hebben slechts een fragment nodig”.
Volgens cybersecurityexpert Mark T. Hofmann is “dertig seconden van rauw materiaal, hetzij stem of video, genoeg om deepfake-klonen te creëren in een kwaliteit die zelfs je echtgenote, echtgenoot of kinderen niet kunnen onderscheiden van jou. Niemand is veilig”.
In veel gevallen hoeft een cybercrimineel je niet eens te bellen. Sociale media staan vol met audio- en videomateriaal. Bovendien “zijn er ook veel datalekken die persoonlijke informatie bevatten zoals je adres, telefoonnummer, e-mail, burgerservicenummer… Voor social engineering-aanvallen kunnen ze deze informatie gebruiken om zich voor te doen als iemand met autoriteit”, zegt Wade.
Eenmaal een social engineering-aanval gestart, spelen de cybercriminelen in op mentale zwaktes om te krijgen wat ze willen. Zo kunnen ze je laten geloven dat je kind is ontvoerd of dat je baan in gevaar is als je niet een gunst doet voor je baas.
Standaard cyberverdedigingen hebben weinig te bieden om dit te voorkomen. Daarom “is de menselijke firewall belangrijker dan ooit als we het hebben over social engineering en deepfakes”, zegt Hofmann. “We moeten mensen informeren over de nieuwe risico’s, zonder ze bang te maken”.
Een goede vuistregel in de wereld van deepfakes is om elke ongebruikelijke verzoek te wantrouwen, ongeacht van wie het lijkt te komen. Hofmann stelt voor dat families een codewoord afspreken om in geval van twijfel te gebruiken.
In zakelijke omgevingen is “beveiligingsvragen stellen of terugbellen naar het echte nummer een goed advies”, voegt hij toe. “Ze kunnen je stem stelen, maar niet je kennis”.
Biasini is het ermee eens dat de beste manier om de dreiging van deepfakes te verslaan onderwijs is, ten minste totdat de authenticatietechnologie een manier vindt om echte identiteiten van valse te onderscheiden. “Wanneer we dit soort activiteiten vinden, zorgen we ervoor dat ze aan het licht komen”, zegt hij.
“Een van de belangrijkste dingen die je kunt doen, is deze kennis naar de massa’s brengen, omdat niet iedereen zich bewust is van deze soorten bedreigingen”.
Bron: Cisco