Keď "vidieť" neznamená "uveriť"
Útočníci už neposielajú len emaily s gramatickými chybami. Volajú vám na Teams a vyzerajú ako váš CEO. Hovoria jeho hlasom, používajú jeho frázy. Vitajte v ére deepfake phishingu.
Ako to funguje?
Útočníci používajú verejne dostupné videá a nahrávky hlasu (napríklad z YouTube rozhovorov alebo podcastov) na natrénovanie AI modelu. V reálnom čase potom dokážu:
- Generovať video tváre, ktorá hovorí to, čo oni chcú.
- Modulovať hlas tak, aby znel identicky ako cieľová osoba.
Prípad z praxe
V októbri bol medializovaný prípad nadnárodnej firmy, kde zamestnanec previedol 25 miliónov dolárov po videohovore s "finančným riaditeľom". Všetci účastníci hovoru okrem neho boli deepfake AI boti.
Psychologický aspekt
Tento útok bol úspešný nie kvôli dokonalej technológii (video malo občasné glitche), ale kvôli sociálnemu inžinierstvu. Útočníci vytvorili časový tlak a pocit hierarchie. "CEO" nariadil okamžitý a tajný prevod. Zamestnanec v strese prestal overovať detaily.
Technologická obrana
Firmy ako Microsoft a Google implementujú do svojich komunikačných nástrojov detekciu deepfakes. Sledujú sa:
- Neprirodzené žmurkanie: Generované tváre často nežmurkajú v správnom rytme.
- Synchronizácia pier: Nesúlad medzi zvukom a pohybom úst.
- Digitálne artefakty: Jemné rozostrenie okolo okrajov tváre.
Ako sa brániť?
Technológia na detekciu stále dobieha tú generatívnu. Preto je najlepšou obranou starý dobrý ľudský faktor:
- Safe word: Dohodnite si offline heslo, ktoré použijete pri podozrivých požiadavkách.
- Callback: Ak vám šéf volá s urgentnou platbou, zložte a zavolajte mu naspäť na jeho známe číslo.
- Skepticizmus: Ak je požiadavka urgentná a týka sa peňazí, vždy spozornite.
Kľúčové zistenia
- Dôvera: Video hovor už nie je dôkazom identity.
- Procesy: Finančné procesy musia vyžadovať viacstupňové overenie, nie len ústny príkaz.
- Vzdelávanie: Zamestnanci musia vedieť, že niečo takéto je vôbec možné.
