آیا باید آنچه میشنوید باور داشته باشیم؟ پاسخ به طور قطع منفی است. در اینجا به خطراتی که یک کسب و کار و سازمان را تهدید میکند و نحوهی شکست دادن دیپفیکرها میپردازیم.
زمانی بود که میتوانستیم هر چیزی را که میبینیم و میشنویم باور کنیم. متأسفانه، آن روزها احتمالاً مدتهاست که گذشته است. هوش مصنوعی مولد (GenAI) ایجاد صدا و تصویر دیپفیک را ساده تر کرده است، تا جایی که تولید یک کلیپ ساختگی به آسانی فشار دادن یک یا دو دکمه است!
دیپفیکها به کلاهبرداران کمک میکنند تا از بررسیهای احراز هویت حساب و احراز هویت مشتری خود را بشناسند. آنها حتی میتوانند به هکرهای مخرب اجازه دهند تا خود را به عنوان کاندیداهای شغلی جا بزنند. اما مسلماً بزرگترین تهدیدی که آنها ایجاد میکنند، کلاهبرداری مالی/انتقال وجه و ربودن حسابهای مدیران اجرایی است.
سازمانها تهدید دیپفیک را دست کم میگیرند و این خطر را به جان میخرند. دولت بریتانیا ادعا میکند که سال گذشته هشت میلیون کلیپ مصنوعی به اشتراک گذاشته شده است، در حالی که این رقم در سال ۲۰۲۳ تنها 500.000 بوده است. رقم واقعی ممکن است بسیار بیشتر باشد.
نحوه عملکرد حملات
همانطور که در آزمایشان ESET، نشان داده شده است، انجام یک حمله صوتی دیپ فیک به کسب و کارها هرگز آسانتر از این زمان فعلی نبوده است. تنها چیزی که نیاز دارد یک کلیپ کوتاه از قربانی است که قرار است جعل هویت شود. GenAI بقیه کارها را انجام خواهد داد. در اینجا نحوه انجام یک حمله آمده است:
- یک مهاجم شخصی را که قرار است جعل هویت کند انتخاب میکند. این شخص ممکن است مدیرعامل، مدیر مالی یا حتی یک تأمینکننده باشد
- آنها یک نمونه صوتی را به صورت آنلاین پیدا میکنند – که برای مدیران ارشدی که مرتباً در ملاء عام صحبت میکنند، بسیار آسان است. این صدا ممکن است از یک حساب رسانه اجتماعی، یک جلسه توجیهی، یک مصاحبه ویدیویی/تلویزیونی یا هر منبع دیگری باشد. چند ثانیه فیلم باید کافی باشد.
- آنها شخصی را که باید با او تماس بگیرند انتخاب میکنند. اینکار ممکن است نیاز به کمی تحقیق داشته باشد – معمولاً جستجوی کارکنان بخش پشتیبانی فناوری اطلاعات یا اعضای تیم مالی در لینکدین.
- آنها ممکن است مستقیماً با فرد تماس بگیرند یا از قبل ایمیلی ارسال کنند – برای مثال، مدیرعاملی که درخواست انتقال فوری پول، درخواست تنظیم مجدد رمز عبور/احراز هویت چند عاملی (MFA) یا درخواست پرداخت هزینه فاکتور معوقه از یک تأمینکننده را دارد.
- آنها با هدف از پیش انتخاب شده تماس میگیرند و با استفاده از صدای دیپفیک تولید شده توسط GenAI خود را به جای مدیرعامل/تأمینکننده جا میزنند. بسته به ابزار، آنها ممکن است به گفتار از پیش نوشته شده پایبند باشند یا از روش پیچیدهتر «گفتار به گفتار» استفاده کنند که در آن صدای مهاجم تقریباً به صورت آنی به صدای قربانی آنها ترجمه میشود.
شنیدن، باور کردن است
این نوع حمله ارزانتر، آسانتر و متقاعدکنندهتر میشود. برخی ابزارها حتی قادر به وارد کردن نویز پسزمینه، مکثها و لکنتها هستند تا صدای تقلید شده باورپذیرتر به نظر برسد. آنها در تقلید ریتمها، آهنگ صدا و تیکهای کلامی منحصر به فرد هر گوینده نیز حرفه ای عمل کرده و هنگامی که حملهای از طریق تلفن انجام میشود، ممکن است درک اشکالات مربوط به هوش مصنوعی برای شنونده در لحظه دشوارتر باشد.
مهاجمان همچنین ممکن است از تاکتیکهای مهندسی اجتماعی، مانند ایجاد فشار بر شنونده برای پاسخ فوری به درخواستشان، برای رسیدن به اهداف خود استفاده کنند. یکی دیگر از روشهای کلاسیک، ترغیب شنونده به محرمانه نگه داشتن درخواست است. به این نکته نیز باید توجه کرد که آنها اغلب خود را به عنوان یک مدیر ارشد جا میزنند و به راحتی میتوان فهمید که چرا برخی از قربانیان فریب میخورند.
با این اوصاف، راههایی برای تشخیص یک فرد متقلب وجود دارد. بسته به اینکه GenAI مورد استفاده آنها چقدر پیچیده باشد، ممکن است بتوان موارد زیر را تشخیص داد:
- ریتم غیرطبیعی در گفتار گوینده
- لحن احساسی غیرطبیعی و یکنواخت در صدای گوینده
- تنفس غیرطبیعی یا حتی جملات بدون نفس
- صدای رباتیک غیرمعمول (هنگامی که از ابزارهای سادهتر استفاده میکنند)
- صدای پسزمینه که یا به طرز عجیبی وجود ندارد یا بیش از حد یکنواخت است!
مرحله بعدی فرآیند است. موارد زیر را در نظر بگیرید:
- تأیید خارج از باند هرگونه درخواست مبتنی بر تلفن – یعنی استفاده از حسابهای پیامرسان شرکتی برای بررسی مستقل با فرستنده
- دو نفر برای تأیید هرگونه انتقال مالی بزرگ یا تغییر در جزئیات بانکی تأمینکننده
- عبارات عبور یا سؤالات از پیش توافقشده که مدیران باید برای اثبات اینکه همان کسی هستند که از طریق تلفن میگویند، به آنها پاسخ دهند.
فناوری نیز میتواند کمک کند. ابزارهای تشخیص برای بررسی پارامترهای مختلف برای وجود صدای مصنوعی وجود دارد. پیادهسازی آن دشوارتر است، اما یک اقدام دیگر محدود کردن فرصتهای مهاجمان برای دستیابی به صدا، با محدود کردن حضور عمومی مدیران است.
افراد، فرآیند و فناوری
با این حال، نکته اصلی این است که دیپ فیکها ساده هستند و هزینه تولید کمی دارند. با توجه به مبالغ هنگفتی که احتمالاً برای کلاهبرداران در نظر گرفته میشود، بعید است که به این زودیها شاهد پایان کلاهبرداریهای شبیهسازی صدا باشیم. بنابراین، یک رویکرد سهجانبه مبتنی بر افراد، فرآیند و فناوری بهترین گزینهای است که سازمانها برای کاهش ریسک نیاز دارد.
پس از تأیید یک طرح، به یاد داشته باشید که مرتباً آن را بررسی کنید تا حتی با پیشرفت نوآوری هوش مصنوعی، برای هدف مورد نظر مناسب باقی بماند. چشمانداز جدید کلاهبرداری سایبری نیازمند توجه مداوم است.
منبع: