Głębokie oszustwo, czyli jak deepfake może zagrozić firmom
Cyberbezpieczeństwo 1 marca 2023 4 minuty czytania

Głębokie oszustwo, czyli jak deepfake może zagrozić firmom

Dostajesz od znajomego mailowe zaproszenie na wideorozmowę, podczas której masz otrzymać niesamowitą propozycję biznesową? Uważaj, to może być oszustwo. Dowiedz się, jak cyberprzestępcy wykorzystują technologię deepfake i jak się przed nią obronić.


Na początek wyjaśnijmy, czym jest deepfake i na jakiej zasadzie działa. Sama nazwa pochodzi od połączenia angielskich terminów „deep learning”, czyli „głębokie uczenie” oraz „fake” – „fałszywy”. Mówiąc najprościej, to technologia polegająca na preparowaniu obrazu czy dźwięku przy użyciu sztucznej inteligencji – na przykład podmianie twarzy, gestów, głosu czy mimiki na wizerunek innej osoby.

Newsletter-blog-B2B

Pierwszy znany przypadek wykorzystania tej technologii odnotowano w 2017 roku, kiedy to do sieci trafiły „filmy dla dorosłych” z twarzami znanych osób. Osób, które oczywiście nigdy w tych produkcjach nie zagrały.

Oszustwo, ale niegroźne


Od tej pory technologia deepfake stale się rozwija, a najnowsze materiały przygotowane z jej wykorzystaniem są coraz trudniejsze do odróżnienia od prawdziwych filmów. Wraz z rosnącymi możliwościami deepfake’ów pojawiają się również kolejne możliwości ich zastosowań. Pierwsze to cele czysto rozrywkowe, zyskujące miliony wyświetleń na serwisach takich jak YouTube.

Przykłady rozrywkowych deepfake’ów:

  • wideo z Kitem Haringtonem przepraszającym za ostatni sezon „Gry o Tron”,
  • materiał z „wielojęzycznym” Davidem Beckhamem,
  • film z Tomem Cruise’em pokazujący skalę możliwości tej technologii,
  • „poprawiony” przez fanów wizerunek odmłodzonego Marka Hamilla pojawiający się w serialu „Mandalorianin”.

Gdy deepfake staje się bronią


Ale technologia ta ma również swoją drugą, zdecydowanie mroczniejszą stronę.

Pierwszy z niepokojących aspektów deepfake’ów, na który należy zwrócić uwagę, to użycie ich w celach dezinformacyjnych, w szczególności do przekazywania i popularyzowania tak zwanych fake newsów, czyli informacji mających celowo wprowadzić w błąd odbiorców. Działania takie mogą być bardzo poważne w skutkach, prowadzić nawet do konfliktów czy skandali dyplomatycznych lub wywołania paniki społecznej.

Innym groźnym kierunkiem są materiały o charakterze kompromitującym, wymierzone szczególnie w osoby publiczne, w tym polityków. Odpowiednio dobrze przygotowane wideo może doprowadzić do poważnego kryzysu wizerunkowego. Znane materiały tego typu to „fałszywe” orędzie Królowej Elżbiety II czy przemowa Baracka Obamy.

Dlatego też coraz więcej rządów, instytucji oraz podmiotów tworzy i wdraża strategie mające ukrócić ten proceder.

Przykładowo Agencja Reutera już od 2019 roku prowadzi dla dziennikarzy bezpłatne szkolenia mające pomóc im skutecznie identyfikować fałszywe materiały. Facebook z kolei usuwa ze swojego serwisu materiały deepfake, mogące wprowadzić jego użytkowników w błąd. Analogiczne działania podjął też Twitter.

Aż 66 proc. respondentów miało do czynienia z atakiem typu deepfake w ciągu ostatnich 12 miesięcy.

VMware Global Incident Response Threat Report

Aspektem szczególnie groźnym z punktu widzenia przedsiębiorców jest jednak wykorzystanie deepfake w cyberprzestępczości. Wielu ekspertów upatruje zagrożenia związanego z tą technologią szczególnie w kontekście wciąż przybierającego na sile phishingu. I niestety, temu zjawisku trudno się dziwić, biorąc pod uwagę, że opiera ono swe funkcjonowanie przede wszystkim na zabiegach socjotechnicznych.

Kolejnym czynnikiem mogącym wpływać na rozwój phishingu jest coraz większa rola technologii wideo w codziennym życiu – zarówno w postaci wideorozmów, jak i przekazywania wiadomości w tej formie. Szczególnie w rozproszonym, zdalnym modelu pracy, z jakim mamy teraz na co dzień do czynienia.

Oczywiście nie każdy cyberzłodziej z apetytem na nasze dane i pieniądze ma odpowiednie umiejętności i dostęp do technologii pozwalającej na przeprowadzenie takiego oszustwa. Ale przecież w dzisiejszych czasach prawie wszystko można kupić jako usługę i nie inaczej jest niestety także z cyberatakami.

Mowa tutaj o CaaS (Cybercrime-as-a-Service), czyli udostępnianiu przez doświadczonych cyberprzestępców narzędzi lub usług mniej zaawansowanym technologicznie oszustom. W rezultacie nawet osoby o ograniczonej wiedzy i doświadczeniu są w stanie ze względną łatwością przeprowadzać ataki, także te polegające na preparowaniu fałszywych nagrań wideo i audio.

Zastanówmy się zatem, jak może wyglądać cyberatak z wykorzystaniem deepfake’a.

Jak nie dać się „złowić” na deepfake?


Wyobraźmy sobie taką sytuację: dostajemy zaproszenie na wideorozmowę ze współpracownikiem czy partnerem w interesach. Odbywamy ją, zdradzając informacje związane z naszą firmą, a po wszystkim okazuje się, że… rozmawialiśmy z osobą podszywającą się pod naszego rozmówcę.

Wbrew pozorom bowiem, oszuści korzystający ze sztucznej inteligencji nie muszą ograniczać się jedynie do tworzenia wizerunku osób publicznych, regularnie grających w filmach czy udzielających wywiadów. Technologia ta poszła do przodu już na tyle, że materiałem źródłowym dla algorytmów może być typowa, regularna aktywność w mediach społecznościowych. To, co robimy na co dzień: publikowanie zdjęć, filmów czy relacji w mediach społecznościowych wystarczy, by stworzyć naszą „wideokopię”.

W jaki sposób możemy zostać zaatakowani przez deepfake?

  • e-mail – 78 proc.,
  • wiadomości mobilne – 57 proc.,
  • głos – 34 proc.,
  • kanały społecznościowe – 34 proc.

Jak więc pokazują wyniki badania VMware, kanały, z których może nadejść atak deepfake, nie różnią się aż tak bardzo od tych, które wykorzystywane są do „konwencjonalnych” kampanii phishingowych.

Dlatego też linia obrony przed nimi może bazować w dużej mierze na mechanizmach skutecznie zabezpieczających przed phishingiem jako takim.

Sposoby na obronę przed cyberatakami deepfake:

  • zachowaj czujność – nietypowa, nagła prośba, wyjątkowa okazja biznesowa czy obietnica niezwykłych zysków? Zwykle sama treść wiadomości może zdradzić jej nadawcę,
  • sprawdzaj – nawet jeśli treść wiadomości czy zaproszenia nie wzbudza Twojej nieufności, zweryfikuj ją z nadawcą, korzystając z innego kanału komunikacji,
  • stwórz wideohasło – tajne słowo znane tylko współpracownikom, o które poprosisz podczas rozmowy, pozwoli zweryfikować, czy ktoś nie podszywa się pod Twojego rozmówcę,
  • „to nie na rozmowę wideo” – ustal ze współpracownikami listę działań oraz informacji, o jakie nigdy nie poprosicie się w wideorozmowie czy poprzez wiadomość głosową lub wideo,
  • zwracaj uwagę na rozmówcę – technologia deepfake wciąż nie jest doskonała. Dziwny ruch warg, oszczędna mimika, nienaturalne ruchy głowy, brak synchronizacji dźwięku z obrazem czy artefakty wokół włosów mogą łatwo zdradzić „podróbkę”,

Inną metodą stosowaną przez cyberprzestępców może być tak zwane hakerstwo biometryczne, czyli używanie wygenerowanych kopii wizerunku (twarzy, głosu) w celu ominięcia zabezpieczeń stosowanych np. w dostępach do bankowości elektronicznej. Tutaj receptą może być klasyczny środek bezpieczeństwa, jaki powinniśmy stosować w sieci, czyli korzystanie z uwierzytelniania dwuskładnikowego wszędzie, gdzie jest to możliwe.

Deepfake vs. firma – jak wygrać?


Ale podstawowym narzędziem obrony przed atakami deepfake jest przede wszystkim świadomość ich istnienia. Dlatego tak ważna jest edukacja w zakresie cyberbezpieczeństwa – jasne zdefiniowanie zagrożenia, możliwe kanały ataku i środki bezpieczeństwa, jakie powinniśmy podjąć.

Drugim elementem ułatwiającym odróżnienie „fałszywek” od realnych ludzi jest oczywiście zabezpieczanie dróg, którymi mogą nadejść takie ataki. Zidentyfikowanie próby oszustwa na poziomie odpowiednio chronionej skrzynki e-mail może zniweczyć cały wysiłek cyberprzestępców, niezależnie od tego, z jak doskonałych algorytmów by korzystali.

Jak to często bywa, najlepszą odpowiedzią na technologię jest inna technologia. Już teraz istnieją i są rozwijane rozwiązania mające sprawdzać autentyczność filmów – DeepFake-o-meter. Inna droga obrony przed deepfake’ami to odpowiednie oznaczanie tworzonych materiałów, np. przez stosowanie niewidocznych dla oka znaków wodnych. W przypadku próby manipulacji nimi takie oznaczenie stanie się widoczne, obnażając oszustwo.

Choć więc technologia deepfake rozwija się, a cybezprzestępcy upatrują w niej swoich szans, możemy się przed nimi bronić, a kluczowym orężem jest oczywiście nasza czujność. Gdy ją zachowamy, deepfake będzie dostarczał nam jedynie rozrywki, a nie powodów do zmartwień.

Masz pytania? Wypełnij formularz. Nasz zespół ekspertów służy pomocą.

Mogą Cię również zainteresować

  • Bezpieczny internet. Cyberbezpieczny samorząd cz. 2

    Bezpieczny internet. Cyberbezpieczny samorząd cz. 2
    Bezpieczny internet. Cyberbezpieczny samorząd cz. 2
    Cyberbezpieczeństwo, Instytucje publiczne 5 czerwca 2024

    Cyberbezpieczeństwo Instytucje publiczne

    Ochrona danych osobowych w sieci jest obecnie istotnym wyzwaniem. Fundamentalne znaczenie ma zapewnienie odpowiednich zabezpieczeń. Granty na bezpieczeństwo internetowe stanowią […]

  • Jak chronić firmę przed atakami DDoS?

    Jak chronić firmę przed atakami DDoS?
    Jak chronić firmę przed atakami DDoS?
    Cyberbezpieczeństwo 15 maja 2024

    Cyberbezpieczeństwo

    Ataki DDoS (ang. Distributed Denial of Service) to coraz częstsze zagrożenie dla firm każdej wielkości. Ich celem jest sparaliżowanie infrastruktury […]

  • CERT Orange Polska podsumowuje 2023 rok

    CERT Orange Polska podsumowuje 2023 rok
    CERT Orange Polska podsumowuje 2023 rok
    Cyberbezpieczeństwo 26 kwietnia 2024

    Cyberbezpieczeństwo

    W jubileuszowej 10. edycji Raportu CERT Orange Polska przeczytacie m.in. o tym, kto i jak nas atakuje w cyberprzestrzeni, jak […]

  • Passwordless i biometria – niewidzialne uwierzytelniania

    Passwordless i biometria – niewidzialne uwierzytelniania
    Passwordless i biometria – niewidzialne uwierzytelniania
    Cyberbezpieczeństwo 9 kwietnia 2024

    Cyberbezpieczeństwo

    Wraz z rosnącym znaczeniem cyberbezpieczeństwa niewystarczające stają się tradycyjne metody uwierzytelniania oparte na hasłach. Alternatywnym podejściem jest passwordless – zbiór […]