Americká FBI v roku 2021 varovala pred novým typom hackerských útokov: deepfake.
A predostrela scenár, v ktorom sa tento typ podvodov môže do dvoch rokov vyvinúť v hlavnú hrozbu pre štát, firmy aj jednotlivcov. A v roku 2023 sme už skutočne mohli pozorovať deepfake na mnohých frontoch a to aj u nás.
O čom je reč? Ide o technológiu umelej inteligencie, ktorá umožňuje vytvárať realistické videá alebo audionahrávky, v ktorých osoby zdanlivo hovoria alebo robia niečo, čo v skutočnosti nikdy nepovedali alebo neurobili. Je čas aj vo firmách začať venovať pozornosť podvodom, ktoré deepfake využívajú. Generatívna umelá inteligencia zažila totiž vďaka jednoduchosti a prístupnosti užívateľských rozhraní v roku 2023 boom – a spolu s ňou bohužiaľ aj deepfake.
Svoju skúsenosť s týmto typom útoku má aj Dalibor Cicman - zakladateľ slovenskej spoločnosti GymBeam, ktorá sa zaoberá predajom fitness produktov. Zažil situáciu, keď sa jeho falošná tvár objavila vo videohovore s jeho kolegom. Vo videohovore bola deepfake kópia šéfa GymBeamu s ďalšou osobou, ktorú predstavila ako externého právnika, ktorý hovor moderoval. Počas telefonátu sa falošná dvojica snažila zistiť zostatky na firemných bankových účtoch.
Počas parlamentných volieb na Slovensku kolovali deepfake videá so zmenenými hlasmi lídra jednej z kandidujúcich strán, ktorý v nich hovoril o tom, ako strana plánuje voľby zmanipulovať.
Už nie je ani pravidlo, že hackeri použijú iba jedno deepfake video. Podvodníci nedávno presvedčili zamestnanca jednej firmy z Hong Kongu, aby na ich účty previedol vyše dvadsať miliónov dolárov. Útočníci vytvorili deepfake verzie niekoľkých kolegov zamestnanca, vrátane finančného riaditeľa firmy. Obeť tohto útoku počas videohovoru previedla cez 15 transakcií za celkom 25,6 milióna dolárov na rôzne bankové účty.
Čo je deepfake?
Deepfake je typ syntetického média, ktoré využíva generatívnu umelú inteligenciu a strojové učenie na tvorbu hyperrealistických obrazov, zvukov či videí. Pomocou pokročilých algoritmov vedia vytvárať realistické imitácie tváre, hlasu a pohybu. Generatívne modely AI totiž vedia generovať obsah, ktorý je podobný existujúcim dátam. A čím viac má deepfake technológia učiacich dát, tým presvedčivejší výsledok vytvorí. Preto sa často objavujú deepfake videá s osobnosťami, ako sú politici, herci alebo inak verejne viditeľné osoby. A výsledok? Podvrhy sa stávajú čoraz presvedčivejšie.
Deepfake video môže vytvoriť ktokoľvek
Keď do vyhľadávača zadáte heslo „AI deepfake generator tools“, rýchlo zistíte, ako ľahko sa človek dostane k nástrojom, s pomocou ktorých môže v priebehu niekoľkých minút vyrobiť ťažko rozpoznateľné deepfake video. Pre firmy sú nebezpečné práve tým, že dokážu vytvárať autentické imitácie napríklad vášho šéfa alebo kolegu. Videá s nimi potom môžu podvodníci využívať na klamlivú komunikáciu so zamestnancami firiem a na ešte sofistikovanejšie podvody.
Je vôbec legálne deepfake videá vytvárať? Legálny status tejto technológie sa líši v závislosti od jurisdikcie jednotlivých štátov a kontextu použitia. Všeobecne ale platí, že vytváranie a šírenie deepfake materiálov nie je samo o sebe nezákonné, pokiaľ neporušujú osobné alebo autorské práva. Tiež je spravidla zakázané vytvárať obsah, ktorý je inak nelegálny (ako napríklad detská pornografia). V niektorých krajinách boli prijaté zákony zamerané špecificky na deepfake, ktoré sa snažia chrániť obete pred zneužitím, najmä v kontexte ohovárania a šírenia nepravdivých informácií. Avšak, vzhľadom na rýchly vývoj technológií legislatíva často zaostáva a nezaoberá sa všetkými aspektami a dôsledkami možného zneužitia.
Deepfake sa stáva kľúčovým prvkom phishingových kampaní a ďalších metód sociálneho inžinierstva. Spomínanému podvodu v kauze GymBeam sa hovorí odborne CEO fraud a je jednou z techník tzv. impersonácie. Ide o techniku, pri ktorej útočník predstiera, že je dôveryhodná osoba alebo entita, aby získal citlivé informácie, prístup k systémom alebo ovplyvnil obeť na vykonávanie akcií, ktoré sú v jeho prospech.
V dôsledku podvodného obsahu môžu podniky utrpieť ďalšie výrazné škody – či už finančné, alebo na reputácii. Fiktívne výroky a rozhovory zo strany vedenia totiž môžu ovplyvniť verejnú mienku. Vydávať sa za vedúcich predstaviteľov firiem alebo finančných úradníkov a získať prístup do sietí organizácie ak citlivým informáciám je tiež čoraz jednoduchšie.
Viete že...
Štatistika Market Insights uvádza, že trh s generatívnou AI tento rok dosiahol veľkosť 44,89 miliard dolárov. Trh s deepfake softwarom, ktorý je postavený práve na generatívnom modele AI, ale už prekonal hodnotu 72,41 miliárd dolárov.
Podľa štúdie spoločnosti KPMG pritom firmy na tento typ hrozby reagujú pomaly. Až 46 % organizácií priznalo, že zatiaľ nepodniklo žiadne špecifické kroky na ochranu pred deepfake a väčšina lídrov veľkých spoločností ešte nevníma potenciál zmanipulovaného obsahu ako jednu z hlavných hrozieb pre svoju organizáciu.
Ako sa brániť pred deepfake podvodmi?
Organizácie môžu podniknúť niekoľko krokov na identifikáciu deepfake:
V prvom rade by mali zvážiť implementáciu technológií na detekciu deepfake a určenie pôvodu mediálneho obsahu skrze overovanie zdroja informácií, názorov odborníkov alebo porovnanie informácií v ňom obsiahnutých s informáciami z iných vierohodných zdrojov.
Dôležité sú tiež nástroje pre verifikáciu v reálnom čase alebo techniky pasívnej detekcie, medzi ktoré patrí napríklad kontrola metadát spojených s podozrivým mediálnym súborom.
Nevyhnutná je ochrana vysoko postavených manažérov a ich komunikácia. AI a strojové učenie možno totiž použiť na sledovanie odchýlok v dátach a odhaľovanie anomálií spojených s deepfake obsahom.
Napríklad Deepware Scanner, nástroj vyvinutý spoločnosťou Deepware, sa zameriava na detekciu deepfake s využitím umelej inteligencie a konvolučných neurónových sietí na analýzu tvárí a pohybov v obrazoch a videách. Microsoft Video Authenticator zase využíva umelú inteligenciu na analýzu a hodnotenie videí s cieľom identifikovať, či obsah vykazuje známky manipulácie. Nástroj je súčasťou iniciatív Microsoftu zameraných na boj proti dezinformáciám. V rámci overovania identity užívateľa je potom nevyhnutným nástrojom aj biometria.
Organizácie môžu tiež podniknúť kroky na minimalizáciu vplyvu škodlivých techník deepfake. Od zdieľania informácií o najčastejšie sa objavujúcich podvodoch cez teoretickú edukáciu až po nácvik reakcií na pokusy o zneužitie dôvery zamestnancov. Odborné školenia sú v rámci prevencie kľúčové, predovšetkým z hľadiska rozpoznania deepfake.
Pozrite sa sami – spoznali by ste v tomto videu deepfake od reality?
Ako spoznať deepfake tvár alebo falošného človeka?
Zamerajte sa na tvár.
Venujte pozornosť tváram a čelu. Zdá sa vám pokožka príliš hladká alebo naopak veľmi vráskavá? Zodpovedá vek pleti vek vlasov a očí?
Skontrolujte aj rozmery tváre. Deepfake môže byť v niektorých rozmeroch nesúrodé.
Pozrite sa na oči a obočie. Objavujú sa tiene na miestach, kde by ste ich očakávali
Venujte pozornosť okuliarom. Dochádza k oslneniu? Nie je odleskov príliš veľa? Mení sa uhol svetla, keď sa osoba pohybuje? Opäť platí, že deepfake nemusí plne napodobniť prirodzené osvetlenie.
U mužských postáv preskúmajte fúzy. Vyzerajú fúzy skutočne? Technológia deepfake dokáže pridať alebo odobrať fúzy, kotlety alebo fúzy. Ani tie ale nemusia vyzerať prirodzene.
Pôsobí znamienka na tvári realisticky?
Mrká osoba normálne, málo, alebo príliš?
Sústreďte sa aj na pohyb pier. Niektoré deepfakes sú založené na synchronizácii pier. Vyzerajú pohyby pier prirodzene?
Pokiaľ máte podozrenie na to, že s vami hovorí (či už cez telefón, alebo videokonferenciu) umelo vytvorená postava alebo niekto, kto sa za niekoho vydáva, spýtajte sa na niečo, čo viete len vy dvaja.
Okrem technologických nástrojov a zvyšovania osobnej ostražitosti je tiež dôležité zaviesť v organizácii pevné procesné a organizačné opatrenia. Napríklad v prípade finančných transakcií je nevyhnutné mať jasne definovaný proces overovania identity a striktne ho dodržiavať. Rovnako dôrazné pravidlá by mali platiť pre žiadosti o oznámenie hesiel alebo prístupových kódov.
Dôležitá je tiež implementácia jasne definovaných komunikačných kanálov, ktoré zaručujú, že žiadna kritická komunikácia nevychádza mimo oficiálne stanovenej platformy. V prípade akýchkoľvek pochybností či nejasností by mali byť tiež zavedené postupy na detekciu odchýlok, napríklad prostredníctvom overovacích otázok alebo dvojitého overenia identity.
Na záver možno povedať, že s rýchlym rozvojom technológie deepfake a generatívnej umelej inteligencie čelíme novej výzve v oblasti kybernetickej bezpečnosti. Ako ukazujú prípady podvodov, ako je kauza GymBeam alebo zneužitie deepfake vo volebnej kampani na Slovensku, je zrejmé, že deepfake predstavujú reálnu a narastajúcu hrozbu. Rozpoznávanie a ochrana pred deepfake sú pritom nevyhnutné pre zachovanie firemnej integrity a ochranu osobných údajov.
Čo si z článku odniesť:
Deepfake zvyšujú riziko finančných strát alebo reputácie firmy a predstavujú sofistikovanejšie metódu sociálneho inžinierstva.
Prostredníctvom deepfake sa môžu podvodníci vydávať za falošných vedúcich predstaviteľov firiem, politiky, celebrity, alebo dokonca každého z nás.
Deepfake útoky cielia na manipuláciu s verejnou mienkou alebo vedú k podvodom v snahe dostať sa k citlivým informáciám.
Kľúčovou prevenciou pre firmy je tréning zamestnancov v rozpoznávaní deepfake a implementácia nástrojov na ich detekciu a zistenie pôvodu mediálneho obsahu.