Oszustwa głosowe deepfake: Wszystko, co musisz wiedzieć

Tym samym właśnie odkryłeś świat deepfake audio, w którym cyberprzestępcy korzystając z zaawansowanego oprogramowania zasilanego przez sztuczną inteligencję, klonują głosy najważniejszych osób w danych organizacjach, firmach, a nawet rządach państw. Dzięki temu mogą skłonić dowolną osobę w firmie, która najczęściej znajduje się niżej w hierarchii i jest zobligowana do spełniania poleceń służbowych, do wykonywania najróżniejszych poleceń, związanych głównie z udostępnianiem danych osobowych lub przesyłaniem pieniędzy.

Na czym polegają oszustwa głosowe deepfake?

Warto rozpocząć od stwierdzenia faktów. Deepfake audio to technologia, która rozwija się niezwykle prężnie. W przeciwieństwie do deepfake w postaci filmów wideo, które podbijają świat aplikacji Instagramowych i internetowych programów rozrywkowych, deepfake audio nadal pozostaje poza kręgiem zainteresowania ogółu co sprawia, że oszustwa głosowe stają się coraz bardziej niebezpieczne. Jest to jeden z tych rodzajów cyberprzestępstw, który jest niezwykle trudny do wykrycia i do zabezpieczenia tradycyjnymi metodami, takimi jak popularne sieci VPN: https://nordvpn.com/pl/ lub oprogramowanie antyszpiegowskie.

Na początku wydawało się, że oszustwa głosowe deepfake nie będą realnym zagrożeniem, gdyż stworzenie idealnego klonu głosu wymagałoby długich godzin pracy, wielu realistycznych i trudnych do zdobycia próbek audio i ogromnych nakładów pieniężnych. Niestety, okazuje się, że tak naprawdę każdy ma obecnie dostęp do darmowego oprogramowania, które korzystając z próbki głosu może go sklonować zaledwie w ciągu kilku sekund. Oznacza to, że w praktyce sklonować głos CEO danej firmy, polityka lub celebryty może zrobić każdy, kto ma dostęp na przykład do krótkiego filmu na YouTube z wypowiedzią danej osoby. W jednym z najbardziej niebezpiecznych scenariuszów sfałszowany głos polityka wygłaszającego rasistowskie przemówienie może wpłynąć na wynik wyborów, a nawet podżegać inne grupy społeczne do przemocy.

Oszustwa głosowe stają się coraz łatwiej dostępne, więc prawdopodobnie będą coraz częściej używane jako środek ataku. Dodatkowo cyberoszuści korzystają z Generative Adversarial Networks (GAN). GAN jest rodzajem zaawansowanego algorytmu, który może stworzyć zupełnie nowe dane korzystając z istniejącego zbioru innych informacji. GAN jest w stanie przeanalizować tysiące nagrań głosu jednej osoby i na tej podstawie stworzyć zupełnie nowy plik audio, który brzmi tak samo jak oryginał i używa tych samych wzorców mowy (akcentu, szybkości mówienia, specyficznego wymawiania głosek).

Klonowanie głosu a vishing

Klonowanie głosu jest zaawansowaną formą vishingu (ang. voice phishing), czyli wykorzystywania rozmów telefonicznych do wyłudzania danych osobowych lub pieniędzy. W tym przypadku oszust podaje się za pracownika innej firmy, znajomego członka rodziny lub kogoś, kogo głos nie jest znany docelowemu rozmówcy. Podczas rozmowy telefonicznej typu vishing oszust wykorzystuje określoną socjotechnikę, aby nakłonić rozmówcę do udostępnienia wrażliwych danych osobowych i danych finansowych, takich jak numery kont i hasła. Dzwoniący może na przykład powiedzieć, że ktoś włamał się na konto rozmówcy, stwierdzić, że reprezentuje bank lub organy ścigania, lub zaoferować swoją pomoc w instalacji (prawdopodobnie złośliwego) oprogramowania.

Vishing to tylko jedna z form phishingu, czyli przekazywania dowolnego rodzaju wiadomości - na przykład wiadomości e-mail, SMS-ów, połączeń telefonicznych lub wiadomości na czacie - które wydają się pochodzić z zaufanego źródła, ale nimi nie są. Celem jest kradzież czyjejś tożsamości lub pieniędzy. Kontaktowanie się z coraz większą liczbą osób też jest coraz łatwiejsze. Oszuści są w stanie wykonywać po setki połączeń naraz, korzystając z technologii VoIP (Voice over Internet Protocol) i podszywać się pod identyfikator dzwoniącego, aby wywołać wrażenie, jakby pochodziło ono z zaufanego źródła, takiego jak bank.

Sklonowanie głosu to pójście o krok dalej i przekazanie rozmówcy fałszywego poczucia bezpieczeństwa. Rozmówca z łatwością rozpoznaje głos osoby dzwoniącej, więc łatwiej jest nakłonić go do spełnienia poleceń oszusta. Wszystko, co jest potrzebne, aby stworzyć naturalną kopię czyjegoś głosu, to uzyskanie dostępu do wielu plików audio, które zawierają głos osoby, za którą chce się podszyć oszust. Im więcej dostępnych danych i im lepsza ich jakość, tym bardziej zaawansowany i realistyczny będzie stworzony klon głosu. Bez wątpienia próbki głosów wielu dyrektorów dużych firm można łatwo zebrać korzystając z nagranych rozmów telefonicznych o zarobkach, wywiadów telewizyjnych i przemówień. Stworzenie nagrania jak najbardziej zbliżonego do ideału wymaga wyłącznie dużej ilości czasu i danych.

Cyberprzestępstwa z wykorzystaniem oszustw głosowych

Niestety pierwsze skuteczne ataki z wykorzystaniem oszustw głosowych doprowadziły już kilka firm do poważnych problemów. Jeden z pierwszych tego rodzaju incydentów miał miejsce w sierpniu 2019 roku, kiedy to przy pomocy deepfake, który naśladował głos CEO wyłudzono z jednej z firmy ponad 220 000 euro. Ofiarą stał się dyrektor generalny brytyjskiej firmy energetycznej, który przesłał tak dużą kwotę węgierskiemu dostawcy po odebraniu fałszywego telefonu. Cyberprzestępców podających się za CEO firmy nigdy nie złapano.

Jak się chronić przed atakami deepfake audio?

W związku z tym, że oszustwa deepfake audio coraz częściej dotykają dużych firm, organizacje te starają się one wdrożyć specjalne procedury, dzięki którym mogą uchronić swój zespół przed atakami. Oto kilka praktycznych i co najważniejsze skutecznych sposobów na ochronę przed deepfake audio:

1. Wieloskładnikowa autoryzacja. Założeniem oszustwa deepfake jest nakłonienie jednej osoby do wykonania określonego działania. Jeżeli w firmie będzie istniała procedura odnosząca się do konkretnych czynności (na przykład do procesowania transakcji finansowych lub przekazywania wrażliwych informacji), atak deepfake audio może zostać skutecznie zablokowany. Skuteczny proces powinien być kilkuetapowy i obejmować różne kanały. Na przykład: każda duża transakcja finansowa powinna wymagać dodatkowego potwierdzenia od innego managera, wysłania wiadomości e-mail z oficjalnego konta lub podania hasła.
2. Takie same zasady dla wszystkich. Każdy pracownik danej organizacji powinien mieć pewność co do tego, że ustanowione zasady w firmie dotyczą wszystkich bez wyjątku. Jeżeli w polityce firmy widnieje informacja o zakazie wykonywania transakcji finansowych wyłącznie na polecenie telefoniczne, powinno mieć to zastosowanie również do CEO. Nieoczekiwany telefon od managera wyższego szczebla zostanie wtedy automatycznie uznany za podejrzany.
3. Próba oddzwonienia. Eksperci twierdzą, że jednym z najprostszych sposobów na wykrycie oszustwa jest odłożenie słuchawki i oddzwonienie na ten sam numer, z którego pochodziło podejrzane połączenie.
4. Korzystanie z najnowocześniejszych rozwiązań bezpieczeństwa. Największe firmy zajmujące się dbaniem o bezpieczeństwo swoich klientów wprowadzają do swojej oferty oprogramowanie wykrywające fałszywe nagrania audio.

Najważniejsze w walce z oszustwami głosowymi pozostaje bycie czujnym. Oznacza to, że nawet najdoskonalsze procedury nie zastąpią głosu rozsądku i samodzielnego sprawdzania wszystkich podejrzanych informacji. Nieocenioną wartość mogą mieć szkolenia dla pracowników i uzmysłowienie im skali niebezpieczeństwa, jakie może grozić całej firmie przez odebranie jednego, fałszywego połączenia telefonicznego.

Rozwój technologii w walce z deepfake audio

Zestawiają one ze sobą różne systemy uczenia się i używają ich do zbadania tego, czy dana próbka audio zawiera nagranie głosu prawdziwej osoby i czy człowiek jest w stanie wydać wszystkie dźwięki, które znajdują się w próbce. Jedna sekunda dźwięku może zawierać nawet do 50 tysięcy różnych próbek zdatnych do analizy. Na przykład, dwa dźwięki wokalne posiadają odpowiednią separację czasową względem siebie, co oznacza, że człowiek nie jest w stanie wypowiedzieć ich szybciej, ze względu na ograniczenia mięśni ust i strun głosowych.