Vigilància de seguretat: els estafadors van a phishing amb deepfakes

No tinc gaires preguntes sobre la meva feina de la meva família. Estan, comprensiblement, molt més interessats en els hijinks de les meves rates i el meu gos. Però quan em faig una pregunta sobre seguretat, la gent sempre vol saber per què passa el mal. Hi ha moltes respostes a aquesta pregunta, però la que sempre torno és senzilla: diners.

Ransomware? Efectiu fàcil per als atacants. Phishing? Res més que efectiu. Correu brossa? Tot tipus de maneres de generar diners amb persones que fan clic als enllaços. Incompliments de dades? Aquestes coses s’utilitzen per al frau i la resta es ven (es fa servir per a més fraus). Atacs de l’estat nació? Segur que hi ha ideologia, però, si consideres que les sancions dels Estats Units han tingut un paper important en la motivació de Rússia per atacar les eleccions de 2016, els diners són a l’equació. I això sense oblidar els pirates informàtics de la nació que il·luminen la lluna per efectiu addicional.

No hi ha a la llista els comentaris profunds, els vídeos que han estat alterats, normalment utilitzant tecnologia basada en AI. Hem vist que les cares de les celebritats s’enfilaven als cossos de les estrelles de la moda i les cares i les veus dels polítics manipulats per fer-los semblar que diuen coses que no deien en realitat. De vegades es fan per promoure conspiracions salvatges i inflamatòries; més insidioses són les vegades manipulades per dir que les coses que els espectadors suggereixen poden tenir problemes per distingir-se de la veritat.

Els últims mesos s’han parlat molt de temes profunds, per por que es poguessin utilitzar en campanyes de desinformació per confondre els electors. Això no ha passat a gran escala (encara), però les falles pornogràfiques ja han danyat moltes persones. Llavors, per què en diem això una amenaça emergent? Probablement perquè no hi havia una manera òbvia de monetitzar-los directament. Això ha canviat aquesta setmana, ja que s’està informant que els fons profunds s’han utilitzat per fugir a les empreses per centenars de milers de dòlars.

Eines noves, idèntics vells

Enrere, hauria d’haver-la vist venir. L'enginyeria social, una manera fantàstica de dir "enganyar a la gent", és una eina que respecta el temps per incomplir la seguretat digital o simplement guanyar diners ràpidament. L’afegit d’aprofitaments profunds a la trampa és un ajustament perfecte.

El Wall Street Journal va informar que alguns atacants hàbils van construir un model de veu profunda que solien convèncer a un altre empleat que parlava amb el conseller delegat de la companyia. L'empleat va autoritzar llavors una transferència bancària d'uns 243.000 dòlars. En el seu propi reportatge, The Washington Post va escriure, "Els investigadors de la firma de ciberseguretat Symantec van dir que han trobat almenys tres casos de veus dels executius imitats per a empreses estafadores". La distància estimada es mesura en milions de dòlars.

Per a la meva pròpia edificació, em vaig asseure i vaig intentar rastrejar la història dels descobriments. Realment és un concepte per a l’era de les notícies falses, i va començar a finals del 2017 en un article de Vice sobre la pornografia intercanviada de cara publicat a Reddit. El primer ús de "deepfakes" va ser en realitat el nom d'usuari de l'individu que publicava vídeos pornogràfics que presentaven la cara, però no el cos, de Gal Gadot, Scarlett Johansson i altres.

En pocs mesos, la preocupació per les revoltes profundes es va traslladar a la política. Els vídeos van aparèixer figures polítiques i aquí és on jo (i la majoria de la resta de la comunitat de seguretat) em vaig quedar enganxada. Arran de la desinformació de Rússia durant les eleccions dels Estats Units de 2016, la idea de vídeos falsos gairebé indistinguibles que inundaven el cicle electoral del 2020 va ser (i continua sent) difícil. També capta els titulars i és un d’aquests projectes per al bé públic que a les empreses de seguretat els agrada molt.

Voldria sentir-me si no assenyalés les limitacions dels deepfakes. Per una cosa, necessiteu clips d’àudio de la persona que intenteu interpretar. És per això que celebritats i polítics en el punt de mira nacional són objectius òbvias per a la deepfakery. Els investigadors, però, ja han demostrat que només cal tenir un minut d'àudio per crear un fons profund d'àudio convincent. Probablement, escoltar una trucada per a inversors públics, una entrevista de notícies o una conversa de TED seria més que suficient.

A més, em pregunto què tan bon funcionament del vostre model deepfake pot ser efectiu. Un empleat de baix nivell, per exemple, potser no té ni idea de com sona (o fins i tot sembla) el conseller delegat, cosa que em fa saber si una veu raonable plausible i autoritària és suficient per aconseguir la feina.

Per què importen els diners

Els criminals són intel·ligents. Volen guanyar el màxim de diners possible, ràpidament, fàcilment i amb la menor quantitat de risc. Quan algú descobreix una nova manera de fer aquestes coses, se segueixen altres. El Ransomware és un bon exemple. El xifrat ha estat durant unes dècades, però un cop els delinqüents van començar a armar-lo per obtenir diners en efectiu fàcil, va provocar una explosió de ransomware.

El fet d'utilitzar els cops profunds com a eina per assolir un atac especialitzat a la pesca submarina és la prova d'un nou concepte. Potser no sortirà de la mateixa manera que el ransomware, però requereix un gran esforç i funcionen estafes més senzilles. Però els delinqüents han demostrat que els descobriments poden funcionar d'aquesta manera innovadora, per la qual cosa almenys hauríem d'esperar alguns experiments criminals més.

• Com protegir les eleccions dels Estats Units abans que sigui massa tard Com protegir les eleccions dels Estats Units abans que sigui massa tard
• Campanyes d’influència electoral: Massa barates perquè els estafadors transmetin campanyes d’influència electoral: Massa barats perquè els estafadors transmetin
• Les agències d’Intel Intel són un fil de tòxics de competència i sabotatge Les agències d’Intel Intel són un fil de tòxics de competència i sabotatge

En lloc de dirigir-se als consellers delegats, els estafadors podrien orientar-se a persones habituals en els pagaments més petits. No és difícil imaginar un estafador utilitzant vídeos publicats a Facebook o Instagram per crear models de veu profunds per convèncer a les persones que els seus familiars necessiten molts diners enviats per transferència bancària. O potser la pròspera indústria robocall obtindrà una capa profunda per a una confusió més gran. És possible que sentiu la veu d’un amic a més de veure un número de telèfon familiar. Tampoc hi ha cap raó per la qual aquests processos no es podrien automatitzar fins a un cert punt, generant models de veu i utilitzant scripts pre-ordenats.

Res d’això no suposa descomptar els danys potencials que es produeixen a les eleccions o els diners relacionats amb aquestes operacions. A mesura que els delinqüents es fan més aptes amb les eines de caça profunda i aquestes eines es milloren, és possible que sorgís un mercat de fons per a contractar. De la mateixa manera que els nois poden arrendar temps a botnets amb propòsits nefastos, poden aparèixer les corporacions criminals dedicades a crear fons en el contracte.

Afortunadament, un incentiu monetari per als dolents en crea un per als bons. L'augment del ransomware va comportar un antimalware millor per detectar el xifrat maliciós i evitar que es prenguessin sistemes. Ja s’està treballant per detectar sondejos profunds, i és d’esperar que aquests esforços només seran sobrealimentats amb l’arribada del phishing a fons. Això és poca comoditat per a les persones que ja han estat estafades, però és una bona notícia per a la resta de nosaltres.