Hlasové klony vytvorené pomocou umelej inteligencie môžu kybernetickým útočníkom až príliš uľahčiť prístup k obetiam. Jake Moore, globálny bezpečnostný poradca spoločnosti ESET, to zažil na vlastnej koži.
„Kvalita klonovaného hlasu, ktorý vytvoril jeden z mojich kolegov, ma natoľko prekvapila, že som sa rozhodol použiť rovnaký softvér na „nekalé“ účely a vyskúšať, ako ďaleko môžem zájsť a či dokážem nachytať malú firmu – samozrejme, s povolením,“ hovorí Jake Moore z britskej pobočky spoločnosti ESET.
Spoiler: Prevedenie podvodu bolo prekvapivo jednoduché a nezabralo takmer žiadny čas.
Odkedy sa koncept umelej inteligencie stal populárny vďaka filmom ako Blade Runner a Terminátor, ľudia boli zvedaví na potenciál toho, čo by táto technológia mohla vytvoriť ďalej. Až teraz sme však vďaka výkonnejšej počítačovej technike a pozornosti médií svedkami toho, že umelá inteligencia sa dostáva do povedomia masového publika a vďaka nej pravdepodobne začneme byť svedkami kreatívnych a pomerne sofistikovaných útokov s veľmi škodlivými následkami.
Použitie hlasového klonu na vylákanie peňazí
Jake Moore strávil mnoho rokov prácou pre políciu, ktorá ho naučila myslieť ako zločinec. Tento prístup má niekoľko hmatateľných a nedocenených výhod: čím viac človek myslí alebo dokonca koná ako zločinec (bez toho, aby sa ním stal), tým lepšie sa môže chrániť. Je to nevyhnutné na to, aby ste dokázali držať krok s najnovšími hrozbami a predvídať budúce trendy.
Aby si Jake otestoval niektoré možnosti súčasnej umelej inteligencie, musel sa opäť ponoriť do myslenia digitálneho zločinca a eticky zaútočiť na spoločnosť.
Najprv požiadal svojho známeho – nazvime ho Harry – či by mohol naklonovať jeho hlas a použiť ho na útok na jeho spoločnosť. Harry súhlasil a dovolil Jakeovi začať experiment vytvorením klonu svojho hlasu pomocou ľahko dostupného softvéru. Získať Harryho hlas bolo celkom jednoduché – často vytvára krátke propagačné videá pre svoju firmu na svojom kanáli na YouTube. Jakeovi teda stačilo skombinovať niekoľko takýchto videí a mal k dispozícii dobrú zvukovú vzorku, s ktorou mohol pracovať. V priebehu niekoľkých minút vytvoril klon Harryho hlasu, ktorý znel presne ako on, a potom mohol zadávať čokoľvek, čo sa malo prečítať jeho hlasom.
Aby bol útok presvedčivejší, Jake sa rozhodol, že sa zmocní aj Harryho účtu WhatsApp – samozrejme, s povolením. Výmenou SIM kariet získal Jake prístup k účtu, z ktorého potom poslal hlasovú správu finančnej riaditeľke spoločnosti – nazvime ju Sally. Správa obsahovala žiadosť o platbu 250 libier „novému dodávateľovi“. Jake sa rozhodol vykonať útok v čase, keď bol Harry na pracovnom obede, čo mu poskytlo dokonalé načasovanie.
Vo falošnej hlasovej správe Harry uviedol, kde sa nachádza, a spomenul, že potrebuje zaplatiť „novému architektovi“, pričom prisľúbil, že bankové údaje pošle samostatne v ďalšej správe. Ďalšie informácie zaslané po hlasovej správe v aplikácii WhatsApp stačili na to, aby Sally presvedčili, že žiadosť je pravá. Do 16 minút od prvej správy bolo na Jakeov osobný účet prevedených 250 libier.
Obrázok 1: Screenshot etického podvodu s využitím klonovania hlasu
Jake priznáva, že ho šokovalo, aké jednoduché to bolo a ako rýchlo presvedčil Sally, že Harryho naklonovaný hlas je skutočný.
Táto úroveň manipulácie fungovala vďaka kombinácii súvisiacich faktorov:
- Použité telefónne číslo patrilo riaditeľovi
- Vymyslený príbeh zodpovedal udalostiam toho dňa
- Hlasová správa, samozrejme, znela ako šéf
Sally neskôr uviedla, že všetky uvedené skutočnosti boli viac než dostatočné na to, aby žiadosti vyhovela. Netreba dodávať, že spoločnosť odvtedy pridala ďalšie bezpečnostné opatrenia na ochranu svojich financií. A Jake, samozrejme, vrátil 250 libier.
Falošné business konto WhatsApp
Krádež cudzieho účtu WhatsApp prostredníctvom útoku výmenou SIM karty môže byť trochu zdĺhavou metódou na zvýšenie dôveryhodnosti útoku, ale stáva sa to častejšie, ako by ste si mysleli. Kyberzločinci však nemusia nevyhnutne zájsť tak ďaleko, aby dosiahli rovnaký výsledok.
Aj Jake sa stal terčom útoku, ktorý sa spočiatku zdal dôveryhodný. Niekto mu poslal správu v aplikácii WhatsApp, v ktorej sa vydával za priateľa, ktorý je vedúcim pracovníkom v IT spoločnosti.
Priebeh útoku bol zaujímavý tým, že hoci Jake je zvyknutý overovať si informácie, táto správa prišla s prepojeným menom kontaktu namiesto toho, aby sa zobrazovala ako číslo. To bolo obzvlášť zaujímavé, pretože číslo, z ktorého prišla, nebolo uložené v Jakeovom zozname kontaktov a predpokladal, že sa bude stále zobrazovať ako mobilné číslo, nie ako meno.
Obrázok 2: Screenshot správy z falošného business WhatsApp účtu
Obrázok 3: Screenshot správy z falošného business WhatsApp účtu
Obrázok 4: Screenshot falošného business WhatsApp účtu
Útočníci to zrejme dokázali jednoducho vytvorením účtu WhatsApp Business, ktorý umožňuje pridať do účtu ľubovoľné meno, fotografiu a e-mailovú adresu, aby hneď vyzeral ako pravý. Pridajte k tomu klonovanie hlasu pomocou umelej inteligencie a voilà, vstúpili sme do novej generácie sociálneho inžinierstva.
Jake našťastie od začiatku vedel, že ide o podvod, ale mnohí ľudia by mohli naletieť na tento jednoduchý trik, ktorý by v konečnom dôsledku mohol viesť k finančnej strate.
Keďže strojové učenie a umelá inteligencia napredujú míľovými krokmi a stávajú sa čoraz dostupnejšími pre masy, vstupujeme do éry, keď technológie začínajú pomáhať zločincom efektívnejšie ako kedykoľvek predtým, a to vďaka zdokonaľovaniu všetkých existujúcich nástrojov, ktoré pomáhajú utajiť identitu a miesto pobytu zločincov.
Ako zostať v bezpečí pred podvodmi s klonovaním hlasu?
Vráťme sa k našim experimentom a prejdime si niekoľko základných bezpečnostných opatrení, ktoré by mali organizácie prijať, aby sa nestali obeťou klonovania hlasu alebo iných podvodov:
- Dodržiavajte obchodné a schvaľovacie procesy.
- Overujte osoby a procesy; napríklad všetky žiadosti o platbu overujte u osoby, ktorá (údajne) žiadosť predkladá, v prípade potreby aj dvakrát, a prevody schvaľujte dvoma zamestnancami vašej spoločnosti.
- Sledujte najnovšie trendy vo svete technológií a prispôsobte tomu vzdelávanie svojich zamestnancov a bezpečnostné prvky.
- Nastavte ad hoc informačné školenia pre svojich zamestnancov.
- Používajte viacvrstvový bezpečnostný softvér.
Tu je niekoľko tipov, ako sa chrániť pred výmenou SIM karty a inými útokmi zameranými na krádež vašich osobných údajov alebo peňazí:
- Obmedzte množstvo svojich osobných údajov zdieľaných online. Ak je to možné, vyhnite sa zverejňovaniu svojej adresy alebo telefónneho čísla.
- Obmedzte počet ľudí, ktorí môžu vidieť vaše príspevky a iný obsah na sociálnych sieťach.
- Dávajte si pozor na phishingové podvody a iné pokusy o vylákanie vašich osobných údajov.
- Používajte dvojfaktorovú autentifikáciu (2FA), napríklad autentifikačnú aplikáciu alebo hardvérové autentifikačné zariadenie. Nezabudnite ju používať aj na svojom účte WhatsApp a všetkých ostatných účtoch, ktoré ju ponúkajú.
Pri pohľade na útoky klonovaním hlasu sa môžete zľaknúť, ale pravdou je, že aj týmto pokročilým podvodom sa dá vyhnúť. Dodržiavanie vyššie uvedených tipov a ostražitosť vám môžu pomôcť rozpoznať skutočný hlas známej osoby od podvodného robota.