Kwaadaardige campagnes waarbij gebruik wordt gemaakt van deepfake-technologieën zijn veel dichterbij dan velen zouden denken. Bovendien zijn mitigatie en detectie ervan moeilijk.
Een nieuw onderzoek naar het gebruik en misbruik van deepfakes door cybercriminelen toont aan dat alle benodigde elementen voor een wijdverbreid gebruik van de technologie aanwezig zijn en direct beschikbaar zijn in ondergrondse markten en open fora. Uit het onderzoek van Trend Micro blijkt dat veel deepfake-gebaseerde phishing, zakelijke e-mailcompromissen (BEC) en promotionele oplichting al plaatsvinden en snel het dreigingslandschap hervormen.
Niet langer een hypothetische bedreiging
"Van hypothetische en proof-of-concept-bedreigingen zijn [deepfake-enabled aanvallen] naar het stadium verplaatst waarin niet-volwassen criminelen dergelijke technologieën kunnen gebruiken", zegt Vladimir Kropotov, beveiligingsonderzoeker bij Trend Micro en de hoofdauteur van een rapport over het onderwerp dat de beveiligingsleverancier deze week heeft uitgebracht.
'We zien al hoe deepfakes worden geïntegreerd in aanvallen op financiële instellingen, oplichting en pogingen om zich voor te doen als politici', zegt hij, eraan toevoegend dat het angstaanjagende is dat veel van deze aanvallen de identiteit van echte mensen gebruiken - vaak geschraapt uit inhoud die ze op sociale media plaatsen. medianetwerken.
Een van de belangrijkste punten uit het onderzoek van Trend Micro is de onmiddellijke beschikbaarheid van tools, afbeeldingen en video's voor het genereren van deepfakes. De beveiligingsleverancier ontdekte bijvoorbeeld dat meerdere forums, waaronder GitHub, broncode bieden voor het ontwikkelen van deepfakes aan iedereen die dat wil. Evenzo zijn er voldoende hoogwaardige afbeeldingen en video's van gewone personen en publieke figuren beschikbaar voor slechte acteurs om miljoenen valse identiteiten te creëren of om politici, bedrijfsleiders en andere beroemde persoonlijkheden na te bootsen.
De vraag naar deepfake-diensten en mensen met expertise over het onderwerp groeit ook in ondergrondse fora. Trend Micro vond advertenties van criminelen die op zoek waren naar deze vaardigheden om cryptocurrency-zwendel en fraude uit te voeren die gericht waren op individuele financiële rekeningen.
"Acteurs kunnen nu al de identiteit van politici, C-level executives en beroemdheden imiteren en stelen", aldus Trend Micro in zijn rapport. "Dit zou het slagingspercentage van bepaalde aanvallen, zoals financiële regelingen, kortstondige desinformatiecampagnes, manipulatie van de publieke opinie en afpersing, aanzienlijk kunnen verhogen."
Een overvloed aan risico's
Er is ook een groeiend risico dat gestolen of nagemaakte identiteiten van gewone mensen worden gebruikt om de nagebootste slachtoffers te bedriegen, of om kwaadaardige activiteiten uit te voeren onder hun identiteit.
In veel discussiegroepen ontdekte Trend Micro dat gebruikers actief discussieerden over manieren om deepfakes te gebruiken om bank- en andere accountverificatiecontroles te omzeilen, met name die met video- en face-to-face verificatiemethoden.
Criminelen kunnen bijvoorbeeld de identiteit van een slachtoffer gebruiken en een deepfake-video van hen gebruiken om bankrekeningen te openen, die later kunnen worden gebruikt voor witwasactiviteiten. Ze kunnen op dezelfde manier accounts kapen, zich voordoen als leidinggevenden van het hoogste niveau bij organisaties om frauduleuze geldoverdrachten te initiëren of vals bewijsmateriaal te plaatsen om individuen af te persen, aldus Trend Micro.
Apparaten zoals Alexa van Amazon en de iPhone, die spraak- of gezichtsherkenning gebruiken, zouden binnenkort op de lijst van doelapparaten voor op deepfake gebaseerde aanvallen kunnen komen, merkte de beveiligingsleverancier op.
“Omdat veel bedrijven nog steeds op afstand of gemengd werken, is er een verhoogd risico op imitatie van personeel in telefonische vergaderingen die van invloed kunnen zijn op interne en externe bedrijfscommunicatie en gevoelige bedrijfsprocessen en financiële stromen”, zegt Kropotov.
Trend Micro is niet de enige die alarm slaat over deepfakes. Uit een recent online onderzoek dat VMware heeft uitgevoerd onder 125 professionals op het gebied van cyberbeveiliging en incidentrespons, bleek ook dat deepfake-geactiveerde dreigingen niet zomaar komen - ze zijn er al. Maar liefst 66% – een stijging van 13% ten opzichte van 2021 – van de respondenten zei dat ze de afgelopen 12 maanden een beveiligingsincident met deepfake hadden meegemaakt.
“Voorbeelden van deepfake-aanvallen die [reeds] zijn waargenomen, zijn onder meer CEO-spraakoproepen naar een CFO wat leidt tot een overboeking, evenals telefoontjes van medewerkers naar IT om een wachtwoordreset te starten”, zegt Rick McElroy, de belangrijkste cyberbeveiligingsstrateeg van VMware.
Weinig oplossingen voor deepfake-aanvallen en detectie is moeilijk
Over het algemeen kunnen dit soort aanvallen effectief zijn, omdat er nog geen technologische oplossingen beschikbaar zijn om de uitdaging aan te pakken, zegt McElroy.
"Gezien het toenemende gebruik en de verfijning bij het maken van deepfakes, zie ik dit als een van de grootste bedreigingen voor organisaties vanuit het perspectief van fraude en oplichting", waarschuwt hij.
De meest effectieve manier de dreiging op dit moment verminderen is om het bewustzijn van het probleem te vergroten bij financiële, uitvoerende en IT-teams die het belangrijkste doelwit zijn voor deze social engineering-aanvallen.
“Organisaties kunnen low-tech methoden overwegen om de cirkel te doorbreken. Dit kan het gebruik van een uitdaging en wachtwoordzin onder leidinggevenden zijn bij het overboeken van geld uit een organisatie of het hebben van een tweestaps en geverifieerd goedkeuringsproces”, zegt hij.
Gil Dabah, mede-oprichter en CEO van Piaano, beveelt ook strikte toegangscontrole aan als een verzachtende maatregel. Geen enkele gebruiker zou toegang moeten hebben tot grote hoeveelheden persoonlijke gegevens en organisaties moeten snelheidslimieten instellen, evenals anomaliedetectie, zegt hij.
"Zelfs systemen zoals business intelligence, die big data-analyse vereisen, zouden alleen toegang moeten hebben tot gemaskeerde gegevens", merkt Dabah op, eraan toevoegend dat gevoelige persoonlijke gegevens niet in platte tekst mogen worden bewaard en dat gegevens zoals PII tokenized en beschermd moeten worden.
Ondertussen op het detectiefront, ontwikkelingen in technologieën zoals op AI gebaseerde Generatieve tegengestelde netwerken (GAN's) hebben deepfake-detectie moeilijker gemaakt. "Dat betekent dat we niet kunnen vertrouwen op inhoud die 'artefact'-aanwijzingen bevat dat er iets is gewijzigd", zegt Lou Steinberg, medeoprichter en managing partner bij CTM Insights.
Om gemanipuleerde inhoud te detecteren, hebben organisaties vingerafdrukken of handtekeningen nodig die bewijzen dat iets niet verandert, voegt hij eraan toe.
"Nog beter is om microvingerafdrukken over delen van de inhoud te nemen en te kunnen identificeren wat er is veranderd en wat niet", zegt hij. "Dat is erg waardevol wanneer een afbeelding is bewerkt, maar nog meer wanneer iemand probeert een afbeelding te verbergen voor detectie."
Drie brede bedreigingscategorieën
Steinberg zegt dat deepfake-bedreigingen in drie brede categorieën vallen. De eerste zijn desinformatiecampagnes die meestal betrekking hebben op bewerkingen van legitieme inhoud om de betekenis te veranderen. Steinberg wijst bijvoorbeeld op natiestaten die nepnieuwsafbeeldingen en -video's op sociale media gebruiken of iemand invoegen op een foto die oorspronkelijk niet aanwezig was - iets dat vaak wordt gebruikt voor zaken als impliciete productaanbevelingen of wraakporno.
Een andere categorie omvat subtiele wijzigingen in afbeeldingen, logo's en andere inhoud om geautomatiseerde detectietools te omzeilen, zoals die worden gebruikt om vervalste productlogo's te detecteren, afbeeldingen die worden gebruikt in phishing-campagnes of zelfs tools voor het detecteren van kinderpornografie.
De derde categorie omvat synthetische of composiet deepfakes die zijn afgeleid van een verzameling originelen om iets geheel nieuws te creëren, zegt Steinberg.
"Een paar jaar geleden begonnen we dit met audio te zien, met behulp van computergesynthetiseerde spraak om stemafdrukken in callcenters voor financiële diensten te verslaan", zegt hij. "Video wordt nu gebruikt voor zaken als een moderne versie van zakelijke e-mailcompromissen of om een reputatie te schaden door iemand iets te laten 'zeggen' dat hij nooit heeft gezegd."
