Rumah Jam keamanan Securitywatch: scammers melakukan phishing dengan deepfakes

Securitywatch: scammers melakukan phishing dengan deepfakes

Daftar Isi:

Video: Reacting To My Deepfakes.. (Desember 2024)

Video: Reacting To My Deepfakes.. (Desember 2024)
Anonim

Saya tidak mendapatkan banyak pertanyaan tentang pekerjaan saya dari keluarga saya. Maklum, mereka jauh lebih tertarik pada hijink tikus dan anjing saya. Tetapi ketika saya ditanya tentang keamanan, orang selalu ingin tahu mengapa hal-hal buruk terjadi. Ada banyak jawaban untuk pertanyaan itu, tetapi jawaban yang selalu saya kembalikan sederhana: uang.

Ransomware? Uang tunai mudah untuk penyerang. Pengelabuan? Hanya uang tunai. Spam? Segala macam cara untuk memonetisasi tautan yang diklik orang. Pelanggaran data? Barang-barang itu digunakan untuk penipuan dan sisanya dijual (untuk digunakan untuk penipuan lainnya). Serangan negara bangsa? Tentu ada ideologi, tetapi ketika Anda mempertimbangkan bahwa sanksi AS tidak diragukan lagi berperan dalam motivasi Rusia untuk menyerang pemilu 2016, uang ada dalam persamaan. Dan itu belum lagi peretas negara bagian yang mencari uang ekstra.

Tidak ada dalam daftar itu adalah deepfake, video yang telah dirusak, umumnya menggunakan teknologi berbasis AI. Kami telah melihat wajah-wajah selebritas bertukar ke tubuh para bintang porno dan wajah serta suara para politisi dimanipulasi untuk membuat mereka tampak mengatakan hal-hal yang sebenarnya tidak mereka katakan. Terkadang mereka dibuat untuk mempromosikan konspirasi yang sangat memanas; yang lebih berbahaya adalah saat-saat mereka dimanipulasi untuk mengatakan hal-hal yang bisa dilihat pemirsa yang dapat kesulitan membedakan dari kebenaran.

Deepfakes telah banyak dibicarakan dalam beberapa bulan terakhir karena takut bahwa mereka dapat digunakan dalam kampanye informasi yang salah untuk membingungkan pemilih. Itu belum terjadi dalam skala besar (belum), tetapi deepfake pornografi telah merusak banyak orang. Jadi mengapa kita menyebutnya ancaman yang muncul? Mungkin karena tidak ada cara yang jelas untuk memonetisasi mereka secara langsung. Itu berubah minggu ini, seperti yang dilaporkan bahwa deepfake telah digunakan untuk meredam korporasi seharga ratusan ribu dolar.

Alat Baru, Kon Tua yang Sama

Kalau dipikir-pikir, aku seharusnya melihatnya datang. Rekayasa sosial - cara mewah untuk mengatakan "menipu orang" -adalah alat yang dihormati waktu untuk menembus keamanan digital atau sekadar menghasilkan uang dengan cepat. Penambahan deepfake dalam tipuan sangat pas.

The Wall Street Journal melaporkan bahwa beberapa penyerang yang pandai membangun model suara deepfake yang mereka gunakan untuk meyakinkan karyawan lain bahwa mereka berbicara kepada CEO perusahaan. Karyawan itu kemudian mengizinkan transfer kawat sejumlah $ 243.000. Dalam laporannya sendiri, The Washington Post menulis, "Para peneliti di perusahaan cybersecurity Symantec mengatakan mereka telah menemukan setidaknya tiga kasus suara eksekutif ditiru untuk menipu perusahaan." Perkiraan tangkapan diukur dalam jutaan dolar.

Untuk peneguhan saya sendiri, saya duduk dan mencoba menelusuri sejarah deepfakes. Ini benar-benar sebuah konsep untuk era berita palsu, dan dimulai pada akhir 2017 dalam sebuah artikel Wakil tentang pornografi bertukar muka yang diposting di Reddit. Penggunaan pertama "deepfakes" sebenarnya adalah nama pengguna individu yang memposting video porno yang menampilkan wajah, tetapi bukan tubuh, dari Gal Gadot, Scarlett Johansson, dan lainnya.

Hanya dalam beberapa bulan, kekhawatiran tentang deepfake pindah ke politik. Video muncul tokoh-tokoh politik lampooning, dan ini adalah di mana saya (dan sebagian besar komunitas keamanan) terjebak. Setelah informasi yang salah dari Rusia selama pemilu AS 2016, gagasan video palsu yang hampir tidak bisa dibedakan membanjiri siklus pemilu 2020 (dan masih) mengerikan. Ini juga menjadi berita utama, dan merupakan salah satu proyek untuk kebaikan publik yang sangat disukai perusahaan keamanan.

Saya akan lalai jika saya tidak menunjukkan keterbatasan deepfakes. Untuk satu hal, Anda memerlukan klip audio dari orang yang Anda coba tiru. Inilah sebabnya mengapa selebritas dan politisi yang menjadi sorotan nasional adalah target yang jelas untuk deepfakery. Namun, para peneliti telah menunjukkan bahwa hanya sekitar satu menit audio diperlukan untuk membuat deepfake audio yang meyakinkan. Mendengarkan panggilan investor umum, wawancara berita, atau (semoga Tuhan membantu Anda) suatu pembicaraan TED mungkin akan lebih dari cukup.

Juga, saya bertanya-tanya seberapa baik model deepfake Anda bahkan perlu beroperasi untuk menjadi efektif. Karyawan tingkat rendah, misalnya, mungkin tidak tahu seperti apa suara CEO (atau bahkan terlihat seperti), yang membuat saya bertanya-tanya apakah ada suara masuk akal dan berwibawa yang cukup untuk menyelesaikan pekerjaan.

Mengapa Uang Penting?

Penjahat itu pintar. Mereka ingin menghasilkan uang sebanyak yang mereka bisa, dengan cepat, mudah, dan dengan risiko paling sedikit. Ketika seseorang menemukan cara baru untuk melakukan hal-hal itu, orang lain mengikuti. Ransomware adalah contoh yang bagus. Enkripsi telah ada selama beberapa dekade, tetapi begitu para penjahat mulai mempersenjatai untuk uang tunai, itu menyebabkan ledakan ransomware.

Deepfakes berhasil digunakan sebagai alat dalam jumlah yang merupakan serangan spearfishing khusus adalah bukti dari konsep baru. Mungkin itu tidak akan berjalan dengan cara yang sama seperti ransomware - masih membutuhkan usaha yang cukup besar, dan penipuan yang lebih sederhana berhasil. Tetapi para penjahat telah membuktikan bahwa deepfake dapat bekerja dengan cara novel ini, jadi kita setidaknya harus mengharapkan beberapa eksperimen kriminal lagi.

  • Cara Melindungi Pemilu AS Sebelum Terlambat Cara Melindungi Pemilu AS Sebelum Terlambat
  • Kampanye Pengaruh Pemilu: Terlalu Murah bagi Scammers untuk Melewatkan Kampanye Pengaruh Pemilu: Terlalu Murah bagi Scammers untuk Melewatkan
  • Instansi Intel Rusia Adalah Pemburu Persaingan dan Sabotase Beracun Rusia Agen Intelektual Adalah Pemburu Persaingan dan Sabotase Beracun

Alih-alih menargetkan CEO, scammers dapat menargetkan orang-orang biasa untuk pembayaran yang lebih kecil. Tidak sulit membayangkan seorang scammer menggunakan video yang diposting di Facebook atau Instagram untuk membuat model suara yang mendalam untuk meyakinkan orang-orang bahwa anggota keluarga mereka membutuhkan banyak uang yang dikirim melalui transfer. Atau mungkin industri robocall yang berkembang akan mendapatkan lapisan deepfake untuk menambah kebingungan. Anda mungkin mendengar suara teman selain melihat nomor telepon yang sudah dikenal. Tidak ada alasan mengapa proses ini tidak dapat menjadi otomatis sampai batas tertentu, menghasilkan model suara dan menjalankan skrip yang telah diatur sebelumnya.

Tak satu pun dari ini adalah untuk diskon potensi kerusakan deepfakes dalam pemilihan, atau uang yang diikat dalam operasi tersebut. Ketika penjahat menjadi lebih mahir dengan alat deepfake, dan alat-alat itu menjadi lebih baik, mungkin pasar marketfake-untuk-menyewa bisa muncul. Sama seperti orang jahat dapat menyewakan waktu pada botnet untuk tujuan jahat, korporasi kriminal yang didedikasikan untuk menciptakan deepfake pada kontrak dapat muncul.

Untungnya, insentif moneter untuk orang jahat menciptakan satu untuk orang baik. Munculnya ransomware menyebabkan antimalware yang lebih baik untuk mendeteksi enkripsi berbahaya dan mencegahnya mengambil alih sistem. Sudah ada pekerjaan yang dilakukan untuk mendeteksi deepfake, dan mudah-mudahan, upaya-upaya itu hanya akan dikuasai oleh kedatangan phishing deepfake. Itu sedikit kenyamanan bagi orang-orang yang telah ditipu, tetapi ini adalah kabar baik bagi kita semua.

Securitywatch: scammers melakukan phishing dengan deepfakes