Das Erstellen von Deepfakes wird immer einfacher und sie sind überzeugender denn je. Cyberkriminelle verwenden Video- und Audio-Deepfakes, um Geld von Opfern zu erpressen, indem sie eine glaubwürdige “gefälschte Authentizität” zu ihren Betrügereien.
Editing Peoples’ Überzeugungen
Seit die erste Person sagte: “Die Kamera lügt nie” es gab Leute, die das Gegenteil beweisen wollten. Kreative Fotografen im späten 19. Jahrhundert verwendeten einfache Tricks, um gefälschte Bilder zu erstellen.
Die “Person in einer Flasche” gag genoss seinen Moment der Popularität. Machen Sie ein Foto von sich in einer geeigneten Pose. Entwickeln und drucken Sie das Foto in der entsprechenden Größe. Schneide dein Bild aus, stecke es in eine Glasflasche und mache ein weiteres Foto von dir, das die Flasche hält. Hey presto, du hast ein Bild von dir, das eine Flasche hält, die eine Miniaturversion von dir enthält.
Heute können wir so etwas natürlich mit Photoshop oder GIMP tun. Und wir sind uns bewusst, dass Experten mit ausreichendem Können und Kreativität Bilder erstellen können, die absolut echt aussehen und dennoch unmögliche Elemente enthalten. Paradoxerweise kann dieses Bewusstsein dazu führen, dass wir an echten Fotografien zweifeln. Ein verblüffendes Bild, das durch bloßen Zufall ein einmaliges Ereignis einfängt, wird immer mit der Frage begrüßt: “Ist das echt?”
Werbung
Ein Foto von a Miniatur-Person in einer Flasche ist offensichtlich gefälscht. Aber ändern Sie ein Foto so, dass es etwas zeigt, das wahr sein könnte und auch echt aussieht, und manche Leute werden es glauben.
Es geht nicht mehr um visuelle Gags. Es ist eine Waffe, die Bilder macht. Es ist Social Engineering.
VERWANDTE: Die vielen Gesichter des Social Engineering
Bewegte Bilder und Tonfilme
Sobald Film zu einem gesellschaftlichen Spektakel wurde, nutzten bahnbrechende Filmemacher Spezialeffekte und Tricks, um zwei Probleme zu lösen. Der eine filmte etwas, das wirklich passieren konnte, aber nicht zu filmen war, und das andere filmte etwas, das einfach unmöglich war. Die Lösung dafür hat die riesige Spezialeffektindustrie hervorgebracht, die wir heute haben.
Die Hinzufügung von Ton und Dialog führte zum Untergang des Stummfilms und zum Aufstieg des Tonfilms. Einige stille Sterne haben den Übergang nicht geschafft. Ihre Stimme war nicht richtig, oder sie konnten keine Zeilen mit Überzeugung und Timing liefern. Bis Overdubbing zur Sache wurde, gab es keine andere Lösung, als jemand anderen zu besetzen.
Heute manipulieren wir auch die Stimmen von Schauspielern. Hat George Clooney wirklich in O Brother, Where Art Thou gesungen? Nein, das war Dan Tyminskis Stimme, die Computerlippen-synchronisiert mit George Clooneys Bewegtbild.
Die Systeme, die diese Art von Video- und Tonmanipulation durchführen können, sind groß und teuer , und sie brauchen Experten, um sie zu fahren. Aber überzeugende Endergebnisse können mit leicht erhältlicher und relativ einfacher Software erzielt werden, die auf vernünftiger Computerhardware ausgeführt wird.
Video und Audio sind möglicherweise nicht von Hollywood-Qualität, aber es ist sicherlich gut genug, um erlauben Cyberkriminellen, gefälschte Bilder, Videos und Audio zu ihrem Waffenarsenal hinzuzufügen.
Deepfakes
Der Begriff Deepfake wurde geprägt, um digitales Filmmaterial zu beschreiben, das so manipuliert wird, dass jemand im Video das Gesicht einer anderen Person vollständig trägt. Die “tiefe” Ein Teil des Namens stammt von “Deep Learning”, einem der Bereiche des maschinellen Lernens der künstlichen Intelligenz. Machine Learning verwendet spezielle Algorithmen und viele Daten, um künstliche neuronale Netze zu trainieren, um ein Ziel zu erreichen. Je mehr Daten Sie zum Trainieren des Systems haben, desto besser sind die Ergebnisse.
Werbung
Stellen Sie genügend Fotos von jemandem bereit und ein Deep-Learning-System wird die Physiognomie dieser Person verstehen. 8217;s Gesicht so gut, dass es herausfinden kann, wie es aussehen würde, wenn es jeden Ausdruck aus jedem Blickwinkel anzeigt. Es kann dann Bilder des Gesichts dieser Person erstellen, die allen Gesichtsausdrücken und Kopfhaltungen der Person im Video entsprechen.
Wenn diese Bilder in das Video eingefügt werden, passt das neue Gesicht perfekt zur Aktion des Videos. Da der künstlich erzeugte Gesichtsausdruck, die Lippensynchronisation und die Kopfbewegungen dieselben sind wie die der Originalperson, als das echte Video gedreht wurde, kann das Ergebnis eine sehr überzeugende Fälschung sein.
VERWANDTE: Was ist ein Deepfake und sollte ich mir Sorgen machen?
Dies gilt insbesondere dann, wenn die beiden Gesichtsformen ähnlich sind. Ein bekannter Deepfake bildet Lynda Carters Gesicht auf Gal Gadots Körper ab und verbindet zwei Versionen von Wonder Woman. Andere hochkarätige Beispiele waren Barack Obama und Tom Cruise. Sie finden sie—und viele andere Beispiele—auf YouTube.
Dieselben Techniken des maschinellen Lernens können auf Audio angewendet werden. Mit ausreichend Sprachsamples können Sie ein künstliches neuronales Netzwerk trainieren, um eine hochwertige Klangausgabe zu erzeugen, die die gesampelte Stimme repliziert. Und Sie können es sagen lassen, was Sie wollen. Möchten Sie Notorious B.I.G. einige von H. P. Lovecrafts Eldtrich-Terroristen rappen? Auch hier ist YouTube der richtige Ort. Tatsächlich werden Sie etwas hören, das sich sehr nach Notorious B.I.G. anhört. Lovecraft rappen.
Werbung
Jenseits von verrückten Mash-ups und Sommer-Blockbustern finden diese Techniken anderswo funktionale Anwendung. Descript ist ein Audio- und Videoeditor, der ein Texttranskript Ihrer Aufnahme erstellt. Bearbeiten Sie das Textdokument und die Änderungen werden an der Aufzeichnung vorgenommen. Wenn Ihnen die Art und Weise, wie Sie etwas gesagt haben, nicht gefällt, bearbeiten Sie einfach den Text. Descript synthetisiert alle fehlenden Audiodaten aus Ihrer eigenen Stimme. Es kann eine Stimme aus nur einer Minute Original-Sprachaufnahme synthetisieren.
Der koreanische Fernsehsender MBN hat einen Deepfake von Kim Joo-Ha, ihrem Nachrichtensprecher, erstellt. Wenn eine Geschichte, die normalerweise von Kim Joo-Ha behandelt würde, abbricht, wenn sie nicht im Studio ist, liefert der Deepfake sie.
VERBUNDEN: 3 Einfache Apps zum Deepfake in Videos und GIFs
Die Cyberkriminalität hat bereits begonnen
Cyberkriminelle springen immer schnell auf jeden Zug auf, mit dem sie ihre Angriffe verbessern oder modernisieren können. Audio-Fakes werden so gut, dass es einen Spektrumanalysator erfordert, um Fakes definitiv zu identifizieren, und KI-Systeme wurden entwickelt, um Deepfake-Videos zu identifizieren. Wenn Sie Bilder manipulieren können, stellen Sie sich vor, was Sie mit Ton- und Videofälschungen tun können, die gut genug sind, um die meisten Leute zu täuschen.
Straftaten mit gefälschten Bildern und Ton sind bereits passiert. Experten sagen voraus, dass die nächste Welle der Deepfake-Cyberkriminalität Video beinhalten wird. Die von zu Hause aus arbeitende, mit Videoanrufen beladene “neue Normalität” könnte durchaus die neue Ära der Deepfake-Cyberkriminalität eingeläutet haben.
Phishing-Angriffe
Bei einem alten Phishing-E-Mail-Angriff wird eine E-Mail an das Opfer gesendet, in der behauptet wird, Sie hätten ein Video von ihm in einer kompromittierenden oder peinlichen Position. Sofern die Zahlung nicht in Bitcoin eingegangen ist, wird das Filmmaterial an ihre Freunde und Kollegen gesendet. Aus Angst, dass es ein solches Video geben könnte, zahlen einige Leute das Lösegeld.
Die Deepfake-Variante dieses Angriffs beinhaltet das Anhängen einiger Bilder an die E-Mail. Es soll sich um gesprengte Standbilder aus dem Video handeln. Das Gesicht des Opfers, das den größten Teil des Bildes ausfüllt, wurde digital in die Bilder eingefügt. Für den Uneingeweihten machen sie die Erpressungsdrohung noch zwingender.
Da Deepfake-Systeme effizienter werden, können sie mit immer kleineren Datensätzen trainiert werden. Social-Media-Konten können oft genug Bilder zur Verfügung stellen, um sie als Lerndatenbank zu verwenden.
Vishing-Angriffe
E-Mail-Phishing-Angriffe verwenden eine Vielzahl von Techniken, um einen Sinn zu erzeugen der Dringlichkeit, zu versuchen, die Leute zu überstürztem Handeln zu bewegen, oder sie spielen mit dem Wunsch eines Mitarbeiters, als hilfreich und effektiv angesehen zu werden. Phishing-Angriffe, die per Telefon durchgeführt werden, werden als Vishing-Angriffe bezeichnet. Sie verwenden dieselben Social-Engineering-Techniken.
Werbung
Ein Anwalt in den USA erhielt einen Anruf von seinem Sohn, der offensichtlich verzweifelt war. Er sagte, er habe bei einem Autounfall eine schwangere Frau angefahren und sei nun in Untersuchungshaft. Er sagte seinem Vater, er solle einen Anruf eines Pflichtverteidigers erwarten, um eine Kaution in Höhe von 15.000 US-Dollar zu organisieren.
Der Anruf kam nicht von seinem Sohn, es waren Betrüger, die ein Text-to-Speech-System verwendeten, das sie mit Soundclips seines Sohnes trainiert hatten, um einen Audio-Deepfake zu erstellen. Der Anwalt stellte es keinen Moment in Frage. Soweit es ihn betraf, sprach er mit seinem eigenen Sohn. Während er auf den Anruf des Pflichtverteidigers wartete, nahm er sich die Zeit, seine Schwiegertochter und den Arbeitsplatz seines Sohnes anzurufen, um sie über den Unfall zu informieren. Die Nachricht erreichte seinen Sohn, der anrief, um ihm mitzuteilen, dass es sich um einen Betrug handelte.
Ein CEO in Großbritannien hatte nicht so viel Glück. Er erhielt eine Spear-Phishing-E-Mail, die angeblich vom Vorstandsvorsitzenden der deutschen Muttergesellschaft des Unternehmens stammte. Diese verlangte innerhalb einer Stunde eine Zahlung von 243.000 £ (ca. 335.000 $) an einen ungarischen Lieferanten. Es folgte sofort ein Anruf des Vorstandsvorsitzenden, der bestätigte, dass die Zahlung dringend war und sofort erfolgen sollte.
Das Opfer sagt, dass er nicht nur seinen Chef erkannt hat’ Stimme und leichten deutschen Akzent, aber er erkannte auch den Rhythmus und die sorgfältige Aussprache. Also hat er die Zahlung glücklich gemacht.
VERBUNDEN: Audio-Deepfakes: Kann jemand sagen, ob sie gefälscht sind?
Gegenmaßnahmen
Die potenzielle Bedrohung durch Deepfakes wurde von der US-Regierung erkannt. Der Malicious Deep Fake Prohibition Act von 2018 und der Identifying Outputs of Generative Adversarial Networks Act oder IOGAN Act wurden als direkte Reaktion auf die Bedrohungen durch Deepfakes geschaffen.
Werbung
Unternehmen müssen Diskussionen über Deepfakes hinzufügen zu ihrem Cybersicherheitsbewusstseinstraining. Cyber-Awareness-Schulungen sollten Teil der Einarbeitung eines Neuanfängers sein und regelmäßig für alle Mitarbeiter wiederholt werden.
Bisher handelt es sich bei den bisher beobachteten Angriffen um ausgefeilte Versionen von Phishing und Spear-Phishing Anschläge. Einfache Verfahren können dabei helfen, viele davon abzufangen.
- Keine Überweisung von Finanzen sollte nur nach Erhalt einer E-Mail durchgeführt werden.
- Ein weiterer Anruf sollte von getätigt werden der Empfänger der E-Mail an den Absender, nicht vom Absender zum Empfänger.
- Anspruchssätze können eingefügt werden, die ein externer Angreifer nicht kennt.
- Querverweise Überprüfen Sie alles, was ungewöhnlich ist.