Дом Securitywatch Securitywatch: мошенники занимаются фишингом с мошенниками

Securitywatch: мошенники занимаются фишингом с мошенниками

Оглавление:

Видео: Improving Tron Legacy using Deep Fakes (Ноябрь 2024)

Видео: Improving Tron Legacy using Deep Fakes (Ноябрь 2024)
Anonim

Я не получаю много вопросов о моей работе от моей семьи. Понятно, что их гораздо больше интересуют шутки моих крыс и моей собаки. Но когда меня спрашивают о безопасности, люди неизменно хотят знать, почему происходят плохие вещи. Есть много ответов на этот вопрос, но тот, к которому я всегда возвращаюсь, прост: деньги.

Вымогатели? Легкие деньги для злоумышленников. Фишинг? Ничего, кроме наличных. Спам? Все виды способов монетизации людей, переходящих по ссылкам. Нарушения данных? Эти вещи используются для мошенничества, а остальные продаются (для дальнейшего мошенничества). Национальное государство нападает? Конечно, есть идеология, но если учесть, что санкции США, без сомнения, сыграли свою роль в мотивации России к нападкам на выборы 2016 года, деньги находятся в уравнении. И это не говоря уже о хакерах национального государства, подрабатывающих на дополнительные деньги.

В этом списке нет фальшивых подделок, видео, которые были подделаны, как правило, с использованием технологии, основанной на искусственном интеллекте. Мы уже видели лица поменялись на порнозвезд знаменитостей тела и лица политиков и голоса манипулируют, чтобы сделать их, чтобы сказать то, что они на самом деле не говорят. Иногда они сделаны, чтобы продвинуть дико подстрекательские заговоры; более коварны времена, когда ими манипулируют, чтобы сказать, что внушаемые зрители могут испытывать затруднения, отличаясь от правды.

В последние месяцы о глубоких подделках много говорили из-за страха, что их можно использовать в дезинформационных кампаниях, чтобы сбить с толку избирателей. Этого не произошло в больших масштабах (пока), но порнографические deepfakes уже повреждены многие люди. Итак, почему мы называем это возникающей угрозой? Возможно, потому что не было очевидного способа напрямую монетизировать их. Ситуация изменилась на этой неделе, так как сообщается, что фальшивые подделки использовались для того, чтобы управлять корпорациями за сотни тысяч долларов.

Новые инструменты, тот же старый Con

Оглядываясь назад, я должен был увидеть это. Социальная инженерия - причудливый способ сказать «обманывать людей» - это проверенный временем инструмент для нарушения цифровой безопасности или просто быстрого зарабатывания денег. Добавление глубоких подделок в обмане идеально подходит.

The Wall Street Journal сообщила, что некоторые умные злоумышленники создали модель искусственного голоса, которую они использовали, чтобы убедить другого сотрудника в том, что он говорил с генеральным директором компании. Затем сотрудник санкционировал банковский перевод на сумму около 243 000 долларов США. В своем репортаже The Washington Post пишет: «Исследователи в фирме Symantec, занимающейся кибербезопасностью, заявили, что обнаружили как минимум три случая подражания голосам руководителей мошенническим компаниям». Предполагаемый улов измеряется в миллионах долларов.

Для собственного наставления я сел и попытался отследить историю подделок. Это действительно концепция поддельной новости эра, и началась в конце 2017 года в тисках статьи о лице, местах порнографии, размещенной на Reddit. Первое использование «deepfakes» было на самом деле имя пользователя личности проводки порнографического видео, которые показали лицо, но не тело, из Гадота, Скарлетт Йоханссона и другие.

Всего лишь через несколько месяцев беспокойство по поводу фальшивок перешло в политику. Появились видео, высмеивающие политических деятелей, и именно здесь я (и большая часть остального сообщества безопасности) застряли. После дезинформации со стороны России во время выборов в США 2016 года идея почти неразличимых фальшивых видеороликов, заполняющих избирательный цикл 2020 года, была (и остается) ужасной. Он также захватывает заголовки и является одним из тех проектов для общественного блага, которые действительно нравятся охранным компаниям.

Я был бы упущен, если бы не указал на ограничения глубоких подделок. Во-первых, вам нужны аудиоклипы человека, которого вы пытаетесь подражать. Вот почему знаменитости и политики в национальном центре внимания являются очевидными целями для фальсификации. Исследователи, однако, уже продемонстрировали, что для создания убедительного глубокого подделки звука требуется всего около минуты звука. Прослушивания публичного звонка инвестору, интервью в новостях или (да поможет вам Бог) беседа TED, вероятно, будет более чем достаточно.

Кроме того, мне интересно, насколько хорошо ваша модель с глубоким поддоном должна работать, чтобы быть эффективной. Например, низкоуровневый сотрудник может не иметь ни малейшего представления о том, как звучит (или даже выглядит) генеральный директор, что заставляет меня задуматься, достаточно ли какого-либо разумного правдоподобного и авторитетного голоса для выполнения работы.

Почему деньги имеют значение

Преступники умны. Они хотят заработать как можно больше денег, быстро, легко и с наименьшим риском. Когда кто-то находит новый способ сделать это, другие следуют ему. Ransomware является отличным примером. Шифрование существует уже несколько десятилетий, но как только преступники начали использовать его для получения наличных, оно привело к взрыву вымогателей.

Глубокие подделки, успешно используемые в качестве инструмента в том, что составляет специализированную атаку на подводную охоту, являются доказательством новой концепции. Может быть, это не получится так же, как вымогателей - это все еще требует значительных усилий, и более простые мошенничества работают. Но преступники доказали, что мошенники могут работать таким новым способом, поэтому мы должны, по крайней мере, ожидать еще несколько криминальных экспериментов.

  • Как защитить выборы в США, пока они не стали слишком поздно Как защитить выборы в США, пока они не стали слишком поздно
  • Кампании по влиянию на выборы: слишком дешево для мошенников, чтобы пройти Кампании по влиянию на выборы: слишком дешево для мошенников, чтобы пройти
  • Российские агентства Intel - это ядовитый конкурент и саботаж Российские агентства Intel - это ядовитый конкурент и саботаж

Вместо того, чтобы предназначаться для руководителей, мошенники могли бы предназначаться для регулярных людей для меньших выплат. Нетрудно представить мошенника, использующего видео, размещенные в Facebook или Instagram, для создания искусственных моделей голоса, чтобы убедить людей, что членам их семей нужно много денег, отправленных по безналичному расчету. Или, возможно, процветающая индустрия робототехники получит глубокий слой для дополнительной путаницы. Вы можете услышать голос друга в дополнение к знакомому номеру телефона. Нет также причины, по которой эти процессы не могли бы в определенной степени автоматизироваться, создавая модели голоса и работая с заранее подготовленными сценариями.

Ничто из этого не должно сбрасывать со счетов потенциальный ущерб от подделок на выборах или деньги, связанные с этими операциями. По мере того, как преступники становятся более искусными с инструментами глубокого подделки, и эти инструменты становятся лучше, вполне возможно, что появится рынок, где можно будет нанять глубокого подделки. Так же, как плохие парни могут выделять время на бот-сети для гнусных целей, могут появиться криминальные корпорации, занимающиеся созданием подделок по контракту.

К счастью, денежный стимул для плохих парней создает один для хороших парней. Рост вымогателей привел к улучшению защиты от вредоносных программ для обнаружения вредоносного шифрования и предотвращения захвата систем. Уже проделана работа по обнаружению глубоких подделок, и, надеюсь, эти усилия будут усилены только после появления фальшивых фишингов. Это мало утешает людей, которых уже обманули, но это хорошая новость для всех нас.

Securitywatch: мошенники занимаются фишингом с мошенниками