Securitywatch: những kẻ lừa đảo lừa đảo bằng deepfakes

Tôi không nhận được nhiều câu hỏi về công việc của mình từ gia đình. Một cách dễ hiểu, họ quan tâm nhiều hơn đến các trò chơi trốn tìm của chuột và con chó của tôi. Nhưng khi tôi được hỏi về bảo mật, mọi người luôn muốn biết tại sao những thứ xấu lại xảy ra. Có rất nhiều câu trả lời cho câu hỏi đó, nhưng câu trả lời mà tôi luôn quay trở lại rất đơn giản: tiền.

Ransomware? Tiền mặt dễ dàng cho những kẻ tấn công. Lừa đảo? Không có gì ngoài tiền mặt. Thư rác? Tất cả các cách để kiếm tiền từ những người nhấp vào liên kết. Vi phạm dữ liệu? Những thứ đó được sử dụng để lừa đảo và phần còn lại được bán hết (để được sử dụng để lừa đảo nhiều hơn). Tấn công quốc gia? Chắc chắn có ý thức hệ, nhưng khi bạn nghĩ rằng các biện pháp trừng phạt của Hoa Kỳ chắc chắn đã đóng góp một phần vào động lực của Nga để tấn công cuộc bầu cử năm 2016, tiền nằm trong phương trình. Và đó là chưa kể đến tin tặc nhà nước quốc gia ngoài giờ để kiếm thêm tiền.

Không có trong danh sách đó là các tác phẩm sâu, các video đã bị giả mạo, thường sử dụng công nghệ điều khiển bằng AI. Chúng tôi đã nhìn thấy khuôn mặt của những người nổi tiếng hoán đổi trên cơ thể và khuôn mặt của các chính trị gia và giọng nói của các chính trị gia để khiến họ xuất hiện để nói những điều họ không thực sự nói. Đôi khi chúng được tạo ra để thúc đẩy những âm mưu gây viêm dữ dội; xảo quyệt hơn là những lần họ bị thao túng để nói những điều mà người xem gợi ý có thể gặp khó khăn khi phân biệt với sự thật.

Deepfakes đã được nói đến nhiều trong những tháng gần đây vì sợ rằng chúng có thể được sử dụng trong các chiến dịch thông tin sai lệch để gây nhầm lẫn cho cử tri. Điều đó đã không xảy ra trên diện rộng (chưa), nhưng các tác phẩm khiêu dâm sâu đã gây thiệt hại cho nhiều cá nhân. Vậy tại sao chúng ta gọi đây là một mối đe dọa mới nổi? Có lẽ bởi vì không có cách rõ ràng để kiếm tiền trực tiếp từ họ. Điều đó đã thay đổi trong tuần này, vì nó được báo cáo rằng deepfakes đã được sử dụng cho các tập đoàn lông cừu với giá hàng trăm ngàn đô la.

Công cụ mới, Con cũ tương tự

Nhìn lại, tôi nên thấy nó đang đến. Kỹ thuật xã hội, một cách thú vị để nói "lừa mọi người" là một công cụ được tôn vinh theo thời gian để vi phạm an ninh kỹ thuật số hoặc đơn giản là kiếm tiền nhanh chóng. Việc bổ sung deepfakes trong mánh khóe là một sự phù hợp hoàn hảo.

Tạp chí Phố Wall báo cáo rằng một số kẻ tấn công thông minh đã xây dựng một mô hình giọng nói sâu sắc mà họ đã sử dụng để thuyết phục một nhân viên khác mà họ đang nói chuyện với CEO của công ty. Sau đó, nhân viên đã ủy quyền chuyển khoản khoảng 243.000 đô la. Trong báo cáo riêng của mình, The Washington Post viết: "Các nhà nghiên cứu tại công ty an ninh mạng Symantec cho biết họ đã tìm thấy ít nhất ba trường hợp giọng nói của các giám đốc điều hành được mô phỏng theo các công ty lừa đảo." Vận tải ước tính được đo bằng hàng triệu đô la.

Để chỉnh sửa của riêng tôi, tôi ngồi xuống và cố gắng theo dõi lịch sử của các trận đấu sâu. Nó thực sự là một khái niệm cho kỷ nguyên tin tức giả, và bắt đầu vào cuối năm 2017 trong một bài viết của Vice về nội dung khiêu dâm đổi mặt được đăng trên Reddit. Việc sử dụng "deepfakes" đầu tiên thực sự là tên người dùng của cá nhân đăng các video khiêu dâm có khuôn mặt, nhưng không phải cơ thể của Gal Gadot, Scarlett Johansson và những người khác.

Chỉ trong vài tháng, mối quan tâm về các vấn đề sâu sắc đã chuyển sang chính trị. Video xuất hiện các nhân vật chính trị, và đây là lúc tôi (và hầu hết những người còn lại trong cộng đồng an ninh) bị mắc kẹt. Trước thông tin sai lệch từ Nga trong cuộc bầu cử năm 2016 của Hoa Kỳ, ý tưởng về các video giả mạo gần như không thể phân biệt được tràn ngập trong chu kỳ bầu cử năm 2020 là (và vẫn còn) là một vấn đề nghiêm trọng. Nó cũng lấy tiêu đề, và là một trong những dự án vì lợi ích công cộng mà các công ty bảo mật thực sự thích.

Tôi sẽ cảm thấy hối hận nếu tôi không chỉ ra những hạn chế của deepfakes. Đối với một điều, bạn cần clip âm thanh của người bạn đang cố gắng mạo danh. Đây là lý do tại sao những người nổi tiếng và các chính trị gia trong ánh đèn sân khấu quốc gia là mục tiêu rõ ràng cho sự sâu sắc. Tuy nhiên, các nhà nghiên cứu đã chứng minh rằng chỉ cần khoảng một phút âm thanh để tạo ra một âm thanh sâu lắng thuyết phục. Lắng nghe cuộc gọi của nhà đầu tư công, phỏng vấn tin tức hoặc (Chúa giúp bạn) một cuộc nói chuyện TED có lẽ sẽ là quá đủ.

Ngoài ra, tôi tự hỏi làm thế nào mô hình deepfake của bạn thậm chí cần phải hoạt động để có hiệu quả. Chẳng hạn, một nhân viên cấp thấp có thể không biết CEO nghe như thế nào (hoặc thậm chí trông như thế nào), điều này khiến tôi tự hỏi liệu bất kỳ giọng nói hợp lý và có thẩm quyền nào cũng đủ để hoàn thành công việc.

Tại sao vấn đề tiền bạc

Tội phạm rất thông minh. Họ muốn kiếm nhiều tiền nhất có thể, nhanh chóng, dễ dàng và với ít rủi ro nhất. Khi ai đó tìm ra một cách mới để làm những việc đó, những người khác cũng làm theo. Ransomware là một ví dụ tuyệt vời. Mã hóa đã xuất hiện trong nhiều thập kỷ, nhưng một khi bọn tội phạm bắt đầu vũ khí hóa nó để kiếm tiền dễ dàng, nó đã dẫn đến một vụ nổ của ransomware.

Deepfakes được sử dụng thành công như một công cụ với số tiền cho một cuộc tấn công spearfishing chuyên dụng là bằng chứng của một khái niệm mới. Có lẽ nó sẽ không hoạt động theo cách tương tự như ransomware. Nó vẫn đòi hỏi nhiều nỗ lực và công việc lừa đảo đơn giản hơn. Nhưng bọn tội phạm đã chứng minh rằng deepfakes có thể hoạt động theo cách mới lạ này, vì vậy ít nhất chúng ta nên mong đợi một số thí nghiệm tội phạm hơn.

• Cách bảo vệ bầu cử Mỹ trước khi quá muộn Cách bảo vệ bầu cử Mỹ trước khi quá muộn
• Chiến dịch ảnh hưởng bầu cử: Quá rẻ cho những kẻ lừa đảo vượt qua Chiến dịch ảnh hưởng bầu cử: Quá rẻ cho những kẻ lừa đảo vượt qua
• Các cơ quan Intel của Nga là một hầm độc hại của cạnh tranh và phá hoại Các cơ quan Intel của Nga là một hầm độc hại của cạnh tranh và phá hoại

Thay vì nhắm mục tiêu vào các CEO, những kẻ lừa đảo có thể nhắm mục tiêu vào những người thường xuyên cho các khoản thanh toán nhỏ hơn. Không khó để tưởng tượng một kẻ lừa đảo sử dụng các video được đăng lên Facebook hoặc Instagram để tạo ra các mô hình giọng nói sâu sắc để thuyết phục mọi người rằng các thành viên gia đình của họ cần rất nhiều tiền được gửi bằng chuyển khoản. Hoặc có lẽ ngành công nghiệp robocall phát triển mạnh sẽ có được một lớp deepfake để thêm sự nhầm lẫn. Bạn có thể nghe thấy giọng nói của một người bạn ngoài việc nhìn thấy một số điện thoại quen thuộc. Cũng không có lý do tại sao các quy trình này không thể trở nên tự động ở một mức độ nhất định, tạo ra các mô hình giọng nói và chạy qua các tập lệnh được sắp xếp trước.

Không có gì trong số này là để giảm bớt thiệt hại tiềm tàng của các cuộc đấu tranh sâu trong các cuộc bầu cử, hoặc tiền gắn liền với các hoạt động đó. Khi bọn tội phạm trở nên lão luyện hơn với các công cụ deepfake và những công cụ đó trở nên tốt hơn, có thể một thị trường cho thuê đồ sâu có thể xuất hiện. Cũng giống như kẻ xấu có thể thuê thời gian trên botnet cho mục đích bất chính, các tập đoàn tội phạm chuyên tạo ra các bản khai sâu trong hợp đồng có thể xuất hiện.

May mắn thay, một sự khích lệ tiền tệ cho những kẻ xấu tạo ra một thứ cho những kẻ tốt. Sự gia tăng của ransomware dẫn đến phần mềm chống virus tốt hơn để phát hiện mã hóa độc hại và ngăn chặn nó chiếm lấy các hệ thống. Đã có công việc đang được thực hiện để phát hiện các hố sâu và hy vọng, những nỗ lực đó sẽ chỉ được tăng thêm khi có sự lừa đảo của Deepfake. Đó là một chút thoải mái cho những người đã bị lừa đảo, nhưng đó là tin tốt cho phần còn lại của chúng tôi.