Hoe deepfakes een nieuw type cybercriminaliteit mogelijk maken

0
145
Mihai Surdu/Shutterstock.com< /figure>

Het maken van deepfakes wordt steeds makkelijker en ze zijn overtuigender dan ooit. Cybercriminelen gebruiken video- en audiodeepfakes om geld af te persen van slachtoffers door een geloofwaardige 'nep-authenticiteit' toe te voegen. aan hun oplichting.

Editing Peoples’ Overtuigingen

Sinds de eerste persoon zei “de camera liegt nooit,” er zijn mensen geweest om het tegendeel te bewijzen. Creatieve fotografen aan het eind van de 19e eeuw gebruikten eenvoudige trucs om vervalste afbeeldingen te maken.

De “persoon in een fles” gag genoot van zijn moment van populariteit. Maak een foto van jezelf in een geschikte pose. Ontwikkel en print de foto op het juiste formaat. Knip je afbeelding uit, stop hem in een glazen fles en maak nog een foto van jezelf terwijl je de fles vasthoudt. Hé, presto, je hebt een afbeelding van jezelf die een fles vasthoudt met daarin een miniatuurversie van jezelf.

Natuurlijk kunnen we dit soort dingen tegenwoordig doen met Photoshop of GIMP. En we zijn ons ervan bewust dat experts met voldoende vaardigheden en creativiteit afbeeldingen kunnen maken die er volledig echt uitzien en toch onmogelijke elementen bevatten. Paradoxaal genoeg kan dat besef ertoe leiden dat we twijfelen aan echte foto's. Een verrassend beeld dat als een toevalstreffer een once-in-a-lifetime gebeurtenis vastlegt, wordt altijd begroet door de vraag “Is dat echt?”

Advertentie

Een foto van een miniatuur persoon in een fles is duidelijk vervalst. Maar verander een foto zodat deze iets laat zien dat waar zou kunnen zijn en er ook echt uitziet, en sommige mensen zullen het geloven.

Dit gaat niet meer over visuele grappen. Het is bewapenende beelden. Het is social engineering.

GERELATEERD: De vele gezichten van social engineering

Moving Pictures en Talkies

Zodra films een sociaal spektakel werden, gebruikten baanbrekende filmmakers speciale effecten en trucs om twee problemen op te lossen. De ene was iets aan het filmen dat echt kon gebeuren maar onpraktisch was om te filmen, en de andere was iets aan het filmen dat gewoon onmogelijk was. De oplossing hiervoor was de geboorte van de enorme special effects-industrie die we tegenwoordig hebben.

De toevoeging van geluid en dialoog zorgde voor de ondergang van de stomme film en de opkomst van de talkies. Sommige stille sterren hebben de overstap niet gemaakt. Hun stem was niet goed, of ze konden de regels niet met overtuiging en timing afleveren. Tot overdubben een ding werd, was er geen andere oplossing dan iemand anders te casten.

Tegenwoordig manipuleren we ook de stemmen van acteurs. Heeft George Clooney echt gezongen in O Brother, Where Art Thou? Nee, dat was de stem van Dan Tyminski, computer-lip-gesynchroniseerd met het bewegende beeld van George Clooney.

De systemen die dit soort video- en geluidsmanipulatie kunnen doen, zijn groot en duur , en ze hebben experts nodig om ze te besturen. Maar overtuigende eindresultaten kunnen worden bereikt met behulp van gemakkelijk te verkrijgen en relatief eenvoudige software die op redelijke computerhardware draait.

De video en audio zijn misschien niet van Hollywood-kwaliteit, maar het is zeker goed genoeg om sta cybercriminelen toe om vervalste afbeeldingen, video en audio toe te voegen aan hun arsenaal aan wapens.

Deepfakes

De term deepfake is bedacht om digitale beelden te beschrijven die zodanig zijn gemanipuleerd dat iemand in de video het gezicht van een andere persoon volledig draagt. De “diepe” een deel van de naam komt van “deep learning”, een van de machine learning-gebieden van kunstmatige intelligentie. Machine learning gebruikt specialistische algoritmen en veel data om kunstmatige neurale netwerken te trainen om een ​​doel te bereiken. Hoe meer gegevens je hebt om het systeem mee te trainen, hoe beter de resultaten zijn.

Advertentie

Voorzie het van voldoende foto's van iemand en een diepgaand leersysteem zal de fysionomie van die persoon gaan begrijpen 8217;s gezicht zo goed dat het kan bepalen hoe het eruit zou zien als je elke uitdrukking, vanuit elke hoek, zou weergeven. Het kan dan afbeeldingen van het gezicht van die persoon maken die overeenkomen met alle gezichtsuitdrukkingen en hoofdhoudingen van de persoon in de video.

Wanneer die afbeeldingen in de video worden ingevoegd, past het nieuwe gezicht perfect bij de actie van de video. Omdat de kunstmatig gecreëerde gezichtsuitdrukkingen, lipsynchronisatie en hoofdbewegingen dezelfde zijn als die gedragen door de oorspronkelijke persoon toen de echte video werd opgenomen, kan het resultaat een zeer overtuigende nep zijn.

GERELATEERD: Wat is een deepfake en moet ik me zorgen maken?

Dit is vooral het geval wanneer de twee gezichtsvormen vergelijkbaar zijn. Een bekende deepfake brengt het gezicht van Lynda Carter in kaart op het lichaam van Gal Gadot en voegt twee versies van Wonder Woman samen. Andere spraakmakende voorbeelden waren Barack Obama en Tom Cruise. Je kunt ze "en vele andere voorbeelden" vinden op YouTube.

Dezelfde machine learning-technieken kunnen worden toegepast op audio. Met voldoende stemsamples kun je een kunstmatig neuraal netwerk trainen om hoogwaardige geluidsuitvoer te produceren die de gesamplede stem repliceert. En je kunt alles laten zeggen wat je wilt. Wil je Notorious B.I.G. een paar van H.P. Lovecraft's eldtrich terrors rappen? Nogmaals, YouTube is de plek. Eigenlijk hoor je iets dat veel lijkt op Notorious B.I.G. rappen Lovecraft.

Advertentie

Naast gekke mash-ups en zomerse blockbusters, vinden deze technieken ook elders functionele toepassingen. Descript is een geluids- en video-editor die een teksttranscriptie van je opname maakt. Bewerk het tekstdocument en de wijzigingen worden aangebracht in de opname. Als je de manier waarop je iets zei niet leuk vindt, bewerk dan gewoon de tekst. Descript synthetiseert alle ontbrekende audio van uw eigen stem. Het kan een stem synthetiseren uit slechts één minuut originele stemopname.

De Koreaanse televisiezender MBN heeft een deepfake gemaakt van Kim Joo-Ha, hun nieuwsanker. Als een verhaal dat normaal gesproken door Kim Joo-Ha zou worden behandeld, breekt als ze niet in de studio is, levert de deepfake het op.

GERELATEERD: 3 Gemakkelijke apps om jezelf te deepfaken in video's en GIF's

De cybercriminaliteit is al begonnen

Cybercriminelen springen altijd snel over op eender welke wagen die ze kunnen gebruiken om hun aanvallen te verbeteren of te moderniseren. Audiovervalsingen worden zo goed dat er een spectrumanalysator nodig is om vervalsingen definitief te identificeren, en er zijn AI-systemen ontwikkeld om deepfake-video's te identificeren. Als je door afbeeldingen te manipuleren je wapens kunt gebruiken, stel je dan eens voor wat je kunt doen met vervalsingen van geluid en video die goed genoeg zijn om de meeste mensen voor de gek te houden.

Er zijn al misdaden gepleegd met vervalste afbeeldingen en audio. Experts voorspellen dat de volgende golf van deepfake-cybercriminaliteit video zal zijn. Het thuiswerkend, met videobellen beladen “nieuwe normaal” misschien wel het nieuwe tijdperk van deepfake cybercriminaliteit hebben ingeluid.

Phishing-aanvallen

Bij een oude phishing-e-mailaanval wordt een e-mail naar het slachtoffer gestuurd waarin wordt beweerd dat je een video hebt van hen in een compromitterende of beschamende positie. Tenzij de betaling in Bitcoin is ontvangen, worden de beelden naar hun vrienden en collega's gestuurd. Bang dat er zo'n video zou zijn, betalen sommige mensen het losgeld.

De deepfake-variant van deze aanval omvat het toevoegen van enkele afbeeldingen aan de e-mail. Ze zouden opgeblazen stills uit de video zijn. Het gezicht van het slachtoffer, dat het grootste deel van het frame vult, is digitaal ingevoegd in de afbeeldingen. Voor niet-ingewijden maken ze de dreiging van chantage aantrekkelijker.

Naarmate deepfake-systemen efficiënter worden, kunnen ze worden getraind met steeds kleinere datasets. Social media-accounts kunnen vaak genoeg afbeeldingen leveren om als leerdatabase te gebruiken.

Vishing-aanvallen

E-mail phishing-aanvallen gebruiken een verscheidenheid aan technieken om een ​​gevoel te genereren van urgentie om te proberen mensen haastig te laten handelen, of ze spelen in op de wens van een werknemer om als behulpzaam en effectief te worden beschouwd. Phishing-aanvallen die via de telefoon worden uitgevoerd, worden vishing-aanvallen genoemd. Ze gebruiken dezelfde social engineering-technieken.

Advertentie

Een advocaat in de VS kreeg een telefoontje van zijn zoon, die duidelijk van streek was. Hij zei dat hij een zwangere vrouw had geraakt bij een auto-ongeluk en nu in hechtenis zit. Hij zei tegen zijn vader dat hij een telefoontje van een openbare verdediger moest verwachten om een ​​borgsom van $ 15.000 te regelen.

Het telefoontje was niet van zijn zoon, het waren oplichters die een tekst-naar-spraaksysteem gebruikten dat ze hadden getraind met geluidsfragmenten van zijn zoon om een ​​audiodeepfake te maken. De advocaat twijfelde er geen moment aan. Wat hem betreft was hij in gesprek met zijn eigen zoon. Terwijl hij wachtte tot de openbare verdediger zou bellen, nam hij de tijd om zijn schoondochter en de werkplek van zijn zoon te bellen om hen op de hoogte te stellen van het ongeval. Het bericht bereikte de zoon die belde om hem te vertellen dat het oplichterij was.

Een CEO in het VK had niet zoveel geluk. Hij ontving een spear-phishing-e-mail, zogenaamd van de directeur van het Duitse moederbedrijf van het bedrijf. Dit vroeg om een ​​betaling van £ 243.000 (ongeveer $ 335.000) die binnen het uur aan een Hongaarse leverancier moest worden gedaan. Het werd onmiddellijk gevolgd door een telefoontje van de chief executive, waarin werd bevestigd dat de betaling dringend was en onmiddellijk moest worden gedaan.

Het slachtoffer zegt dat hij niet alleen zijn baas herkende’ stem en een licht Duits accent, maar hij herkende ook de cadans en zorgvuldige uitspraak. Dus hij deed de betaling graag.

GERELATEERD: Audio Deepfakes: kan iemand zien of ze nep zijn?

Tegenmaatregelen

De potentiële dreiging van deepfakes is erkend door de Amerikaanse regering. De Malicious Deep Fake Prohibition Act van 2018 en de Identifying Outputs of Generative Adversarial Networks Act of IOGAN Act zijn gemaakt als directe reactie op de bedreigingen van deepfakes.

Advertentie

Bedrijven moeten discussies over deepfakes toevoegen aan hun cybersecurity awareness training. Cyberbewustzijnstraining zou deel moeten uitmaken van de introductie van een nieuwe starter en zou periodiek moeten worden herhaald voor alle medewerkers.

Tot nu toe zijn de aanvallen die zijn gezien gepolijste versies van phishing en spear-phishing aanvallen. Eenvoudige procedures kunnen helpen om veel van deze te vangen.

  • Er mag geen overdracht van financiën worden uitgevoerd alleen na ontvangst van een e-mail.
  • Een vervolgtelefoontje moet worden gemaakt van de ontvanger van de e-mail naar de afzender, niet van de afzender naar de ontvanger.
  • Uitdagingszinnen kunnen worden opgenomen die een externe aanvaller niet zou weten.
  • Kruisverwijzing en dubbel- controleer alles wat ongewoon is.