deepfakes blog

Die Deepfake-bedreiging is hier: dit is tyd om dit in ondernemingsrisikobestuur te begin bou

Toe die Britse verbruikersregtekampioen, Martin Lewis, sosiale media gebruik het om 'n nuwe 'Quantum AI'-beleggingskema te bevorder, was baie verras oor die skuif. Lewis het immers oor baie jare vertroue by die publiek opgebou deur te weier om kommersiële projekte van enige aard te onderskryf. Trouens, die video-advertensie met Lewis blyk 'n deepfake te wees. Die kwaliteit van die gelykenis is vir die man self as "angswekkend" gebrandmerk, wat gewaarsku het dat sulke namaaksels "lewens kan verwoes".

Dit is ongetwyfeld waar. Maar wanneer dit kwaadwillig gebruik word, hou die tegnologie nie net 'n bedrogbedreiging vir verbruikers in nie, dit hou 'n massiewe finansiële en reputasierisiko vir ondernemings in. Dit is 'n risiko wat 'n gesonde inligtingsekuriteitbestuurstelsel (ISMS) kan help om te verminder.

Wat is Deepfake Tech?

Deepfakes gebruik 'n tipe KI-tegnologie bekend as deep learning om vervalste video en oudio van mense te skep wat moeilik is om te onderskei van ware inhoud. Dit kan gebruik word om spraak te sintetiseer en gesigsuitdrukkings effektief te manipuleer om dit te laat lyk asof 'n individu iets sê wat hulle nie is nie. Alhoewel daar wettige gebruike vir die tegnologie is, byvoorbeeld in die filmbedryf, word dit toenemend vir kwaadaardige doeleindes ontplooi.

Die Martin Lewis-valsheid is een van die eerste keer dat 'n video op dié manier gebruik is om beleggingsbedrog te bevorder. Deepfake klank bestaan ​​egter al vir 'n paar jaar en word gebruik om ontvangers te mislei om fondse in te skakel na rekeninge wat aan bedrieërs behoort. Hierdie tegniek het 'n Brit mislei HUB om te glo 'n diep valse klank van sy Duitse baas wat hom vertel om meer as $240,000 XNUMX na 'n derdeparty-rekening te koppel. En dit 'n Japannese bestuurder bedrieg om te glo dat die direkteur van sy moederonderneming 'n oordrag van $35 miljoen versoek het.

Wat is die potensiële bedreigings?

Bogenoemde gevalle is 'n soort riff op die besigheids-e-pos-kompromis-bedrogspul (BEC)-bedrogspul, 'n soort voorskotbedrog waar die swendelaar slagoffers mislei om groot oorplasings na laasgenoemde te maak. Daar is egter ander opkomende bedreigings vir ondernemings. Dit sluit in:

Superlaai-uitvissing-taktiek: 'n Diep valse klank of video van 'n betroubare entiteit binne die maatskappy, sê die hoof van IT of 'n besigheidseenheid, kan die slagoffer mislei om hul geloofsbriewe of sensitiewe besigheidsinligting te oorhandig. Die FBI het reeds gewaarsku werknemers van diepvals klank wat saam met videokonferensieplatforms gebruik word.

Doen bedrieglik aansoek vir afgeleë poste: Die FBI het ook gewaarsku van deepfakes gebruik met gesteelde persoonlike inligting aan help swendelaars om afgeleë werksgeleenthede te wen. Korporatiewe netwerktoegang kan dan gebruik word om sensitiewe klant- en maatskappyinligting te steel.

Omseil identiteitskontroles: Gesig- of stemherkenning is 'n toenemend gewilde manier vir organisasies om gebruikers, veral kliënte, te verifieer. Soos uiteengesit deur Europol, kan diepvals ontplooi word om hierdie stelsels te mislei om rekeningtoegang te verskaf. Alhoewel dit nie 'n direkte bedreiging vir ondernemingsekuriteit is nie, kan dit reputasie- en finansiële risiko ernstig beïnvloed.

Om kliënte direk te bedrieg: Soos Timothy Morris, hoofsekuriteitsadviseur van Tanium, aanvoer, kan oudio-deepfakes gebruik word as 'n opvolg van smishing (phishing-teks)-veldtogte, waar kliënte aangesê word om 'n nommer te skakel as hulle nie 'n spesifieke heffing op hul rekening herken nie.

"As jy bel, wag 'n vriendelike diepvals wat jou bank verteenwoordig om jou geloofsbriewe en geld te neem," verduidelik hy aan ISMS.online. "Soortgelyke metodes kan deepfakes gebruik vir tegniese ondersteuning en romanse swendelary."

Verspreiding van disinformasie oor die maatskappy: Byvoorbeeld, 'n maatskappy wil dalk sy mededinger se verkope en aandeelprys beïnvloed deur 'n vals video te plaas van 'n uitvoerende hoof wat beweer hul maatskappy se produkte is foutief. 

"Die sirkulasie van diep valse inhoud wat daarop gemik is om organisasies of sleutelpersoneel te belaster, kan aansienlike reputasieskade veroorsaak," het Ricardo Amper, uitvoerende hoof van Incode, aan ISMS.online gesê. "Deur openbare persepsie te manipuleer, kan diepvals verreikende samelewingsimplikasies hê, wat markpersepsie, kliëntevertroue en selfs politieke omgewings beïnvloed."

Hoe kan 'n ISMS help?

Gelukkig is daar dinge wat organisasies op 'n sistematiese manier kan doen om die risiko's wat deur diepvals inhou, te verminder, volgens Eze Adighibe, ISO-konsultant by Bulletproof.

“Deepfakes word met verskeie geassosieer kuberrisiko's wat 'n doeltreffende inligtingsekuriteitbestuurstelsel (ISMS), via 'n nakomingsraamwerk soos ISO 27001, kan help om te versag. Voorbeelde van hierdie risiko's sluit sosiale ingenieursaanvalle, swendelary, identiteitsdiefstal, vals profiele en outomatiese verkeerde inligting in,” sê hy aan ISMS.online.

"'n ISMS vereis 'n omvattende inligtingsekuriteit risiko-assessering met 'n ontleding van impak en die keuse van beheermaatreëls om geïdentifiseerde risiko's te hanteer. Daarom moet organisasies dit oorweeg om diepvals in hul risiko-evalueringsaktiwiteite in te sluit met inagneming van die bedreiging wat dit vandag inhou.”

Spesifiek, 'n ISMS kan help om diepvalsrisiko in drie gebiede te verminder, volgens Adighibe:

  • Bewusmaking van dieepfake-verwante risiko onder werknemers
  • Implementering van die behoorlike tegniese kontroles om diepvals op te spoor en te voorkom
  • Ontwikkel insidentreaksie/bestuursprosedures vir die hantering van diepvals aanvalle

Hy verduidelik dat die kontroles wat in ISO 27001 gelys is wat hier kan help, sekuriteitsbewustheidsopleiding/phishing-simulasies, sterk toegangskontroles en sekuriteitsmoniteringnutsmiddels is. Ander dek privaatheid en beskerming van PII, inligtingskrap, sekuriteitsgebeurtenisrapportering en bedreigingsintelligensie.

“Organisasies wat goed vertroud is met die versagting van opkomende bedreigings sal reeds maatreëls in plek hê om diepvervalsings aan te pak, maar dit is hoog tyd dat alle besighede, ongeag die grootte, voorraad van die risiko's opneem en die regte sekuriteitskontroles implementeer,” Defense.com se uitvoerende hoof, Oliver Pinson- Roxburgh vertel ISMS.online.

Hy is reg. Deepfake oudio/video is nie net toenemend realisties nie. Dit word meer bekostigbaar vir meer individue met onheilspellende bedoelings. Daar is ook tekens dat hierdie vermoëns as 'n diens op die kubermisdaad ondergronds aangebied word. Dit is 'n besliste manier om dit te demokratiseer na selfs meer kwaadwillige akteurs.

 

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!