У дома Securitywatch Securitywatch: измамниците ходят на фишинг с дълбоки фейкове

Securitywatch: измамниците ходят на фишинг с дълбоки фейкове

Съдържание:

Видео: A KSI & Pokimane Deepfake has been made (Ноември 2024)

Видео: A KSI & Pokimane Deepfake has been made (Ноември 2024)
Anonim

Не получавам много въпроси относно работата ми от семейството си. Разбираемо, те са много по-заинтересовани от хижинките на плъховете и моето куче. Но когато ме питат за сигурността, хората неизменно искат да знаят защо се случват лошите неща. На този въпрос има много отговори, но този, към който винаги се връщам, е прост: парите.

Рансъмуер? Лесни пари за нападатели. Фишинг? Нищо освен пари в брой. Спам? Всички видове начини за осигуряване на приходи от хора, щракащи върху връзки. Нарушения на данните? Тези неща свикват за измама, а останалите се продават (за да се използват за повече измами). Национални атаки? Сигурно има идеология, но когато вземете предвид, че американските санкции без съмнение играят роля в мотивацията на Русия за атака на изборите през 2016 г., парите са в уравнението. И това да не говорим за хакери на национална държава, които се осветяват с луни за допълнителни пари.

Не е в този списък дълбоки фейкове, видеоклипове, които са били подправени, като обикновено се използва технология, управлявана от AI. Виждахме лица на известни личности да се сменят върху телата на порнозвездите и лицата и гласовете на политиците, манипулирани, за да изглеждат да казват неща, които всъщност не казват. Понякога се правят за популяризиране на диво възпалителни конспирации; по-коварни са моментите, в които са манипулирани да казват неща, които да предлагат зрители, да имат проблеми с разграничаването от истината.

През последните месеци за дълбоките фейкове се говори много от страх, че те могат да бъдат използвани в кампании за дезинформация за объркване на избирателите. Това все още не се е случило в голям мащаб, но порнографските глупости вече са нанесли щети на много хора. Така че защо наричаме това възникваща заплаха? Вероятно защото нямаше очевиден начин директно да ги реализирате. Това се промени тази седмица, тъй като се съобщава, че дълбоки фейкове са били използвани за изпускане на корпорации за стотици хиляди долари.

Нови инструменти, Същият стар кон

На заден план трябваше да видя как идва. Социалният инженеринг - фантастичен начин да се каже "измамване на хората" - е инструмент, почитан във времето за нарушаване на цифровата сигурност или просто печелене на пари бързо. Добавянето на deepfakes в хитрината е перфектно прилягане.

The Wall Street Journal съобщава, че някои умни нападатели са изградили глас модел, използван за да убедят друг служител, че говорят с изпълнителния директор на компанията. Тогава служителят разреши банков превод в размер на около 243 000 долара. В своето собствено отчитане The Washington Post пише: „Изследователи от фирмата за киберсигурност Symantec заявиха, че са открили поне три случая на гласове на ръководители, имитирани към мошенически компании“. Прогнозната оценка се измерва в милиони долари.

За собственото си назидание седнах и се опитах да проследя историята на deepfakes. Това наистина е концепция за ерата на фалшивите новини и започна в края на 2017 г. в статия на Vice за порнографията, сменяна с лица, публикувана на Reddit. Първата употреба на "deepfakes" всъщност беше потребителското име на индивида, публикувал порнографските видеоклипове, които съдържаха лицето, но не тялото, на Гал Гадот, Скарлет Йохансон и други.

Само за няколко месеца загрижеността за дълбоките фейкове премина към политиката. Появиха се видеоклипове, които посрещат политически фигури, и тук аз (и повечето от останалата част от общността за сигурност) се забих. Вследствие на дезинформацията от Русия по време на изборите през 2016 г. идеята за почти неразличими фалшиви видеоклипове, наводняващи изборния цикъл през 2020 г., беше (и все още е) ужасяваща. Той също грабва заглавия и е един от онези проекти за обществено благо, които охранителните компании наистина харесват.

Ще бъда отхвърлен, ако не посочих ограниченията на deepfakes. За едно нещо, имате нужда от аудиоклипове на човека, за когото се опитвате да се представите. Ето защо знаменитостите и политиците в светлината на прожекторите са очевидни цели за deepfakery. Изследователите обаче вече демонстрираха, че е необходима само около минута аудио за създаване на убедителна аудиофайл. Слушането на повикване от публичен инвеститор, интервю за новини или (Бог да ви помогне) TED разговор вероятно би било повече от достатъчно.

Също така се питам доколко вашият модел на дълбочинни фейкове дори трябва да работи, за да бъде ефективен. Служител на ниско ниво, например, може да няма представа как изглежда главният изпълнителен директор (или дори изглежда), което ме кара да се чудя дали някакъв разумен и правдоподобен глас е достатъчен, за да свърши работата.

Защо парите имат значение

Престъпниците са умни. Те искат да спечелят колкото се може повече пари, бързо, лесно и с най-малко риск. Когато някой измисли нов начин да направи тези неща, други следват. Ransomware е чудесен пример. Шифроването е от десетилетия, но след като престъпниците започнаха да го въоръжават за лесни пари, това доведе до експлозия на откуп.

Използването на дълбочинни фейкове като инструмент в това, което представлява специализирана атака за подводен риболов е доказателство за нова концепция. Може би няма да избягва панорама по същия начин като откупния софтуер - той все още изисква значителни усилия и работят по-прости измами. Престъпниците обаче са доказали, че глупости могат да работят по този нов начин, така че поне трябва да очакваме още няколко криминални експерименти.

  • Как да защитим изборите в САЩ, преди да е твърде късно Как да защитим изборите в САЩ, преди да е твърде късно
  • Кампании за влияние на изборите: твърде евтино, за да излязат измамниците, кампаниите за влияние на изборите: твърде евтино, за да излязат измамници
  • Руските агенции за интелектуална собственост са токсична равенство на конкуренцията и саботажа Руските агенции за разузнаване са токсична позиция на конкуренцията и саботажа

Вместо да се насочват към изпълнителни директори, измамниците могат да се насочат към обикновени хора за по-малки изплащания. Не е трудно да си представите измамник, използващ видеоклипове, публикувани във Facebook или Instagram, за да създаде модели на глафовете, за да убедите хората, че членовете на семейството им се нуждаят от много пари, изпратени по банков път. Или може би процъфтяващата индустрия robocall ще получи слой в дълбочина, за допълнително объркване. Може да чуете гласа на приятел в допълнение към това да видите познат телефонен номер. Също така няма причина тези процеси да не могат да се автоматизират до известна степен, изгласявайки гласови модели и да се изпълняват чрез предварително зададени скриптове.

Нищо от това не е за намаляване на потенциалните щети на дълбоки факове при избори или парите, свързани с тези операции. Тъй като престъпниците стават по-умели с инструментите за дълбоко подправяне, а тези инструменти стават по-добри, възможно е да се появи пазар на глупости за наемане. Точно както лошите момчета могат да наемат време на ботнетите за коварни цели, може да се появят и престъпни корпорации, посветени на създаването на дълбоки файкове.

За щастие, паричен стимул за лошите момчета създава такъв за добрите. Повишаването на ransomware доведе до по-добър антимасов софтуер за откриване на злонамерено криптиране и предотвратяване на превземането на системи. Вече се работи за откриване на дълбоки фейкове и да се надяваме, че тези усилия ще бъдат напълнени само с пристигането на фиш фиш. Това е малко успокоение за хората, които вече са били измамени, но това е добра новина за останалите от нас.

Securitywatch: измамниците ходят на фишинг с дълбоки фейкове