מסעות פרסום זדוניים הכוללים שימוש בטכנולוגיות Deep Fake קרובים הרבה יותר ממה שרבים יכולים להניח. יתר על כן, הפחתה וזיהוי שלהם קשים.
מחקר חדש על השימוש והשימוש לרעה בזיופים עמוקים על ידי פושעי סייבר מראה שכל המרכיבים הדרושים לשימוש נרחב בטכנולוגיה נמצאים במקום וזמינים בשווקים מחתרתיים ובפורומים פתוחים. המחקר של Trend Micro מראה שהרבה דיוג המותאם לזיוף עמוק, פגיעה בדוא"ל עסקי (BEC) והונאות קידום מכירות כבר מתרחשות והן מעצב מחדש במהירות את נוף האיומים.
כבר לא איום היפותטי
"מאיומים היפותטיים והוכחת-קונספטים, [התקפות עם זיוף עמוק] עברו לשלב שבו פושעים לא בוגרים מסוגלים להשתמש בטכנולוגיות כאלה", אומר ולדימיר קרופוטוב, חוקר אבטחה ב-Trend Micro והמחבר הראשי של דיווח על הנושא שספק האבטחה פרסם השבוע.
"אנחנו כבר רואים כיצד זיופים עמוקים משולבים בהתקפות נגד מוסדות פיננסיים, הונאות וניסיונות להתחזות לפוליטיקאים", הוא אומר, ומוסיף שמה שמפחיד הוא שרבות מההתקפות הללו משתמשות בזהות של אנשים אמיתיים - לעתים קרובות מגורדים מתוכן שהם מפרסמים ב-social. רשתות מדיה.
אחת הנקודות העיקריות מהמחקר של Trend Micro היא הזמינות המוכנה של כלים, תמונות וסרטונים ליצירת זיופים עמוקים. ספק האבטחה גילה, למשל, שפורומים מרובים, כולל GitHub, מציעים קוד מקור לפיתוח זיופים עמוקים לכל מי שרוצה בכך. באופן דומה, מספיק תמונות וסרטונים באיכות גבוהה של אנשים ואנשי ציבור רגילים זמינים לשחקנים גרועים כדי שיוכלו ליצור מיליוני זהויות מזויפות או להתחזות לפוליטיקאים, מנהיגים עסקיים ואישים מפורסמים אחרים.
הביקוש לשירותי Deepfake ולאנשים בעלי מומחיות בנושא גובר גם בפורומים מחתרתיים. Trend Micro מצאה מודעות של פושעים שחיפשו כישורים אלה כדי לבצע הונאות מטבעות קריפטוגרפיים והונאות המכוונות לחשבונות פיננסיים בודדים.
"שחקנים כבר יכולים להתחזות ולגנוב את זהותם של פוליטיקאים, בכירים בדרג C וסלבריטאים", אמרה טרנד מיקרו בדו"ח שלה. "זה יכול להגדיל משמעותית את שיעור ההצלחה של התקפות מסוימות כמו תוכניות פיננסיות, קמפיינים של דיסאינפורמציה קצרי מועד, מניפולציות של דעת הקהל וסחיטה".
שפע של סיכונים
ישנו סיכון גובר גם לכך שזהויות גנובות או משוחזרות השייכות לאנשים רגילים ישמשו להונות את הקורבנות שהתחזות, או לביצוע פעילויות זדוניות בזהותם.
בקבוצות דיון רבות, Trend Micro מצאה משתמשים דנים באופן פעיל בדרכים להשתמש בזיופים עמוקים כדי לעקוף בקרות בנקאות ובקרות אימות חשבונות אחרות - במיוחד אלו הכוללות שיטות אימות וידאו ופנים אל פנים.
למשל, פושעים יכולים להשתמש בזהות של קורבן ולהשתמש בסרטון מזויף עמוק שלו כדי לפתוח חשבונות בנק, שיוכלו לשמש מאוחר יותר לפעילויות הלבנת הון. באופן דומה הם יכולים לחטוף חשבונות, להתחזות למנהלים בכירים בארגונים כדי ליזום העברת כספים במרמה או לשתול ראיות מזויפות כדי לסחוט אנשים, אמר טרנד מיקרו.
מכשירים כמו אלקסה של אמזון והאייפון, המשתמשים בזיהוי קול או פנים, עשויים להיות בקרוב ברשימת מכשירי היעד להתקפות מבוססות זיוף עמוק, ציין ספק האבטחה.
"מכיוון שחברות רבות עדיין עובדות במצב מרוחק או מעורב, יש סיכון מוגבר ל התחזות לעובדים בשיחות ועידה מה שיכול להשפיע על תקשורת עסקית פנימית וחיצונית ועל תהליכים עסקיים רגישים וזרימות פיננסיות", אומר קרופוטוב.
Trend Micro לא לבד בהשמעת אזעקה על זיופים עמוקים. סקר מקוון שנערך לאחרונה על ידי VMware בקרב 125 אנשי מקצוע בתחום אבטחת סייבר ותגובה לאירועים מצא גם כי איומים בעלי זיוף עמוק לא רק מגיעים - הם כבר כאן. 66% מדהים - עלייה של 13% משנת 2021 - מהנשאלים אמרו שהם חוו תקרית אבטחה שכללה שימוש בזיוף עמוק במהלך 12 החודשים האחרונים.
"דוגמאות להתקפות מזויפות עמוקות [כבר] בהן נצפו כוללות שיחות קוליות של מנכ"ל לסמנכ"ל כספים מוביל להעברה בנקאית, כמו גם קריאות עובדים ל-IT כדי ליזום איפוס סיסמה", אומר ריק מקלרוי, אסטרטג אבטחת הסייבר הראשי של VMware.
מעט הקלות עבור התקפות Deepfake וזיהוי קשה
באופן כללי, סוגים אלה של התקפות יכולים להיות יעילים, מכיוון שעדיין לא קיימים תיקונים טכנולוגיים שיתמודדו עם האתגר, אומר מקלרוי.
"בהתחשב בשימוש הגובר והתחכום ביצירת זיופים עמוקים, אני רואה בזה את אחד האיומים הגדולים ביותר על ארגונים מנקודת מבט של הונאה והונאה שמתקדמים קדימה", הוא מזהיר.
הדרך היעילה ביותר להפחית את האיום כרגע היא להגביר את המודעות לבעיה בקרב צוותי כספים, מנהלים ו-IT שהם היעדים העיקריים להתקפות ההנדסה החברתית הללו.
"ארגונים יכולים לשקול שיטות לואו-טק כדי לשבור את המעגל. זה יכול לכלול שימוש באתגר ובמשפט סיסמה בקרב מנהלים בעת העברת כספים לארגון או תהליך אישור דו-שלבי ומאומת", הוא אומר.
גיל דבאח, מייסד שותף ומנכ"ל פיאנו, ממליץ גם הוא בקרת גישה קפדנית כאמצעי מקל. לאף משתמש לא צריכה להיות גישה לנתחים גדולים של נתונים אישיים וארגונים צריכים להגדיר מגבלות תעריפים כמו גם זיהוי חריגות, הוא אומר.
"אפילו מערכות כמו בינה עסקית, שדורשות ניתוח ביג דאטה, צריכות לגשת רק לנתונים מיסוכים", מציין דבאח, ומוסיף כי אין לשמור נתונים אישיים רגישים בטקסט רגיל ונתונים כגון PII צריכים להיות סמליים ומוגנים.
בינתיים בחזית הגילוי, התפתחויות בטכנולוגיות כגון מבוססות בינה מלאכותית רשתות אדפרסיביות כלליות (GANs) הפכו את זיהוי הזיופים העמוקים לקשים יותר. "זה אומר שאנחנו לא יכולים להסתמך על תוכן שמכיל רמזים של 'חפץ' שחל שינוי", אומר לו שטיינברג, מייסד שותף ושותף מנהל ב-CTM Insights.
כדי לזהות תוכן שעבר מניפולציות, ארגונים צריכים טביעות אצבע או חתימות שמוכיחות שמשהו לא השתנה, הוא מוסיף.
"אפילו טוב יותר הוא לקחת טביעות מיקרו על חלקים מהתוכן ולהיות מסוגל לזהות מה השתנה ומה לא", הוא אומר. "זה בעל ערך רב כאשר תמונה נערכה, אבל אפילו יותר כאשר מישהו מנסה להסתיר תמונה מזיהוי."
שלוש קטגוריות איום רחבות
שטיינברג אומר שאיומים מזויפים עמוקים מתחלקים לשלוש קטגוריות רחבות. הראשון הוא קמפיינים של דיסאינפורמציה הכוללים בעיקר עריכות של תוכן לגיטימי כדי לשנות את המשמעות. כדוגמה, סטיינברג מצביע על שחקנים במדינות לאום המשתמשות בתמונות וסרטונים מזויפים של חדשות מזויפות במדיה החברתית או בהכנסת מישהו לתמונה שלא הייתה נוכחת במקור - משהו שמשמש לעתים קרובות לדברים כמו תמיכה מרומזת של מוצרים או פורנו נקמה.
קטגוריה נוספת כוללת שינויים עדינים בתמונות, סמלי לוגו ותוכן אחר כדי לעקוף כלי זיהוי אוטומטיים כמו אלה המשמשים לזיהוי סמלי לוגו של מוצרים, תמונות המשמשות בקמפיינים דיוגים או אפילו כלים לזיהוי פורנוגרפיית ילדים.
הקטגוריה השלישית כוללת זיופים עמוקים סינתטיים או מרוכבים שנגזרים מאוסף של מקוריות כדי ליצור משהו חדש לגמרי, אומר שטיינברג.
"התחלנו לראות את זה עם אודיו לפני כמה שנים, תוך שימוש בדיבור מסונתז במחשב כדי להביס את טביעות הקול במרכזי שירותים פיננסיים", הוא אומר. "הוידאו משמש כעת לדברים כמו גרסה מודרנית של התפשרות באימייל עסקי או כדי לפגוע במוניטין בכך שמישהו 'אומר' משהו שהוא מעולם לא אמר."
