Ще става по-лошо: ChatGPT отвори престъпната кутия на Пандора

Нарастващата вълна от измами с дълбоки фалшификати (deepfake) ограби милиони долари от компании по целия свят, а експерти по киберсигурност предупреждават, че ситуацията може да се влоши на фона на увеличаващото се използване на генеративния изкуствен интелект за измами.

Дълбокият фалшификат е видеоклип, звук или изображение на реално лице, което е цифрово променено и манипулирано, често чрез изкуствен интелект, за да го представи убедително в невярна светлина.

В един от най-мащабните известни случаи през тази година финансов служител от Хонконг е бил подведен да преведе над 25 млн. долара на измамници, които са използвали deepfake технология и сполучливо са се маскирали като негови колеги по време на видеоразговор.

Миналата седмица британската инженерна фирма Arup потвърди пред CNBC, че тя е компанията, замесена в този случай, но не даде подробности по въпроса поради продължаващото разследване.

Подобни заплахи се увеличават в резултат на популяризирането на ChatGPT на Open AI, който бързо изстреля технологията на генеративния AI до масовия потребител.

Публичната достъпност на тези услуги понижи бариерата за навлизане на киберпрестъпниците – вече не е необходимо да притежават специални технологични умения“, коментира Дейвид Феърман, главен директор по информацията и сигурността в компанията за киберсигурност Netskope.

Той добави, че обемът и сложността на измамите са се увеличили, тъй като технологиите за изкуствен интелект продължават да се развиват.

Нарастваща тенденция

Различните генеративни услуги с изкуствен интелект могат да се използват за генериране на текст, изображения и видео съдържание, наподобяващо човешкото, и по този начин да действат като мощни инструменти за манипулиране и пресъздаване определени лица дигитално.

Все повече предприятия по света стават обект на редовни атаки, включително измами с фактури, фишинг, подправяне на гласа в WhatsApp и дълбоки фалшификати. При случая с Arup например финансовият работник е присъствал на видеоразговор с главния финансов директор на компанията и други членове на екипа, които са поискали от него да направи паричен превод. Оказало се обаче, че останалите участници в тази среща в действителност са били дигитално пресъздадени deepfakes.

Arup потвърди, че при инцидента са използвани „фалшиви гласове и изображения“, като добави, че „броят и сложността на тези атаки рязко се увеличават през последните месеци“.

Китайските държавни медии съобщиха за подобен случай в провинция Шанси през тази година, свързан с финансова служителка, която е била подмамена да преведе 1.86 млн. юана (262 000 долара) по сметка на измамник след видеоразговор с подправен образ на нейния шеф.

Подобни инциденти не са новост.

През 2019 г. главният изпълнителен директор на британски доставчик на енергия съобщи, че е превел 220 000 евро на измамник, който в телефонен разговор е имитирал дигитално ръководителя на компанията майка и е поискал превод към предполагаем доставчик.

През август миналата година компанията за киберсигурност Mandiant, собственост на Google, съобщи за установени редица случаи на незаконни участници, използващи AI и deepfake технологията за фишинг измами, дезинформация и други незаконни цели.

По това време компанията заяви, че използването на технологията за такива дейности е ограничено, но че нарастващата наличност на нови генеративни инструменти за AI ще ускори прилагането ѝ от злонамерени участници.

По-широки последици

В допълнение към директните атаки, компаниите са все по-загрижени за други начини, по които deepfake снимки, видеоклипове или изказвания на техни висшестоящи лица могат да бъдат използвани по злонамерен начин, казват експерти по киберсигурност.

Според Джейсън Хог, експерт по киберсигурност и резидентен изпълнителен директор в Great Hill Partners, дълбоките фалшификати на високопоставени членове на компанията могат да се използват за разпространение на фалшиви новини с цел манипулиране на цените на акциите, очерняне на марката и продажбите на компанията и разпространение на друга вредна дезинформация.

Това е само драскане по повърхността“, казва Хог, който преди това е работил като специален агент на ФБР.

Той подчерта, че генеративният изкуствен интелект е в състояние да създава дълбоки фалшификати въз основа на богата цифрова информация, като например публично достъпно съдържание, поместено в социалните медии и други медийни платформи.

През 2022 г. Патрик Хилман, главен служител по комуникациите в Binance, заяви в публикация в блога си, че измамници са направили негов deepfake въз основа на предишни новинарски интервюта и телевизионни изяви, като са го използвали, за да измамят клиенти и контакти за срещи.

Феърман от Netskope заяви, че подобни рискове са накарали някои ръководители да започнат да изтриват или ограничават онлайн присъствието си от страх, че то може да бъде използвано като муниции от киберпрестъпниците.

Технологията deepfake вече е широко разпространена извън корпоративния свят.

От фалшиви порнографски изображения до манипулирани видеоклипове, рекламиращи кухненски съдове, известни личности като Тейлър Суифт са станали жертва на deepfake. Дълбоките фалшификати на политици също са широко разпространени.

В същото време някои измамници правят дълбоки фалшификати на членове на семействата и приятели на физически лица в опит да ги измамят с пари.

Според Хог по-широките проблеми ще се ускорят и задълбочат за определен период от време, тъй като предотвратяването на киберпрестъпленията изисква обмислен анализ, за да се разработят системи, практики и механизми за контрол за защита срещу новите технологии.

Експертите по киберсигурност обаче посочват, че фирмите могат да засилят защитата си срещу заплахите, задвижвани от изкуствен интелект, чрез подобряване на образованието на персонала, тестване на киберсигурността и изискване на кодови думи и няколко нива на одобрение за всички трансакции – нещо, което би могло да предотврати случаи като този на Arup.