Hackeri na svoje útoky začali využívať umelú inteligenciu, konkrétne technológiu deepfake, najčastejšie vo forme falošných video hovorov. Hoci sa snažia o takmer dokonalé podvody, existujú spôsoby ako sa nestať obeťou.
Predstavte si nasledujúcu situáciu. Dostanete správu od šéfa alebo kolegu, že s vami potrebuje niečo dôležité vyriešiť online. Či už na platforme Teams alebo Zoom. Má ísť dokonca o naliehavú záležitosť.
Pripojíte sa na online stretnutie, kde sa na vás dotyčná osoba pozerá cez webkameru a pýta sa na interné firemné údaje. Možno vám to príde zvláštne, ale keďže ide o videohovor, nakoniec odpoviete na to, čo váš šéf alebo kolega potrebuje. V tej chvíli ste sa stávate obeťou hackerského útoku.
Deepfake – nový druh podvodov
Hackeri začali využívať nové typy útokov, vrátane falošných videohovorov. Zapojili do nich umelú inteligenciu alebo technológiu generatívnej adverznej siete. Pomocou nej dokážu v reálnom čase nahradiť podvodníkovu tvár tak, aby vyzerala ako niekto iný a bola napadnutej osobe známa.
„Čelíme novým typom útokov a podvodov, ktoré sú založené na známych princípoch, ale ich technologická realizácia je na oveľa vyššej úrovni,“ hovorí Milan Kubálek, konzultant českej IT spoločnosti Trask, ktorá sa zaoberá umelou inteligenciou. Podľa neho je preto potrebné byť na sofistikovanejšie útoky dobre pripravený.
„Do istej miery sme sa naučili dávať si pozor na phishingové útoky, ktoré vykonávajú prostredníctvom e-mailu. Ale čo ak vám napríklad zavolá nadriadený, ktorý potrebuje rýchlo získať prístup k určitým citlivým údajom? V telefóne vidíte jeho kontaktné údaje, počujete jeho hlas a vidíte jeho tvár. Okrem toho váš šéf plynule reaguje na všetky otázky a podnety,“ hovorí Kubálek.
Prípady útokov u nás
Podľa výskumu spoločnosti Mandiant, ktorá sa zaoberá kybernetickou bezpečnosťou, boli zdokumentované prvé známe prípady, keď sa technológia deepfake videa predávala online, priamo na účely phishingových podvodov.
Reklamy na hackerských fórach a kanáloch siete Telegram v angličtine a ruštine sa pýšili tým, že softvér dokáže replikovať podobu osoby, aby bol pokus o vydieranie alebo podvod ešte autentickejší.
Podobné prípady sa objavili aj v našom regióne. Dalibor Cicman, zakladateľ e-shopu GymBeam, opísal skúsenosť s hackerským útokom, keď sa jeho deepfake kópia zúčastnila videohovoru.
„Kolega dostal v aplikácii WhatsApp správu z účtu, ktorý sa veľmi podobal môjmu. V mojom mene napísal, že sa s kolegom potrebujem rýchlo spojiť a poslal odkaz na Teams. Vo videohovore bola deepfake kópia mňa spolu s ďalšou osobou. Moja kópia osobu predstavila ako nášho externého právneho zástupcu a väčšinu moderoval on,“ opísal Cicman na sociálnej sieti LinkedIn a dodal, že hackeri sa snažili dopracovať k výške zostatkov na bankových účtoch firmy.
Ako ich spoznať?
V takýchto prípadoch musíte postupovať opatrne. Držte sa zásady – nedôveruj a overuj. Ako to urobiť? Falošný videohovor s asistenciou umelej inteligencie možno odhaliť napríklad položením triviálnej otázky o aktuálnej skutočnosti.
„Ak máme hovor s fiktívnou osobou, ktorú poznáme, môžeme sa opýtať na skutočnosť, ktorá nie je verejne publikovaná. Ak máme silné podozrenie, môžeme hovor ukončiť a zavolať danej osobe späť,“ radí Milan Kubálek zo spoločnosti Trask.
„Vo všeobecnosti platí, že pokiaľ si nie sme stopercentne istí, s kým komunikujeme, nikdy nezverejňujeme žiadne osobné a už vôbec nie citlivé údaje,“ dodáva.
Mali by sme sa obávať, že čoskoro bude každý druhý videohovor falošný a my nebudeme vedieť, kedy hovoríme so skutočným človekom alebo sa nás zamerali hackeri? Pravdepodobne nie.
Hoci modely hlbokého učenia výrazne napredujú, najmä vďaka vývoju generatívnej umelej inteligencie, stále majú slabiny, ktoré môžeme využiť pri odhaľovaní falošných videohovorov.
Po prvé, vyžadujú vysoký výpočtový výkon. „Na generovanie falošného videa vo vysokej kvalite a v reálnom čase je potrebné mať špecializované výpočtové stanice s výkonnými grafickými kartami,“ vysvetľuje Kubálek. Tieto stanice stoja desaťtisíce eur v závislosti od výkonu grafických prostriedkov. Útočníci často používajú videá s výrazne nižšou kvalitou, ktoré sú na prvý pohľad rozmazané.
Na to, aby podvodník vytvoril skutočne dôveryhodnú kópiu, potrebuje aj veľké množstvo vašich vysokokvalitných fotografií alebo videí.
Hoci je s rozšírením sociálnych médií čoraz jednoduchšie získať údaje o komkoľvek, čím menej kvalitných vstupných údajov podvodník má, tým viac úsilia musí vynaložiť na to, aby podvodné video vyzeralo reálne.
„Medzi štandardné nedostatky podvodných videí patrí plastický výraz tváre, neproporcionálne symetrické črty, napríklad ľavé ucho je iné ako pravé, alebo šušťanie okolo tváre,“ zhrnul Kubálek.
Autorom tohto článku je Martin Bajtler z Forbes Česko.