Nicoleta Mehlsen, Vice Presedinte APCF, Asociatia pentru Protectia si Combaterea Fraudelor, spunea in cadrul Fraud Summit ca frauda nu va disparea niciodata, ci se transforma si evolueaza odata cu mediul socio-economic. Intr-adevar, instrumentele si metodele prin care o persoana sau o companie pot fi fraudate evolueaza constant. Ele se diversifica, pe de o parte, deoarece echipele de investigatori antifrauda deslusesc rapid tehnicile folosite de fraudatori, iar pe de alta parte, pentru ca tin pasul in ritm alert cu dezvoltarea tehnologiei si o adapteaza propriilor interese.

Una dintre cele mai noi metode prin care avansul tehnologic poate fi folosit in dauna companiilor este deepfake.

 

Deepfake reprezinta imagini sau inregistrari audio/video care au fost manipulate cu ajutorul Artificial Intelligence si care redau actiuni ori declaratii care, in realitate, nu s-au intamplat.

Pentru a crea un deepfake, imagini sau fisiere audio/video sunt suprapuse peste un continut generat cu ajutorul unor algoritmi de tip machine learning, care imita si mai apoi redau extrem de realist fetele, miscarile sau vocile persoanelor respective.

Algoritmii sunt antrenati sa identifice tonalitatea vocii, gesturile, expresiile faciale, fizionomia din diverse unghiuri, caracteristicile si tiparele comportamentale ale unei persoane, prin analiza unei cantitati mari de inregistrari audio si video reale. Ulterior, cu ajutorul unor tehnici de grafica computerizata, peste fisierele reale sunt suprapuse modele faciale sau de vorbire invatate de algoritmi si care pot fi manipulate.

 

Desi exista multe clipuri deepfake amuzante, potentialul fraudulos al acestei tehnologii este unul foarte mare, mergand de la social hacking si raspandirea de fake-news pana la fraude economico-financiare de amploare.

In majoritatea fraudelor prin deepfake, este furata identitatea unei persoane, uneori chiar decedata. Fraudatorii cibernetici obtin astfel acces la conturile bancare, retrag sau transfera sume mari de bani, solicita imprumuturi sau carduri de credit, fac achizitii sau tranzactii de mare valoare ori acceseaza credite ce nu vor fi returnate niciodata.

Exista si situatii in care fraudatorii mixeaza fragmente de informatie si creeaza o identitate falsa noua, in loc sa fure una deja existenta, apoi o folosesc pentru a solicita si obtine foloase materiale.

 

Pe langa exemplele de frauda economico-financiara de mai sus, tehnologia deepfake poate reprezenta portita de intrare in compania ta si pentru alte tipuri de frauda.

In 2019, CEO-ul unei companii de energie din Marea Britanie a primit un telefon de la superiorul sau ierarhic, CEO-ul companiei-mama din Germania, care i-a cerut sa transfere urgent 220,000 de euro unui furnizor din Ungaria, ceea ce directorul a si facut. Doar ca vocea de la celalalt capat al firului nu era nimic altceva decat un deepfake, fiind primul caz cunoscut de frauda realizata cu ajutorul acestei tehnologiei.

Al doilea caz cunoscut, despre care presa a scris de curand si in Romania, este cel al unei banci din Dubai. Cu ajutorul tehnologiei deepfake, directorului institutiei financiare i-a fost solicitat transferul a 35 de milioane de dolari. Vocea de la telefon ii era cunoscuta, pe email primise deja de la avocat documentele necesare tranzactiei, totul parea in regula, asa ca a autorizat transferul sumei de bani.

Ce legatura are asta cu compania ta? Cum ar fi sa descoperi intr-o zi ca:

– ai transferat toti banii din contul companiei in contul unui furnizor?

– ai vandut sediul companiei?

– ai sunat un angajat si i-ai spus sa dea acces in sistemul informatic al companiei unui furnizor nou?

– ai facut declaratii defaimatoare la adresa cuiva?

– ai facut avansuri sexuale unui coleg?

– ai rugat un angajat sa iti trimita toate credentialele si baza de date cu clienti?

– ai sunat un angajat si i-ai spus sa dezactiveze toate sistemele de protectie cibernetica?

– ai santajat un partener de afaceri ori un competitor?

Ti se pare imposibil? Asta este frauda prin deepfake, tehnologia care reda extrem de verosimil actiuni ori declaratii care in realitate nu s-au intamplat.

 

La fel ca in toate celelalte masuri antifrauda luate pentru compania ta, unul dintre primii pasi este cresterea nivelului de constientizare – a ta si a angajatilor tai. Frauda prin deepfake este una dintre principalele metode de frauda cibernetica despre care specialistii avertizeaza ca va evolua rapid.

Un nivel ridicat de constientizare si sesiuni constante de educare cu masuri de securitate cibernetica te vor face pe tine si pe angajatii tai mult mai atenti la oricare dintre urmatoarele semnale, atunci cand vorbim despre apeluri audio/video sau inregistrari:

- Ritmul vorbirii este usor nefiresc.

- Miscarile sau vorbirea par a fi ale unui robot.

- Exista umbre nefiresti sau diferente de colorizare.

- Exista desincronizari intre cuvintele rostite si miscarea buzelor.

- Fisierul audio/video are calitate slaba.

Stabileste si comunica organizatiei care sunt procedurile de avertizare si verificare in cazul unei suspiciuni de frauda prin deepfake. Reaminteste-le permanent angajatilor ca paza buna trece primejdia rea si ca pot apela la verificari suplimentare chiar si in cazul celei mai mici banuieli de deepfake. Daca suspiciunea lor nu se verifica, nu ii descuraja. In caz contrar, vor ezita sa mai raporteze, iar riscul de frauda corporate creste.

In cazul companiei energetice din Marea Britanie, al carei CEO a transferat 220,000 de euro dupa un apel deepfake, fraudatorii au sunat de 3 ori in ziua respectiva. Dupa primul apel au obtinut banii, la al doilea au spus ca au returnat banii si ca acestia urmeaza sa ajunga inapoi in contul firmei, pentru ca la al treilea apel, CEO-ul fals sa solicite un nou transfer. Deoarece transferul de rambursare a fondurilor nu sosise inca si al treilea apel era de la un numar de telefon austriac, CEO-ul victima a devenit suspicios si nu a mai facut a doua plata.

Iar cand spunem investitie, nu ne referim doar la cea financiara directa. Protejeaza-ti compania prin accesul echipei tale la resurse, procese si proceduri, specialisti antifrauda, due diligence si managementul riscului, solutii de cybersecurity.

De exemplu, din ce in ce mai multe companii incep sa utilizeze Multi-Factor Authentication (MFA) ca pe o masura suplimentara de aparare impotriva fraudelor cibernetice.

AI si machine learning sunt instrumente la care companiile vor apela din ce in ce mai des pentru a inlocui sau suplimenta factorul uman, putand fi folosite si pentru a detecta fraudele prin deepfake.

Chiar daca te simti pregatit, nu ignora reactia emotionala! Oamenii reactioneaza diferit la teama sau stres, ambele fiind sentimente pe care le pot resimti cand primesc un telefon din partea superiorului ierarhic direct. Reactia emotionala este un aspect pe care fraudatorii il cunosc si pe care se si bazeaza pentru a-si atinge scopul de frauda.

Aflata inca la inceput comparativ cu alte tehnologii, deepfake reprezinta una dintre metodele de frauda care ingrijoreaza cel mai mult organizatiile la nivel mondial si un subiect despre care companiile de cybersecurity avertizeaza constant in ultimii 2-3 ani. Atat companiile, cat si persoanele fizice, vor fie nevoite sa identifice noi modalitati pentru a-si securiza datele si pentru a se apara impotriva atacurilor cibernetice din ce in ce mai sofisticate.