Sikkerhedswatch: svindlere phishing med deepfakes

Jeg får ikke mange spørgsmål om mit job fra min familie. De er forståeligt nok langt mere interesserede i hijinks af mine rotter og min hund. Men når jeg bliver spurgt om sikkerhed, ønsker folk altid at vide, hvorfor de dårlige ting sker. Der er mange svar på det spørgsmål, men det, som jeg altid kommer tilbage til, er enkelt: penge.

Ransomware? Nem kontanter for angribere. Phishing? Intet andet end kontanter. Spam? Alle slags måder at tjene penge på folk ved at klikke på links. Dataovertrædelser? Disse ting bliver brugt til svindel, og resten bliver solgt (skal bruges til mere svig). Nationstatsangreb? Sikker på, at der er ideologi, men når man overvejer, at amerikanske sanktioner uden tvivl har spillet en rolle i Ruslands motivation for at angribe valget i 2016, er penge i ligningen. Og det er ikke at nævne nationalstatshackere med måneskinn for ekstra kontanter.

Ikke på denne liste er deepfakes, videoer, der er blevet manipuleret med, generelt ved hjælp af AI-drevet teknologi. Vi har set berømthedes ansigter udskiftet på pornostjerner og krops politikere og ansigter, der er manipuleret, så de ser ud til at sige ting, de ikke faktisk sagde. Nogle gange er de skabt til at fremme vildt inflammatoriske sammensværgelser; mere lumske er de gange, de manipuleres for at sige, at ting, som antydelige seere kan have problemer med at skelne fra sandheden.

Deepfakes er blevet meget omtalt i de seneste måneder af frygt for, at de kunne bruges i fejlinformationskampagner til at forvirre vælgerne. Det har ikke sket i stor skala (endnu), men pornografiske dybder har allerede skadet mange individer. Så hvorfor kalder vi dette en voksende trussel? Sandsynligvis fordi der ikke var en åbenlys måde at direkte tjene penge på dem. Det ændrede sig i denne uge, da det rapporteres, at deepfakes er blevet brugt til fleece-selskaber for hundreder af tusinder af dollars.

Nye værktøjer, samme gamle Con

Bagefter skulle jeg have set det komme. Social engineering - en fancy måde at sige "narre folk" - er et æresbevist værktøj til at overtræde digital sikkerhed eller blot tjene penge hurtigt. Tilsætningen af ​​deepfakes i trickeryet passer perfekt.

Wall Street Journal rapporterede, at nogle kloge angribere byggede en dyb falske stemmemodel, som de brugte til at overbevise en anden medarbejder om, at de talte med virksomhedens administrerende direktør. Medarbejderen godkendte derefter en bankoverførsel på ca. $ 243.000. I sin egen rapportering skrev The Washington Post, "Forskere ved cybersikkerhedsfirmaet Symantec sagde, at de har fundet mindst tre tilfælde af, at ledernes stemmer blev efterlignet for at svindle virksomheder." Den anslåede fangst måles i millioner af dollars.

Til min egen opbygning satte jeg mig ned og prøvede at spore deepfakes historie. Det er virkelig et koncept for den falske nyheds æra, og begyndte i slutningen af ​​2017 i en Vice-artikel om ansigtsudskiftet pornografi, der blev sendt på Reddit. Den første brug af "deepfakes" var faktisk brugernavnet på den enkelte, der sendte de pornografiske videoer, der indeholdt ansigtet, men ikke kroppen, fra Gal Gadot, Scarlett Johansson og andre.

På bare få måneder flyttede bekymringen over deepfakes til politik. Videoer dukkede op, hvor de politiske skikkelser figurerede, og det var her jeg (og det meste af resten af ​​sikkerhedsfællesskabet) sad fast. I kølvandet på den fejlagtige information fra Rusland under valget i USA i 2016 var (og er det stadig) en ærgerlig idé om næsten ikke at skelne falske videoer, der oversvømmer valgcyklen i 2020. Det griber også overskrifter, og er et af disse projekter til det offentlige, som sikkerhedsfirmaer virkelig kan lide.

Jeg ville være forladt, hvis jeg ikke påpegede begrænsningerne af deepfakes. For det første har du brug for lydklip af den person, du prøver at efterligne dig. Dette er grunden til, at berømtheder og politikere i det nationale lys er indlysende mål for deepfakery. Forskere har imidlertid allerede demonstreret, at det kun kræver cirka et minut lyd til at skabe en overbevisende lyddybde. At lytte til et offentligt investoropkald, nyhedssamtale eller (Gud hjælpe dig) en TED-tale ville sandsynligvis være mere end nok.

Desuden undrer jeg mig over, hvor godt din deepfake-model endda har brug for at fungere for at være effektiv. En medarbejder på lavt niveau har for eksempel muligvis ingen idé om, hvordan administrerende direktør lyder (eller endda ser ud), hvilket får mig til at undre sig over, om en rimelig plausibel og autoritativ stemme er nok til at få arbejdet gjort.

Hvorfor penge spørgsmål

Kriminelle er smarte. De vil tjene så mange penge, som de kan, hurtigt, nemt og med mindst mulig risiko. Når nogen finder ud af en ny måde at gøre disse ting på, følger andre. Ransomware er et godt eksempel. Kryptering har eksisteret i årtier, men når kriminelle begyndte at våben det for lette kontanter, førte det til en eksplosion af ransomware.

Deepfakes, der med succes bruges som et værktøj i det, der svarer til et specialiseret spydfiskeangreb, er et bevis på et nyt koncept. Måske panorerer det ikke på samme måde som ransomware - det kræver stadig en betydelig indsats, og enklere svindel fungerer. Men kriminelle har bevist, at deepfakes kan arbejde på denne nye måde, så vi skal i det mindste forvente nogle flere kriminelle eksperimenter.

• Sådan beskyttes amerikanske valg, før de er for sent, hvordan man beskytter amerikanske valg, før de er for sent
• Valgpåvirkningskampagner: For billige for svindlere til at gå op Valgpåvirkningskampagner: For billige for svindlere til at gå op
• Russiske Intel-bureauer er en giftig gryde for konkurrence og Sabotage Russiske Intel-agenturer er en giftig gryde for konkurrence og Sabotage

I stedet for at målrette mod administrerende direktører, kunne svindlere målrette mod almindelige folk for mindre udbetalinger. Det er ikke svært at forestille sig en svindler, der bruger videoer, der er sendt til Facebook eller Instagram, for at skabe dybe falske stemmemodeller for at overbevise folk om, at deres familiemedlemmer har brug for en masse penge sendt via bankoverførsel. Eller måske vil den blomstrende robocall-industri få et dybt falskt lag for ekstra forvirring. Du hører muligvis en vens stemme ud over at se et velkendt telefonnummer. Der er heller ingen grund til, at disse processer ikke kan automatiseres i et vist omfang ved at afværge stemmemodeller og køre gennem forudbestemte scripts.

Intet af dette er at nedbringe den potentielle skade på deepfakes ved valget eller de penge, der er bundet i disse operationer. Efterhånden som kriminelle bliver mere dygtige med deepfake-værktøjer, og disse værktøjer bliver bedre, er det muligt, at der kan dukke op en markedsplads for deepfakes-for-hire. Ligesom dårlige fyre kan leje tid på botnets til uærlige formål, kan kriminelle selskaber, der er dedikeret til at skabe deepfakes på kontrakt, vises.

Heldigvis skaber et monetært incitament for de onde fyre et for de gode fyre. Fremgangen i ransomware førte til bedre antimalware til at opdage ondsindet kryptering og forhindre, at det overtager systemer. Der arbejdes allerede på at registrere deepfakes, og forhåbentlig vil disse bestræbelser kun blive overladet ved ankomsten til deepfake phishing. Det er lidt trøst for de mennesker, der allerede er blevet svindlet, men det er gode nyheder for resten af ​​os.