Waarom Deepfakes de wereld van phishing revolutioneren

Maar de opkomst van elektronische communicatie en het wegvallen van persoonlijke interactie heeft deze dynamiek veranderd. BEC-aanvallen zijn op de voorgrond getreden en maken gebruik van e-mailfraude om hun doelwitten aan te vallen via factuurzwendel en spear phishing-spoofaanvallen om gegevens voor andere criminele activiteiten te verzamelen.

Deepfake-aanvallen, of "voice phishing"-aanvallen, liggen in het verlengde van BEC's en hebben een nieuwe dimensie toegevoegd aan het arsenaal van de aanvaller.

Social engineering-aanvallen, doorgaans uitgevoerd via impersonatieaanvallen en phishing , zijn een effectieve tactiek voor criminele entiteiten en dreigingsactoren, en zijn in heel 2019 blijven toenemen. Bedreigingsactoren doen zich voor als e-mailadressen, domeinen, subdomeinen, landingspagina's, websites, mobiele apps en sociale-mediaprofielen, vaak in combinatie, om doelwitten ertoe te verleiden aanmeldingsgegevens en andere persoonlijke informatie af te staan of malware te installeren.

Deze methode is echter verergerd door de toevoeging van een nieuwe laag van dubbelhartigheid: het gebruik van deepfakes, of voice phishing, komt steeds vaker voor als een extra vector die wordt gebruikt in combinatie met business email compromise (BEC) om frauduleuze geldovermakingen uit te lokken.

Wat is een deepfake?

Deepfake, een combinatie van deep learning en fake, is een proces waarbij bestaande beelden en video's worden gecombineerd en overgeplaatst op bronmedia om een gefabriceerd eindproduct te produceren. Het is een techniek waarbij gebruik wordt gemaakt van machinaal leren en kunstmatige intelligentie om synthetische menselijke beeld- of spraakinhoud te creëren, en die wordt beschouwd als social engineering aangezien het doel ervan is personen te misleiden of te dwingen. In het huidige beladen mondiale politieke klimaat kan de output van een deepfake-aanval ook worden gebruikt om wantrouwen te wekken, de opinie te veranderen en reputatieschade te veroorzaken.

Een deep learning-model wordt getraind met behulp van een grote, gelabelde dataset bestaande uit video- of audiomonsters, totdat het een aanvaardbaar nauwkeurigheidsniveau bereikt. Met de juiste training zal het model in staat zijn een gezicht of stem te synthetiseren die in voldoende mate overeenkomt met de trainingsgegevens om als authentiek te worden beschouwd.

Velen zijn op de hoogte van nepvideo's van politici , zorgvuldig gemaakt om valse boodschappen over te brengen en verklaringen af te leggen die hun integriteit in twijfel trekken. Maar nu bedrijven steeds mondiger en zichtbaarder worden op sociale media, en CEO's zich via video's en beelden uitspreken over doelgerichte merkstrategieën, bestaat het risico dat invloedrijke bedrijfsleiders bronmateriaal zullen leveren voor het aftrappen van mogelijke deepfake-aanvallen?

BEC aanvallen: De eerste stap in voice phishing

Een BEC is de campagne die volgt op een zeer gerichte periode van onderzoek naar een doelorganisatie. Door alle beschikbare middelen te gebruiken om de organisatiestructuur te onderzoeken, kunnen bedreigers effectief werknemers identificeren en benaderen die gemachtigd zijn om betalingen vrij te geven. Door zich voor te doen als hogere leidinggevenden of bekende en vertrouwde leveranciers proberen aanvallers toestemming te krijgen en betalingen vrij te geven op valse rekeningen.

Uit een FBI-rapport bleek dat BEC-aanvallen organisaties wereldwijd meer dan 26 miljard dollar hebben gekost tussen juni 2016 en juli van dit jaar. "De zwendel wordt vaak uitgevoerd wanneer een subject legitieme zakelijke of persoonlijke e-mailaccounts compromitteert door middel van social engineering of computerinbraak om ongeoorloofde geldoverdrachten uit te voeren," aldus de FBI alert .

In figuur 1 geeft het verzoek om een persoonlijk gsm-nummer aan dat de aanvaller de mogelijkheid heeft om een eventuele nummerweergave op een bedrijfstelefoonnetwerk, die de identiteit van de beller zou bevestigen, te omzeilen.

Voice phishing versterkt BEC-aanvallen

Tegenwoordig wordt deepfake audio gebruikt om BEC-aanvallen te versterken. Uit rapporten blijkt dat er het afgelopen jaar een duidelijke toename is geweest van deepfake audio-aanvallen. Maar zullen deze aanvallen prominenter worden als de volgende generatie phishing-aanvallen (of "vishing" als in "voice phishing") en uitgroeien tot de favoriete aanvalsvector in plaats van BEC?

Deepfake audio wordt beschouwd als een van de meest geavanceerde vormen van cyberaanvallen door het gebruik van AI-technologie. Het onderzoek heeft onlangs aangetoond dat een overtuigende gekloonde stem kan worden ontwikkeld met minder dan vier seconden bronaudio. Binnen dit kleine tijdsbestek zijn alle onderscheidbare persoonlijke stemkenmerken, zoals uitspraak, tempo, intonatie, toonhoogte en resonantie, die nodig zijn om een overtuigende deepfake te creëren, waarschijnlijk aanwezig om in het algoritme te worden ingevoerd. Hoe meer bronaudio en trainingssamples, hoe overtuigender de output.

In vergelijking met het produceren van deepfake video, is deepfake audio uitgebreider en moeilijker te detecteren; volgens Axios , "Het detecteren van audio deepfakes vereist het trainen van een computer om te luisteren naar onhoorbare hints dat de stem niet van een echte persoon afkomstig kan zijn."

Hoe deepfake phishing aanvallen worden gecreëerd

Deepfake audio vereist dat materiaal wordt gecreëerd door trainingsgegevens en audiomonsters in de juiste algoritmen in te voeren. Dit materiaal kan bestaan uit een groot aantal audioclips van het doelwit, die vaak worden verzameld uit openbare bronnen zoals toespraken, presentaties, interviews, TED-talks, telefoongesprekken in het openbaar, afluisterpraktijken, en bedrijfsvideo's, waarvan er vele vrij online beschikbaar zijn.

Door het gebruik van spraaksynthese kan moeiteloos een stemmodel worden gecreëerd dat in staat is tekst voor te lezen met dezelfde intonatie, cadans en manier van spreken als de beoogde entiteit. Bij sommige producten kunnen gebruikers zelfs een stem van elk geslacht en elke leeftijd kiezen, in plaats van het beoogde doel na te bootsen. Deze methode maakt het mogelijk in real time een gesprek of interactie met het doelwit aan te gaan, wat de opsporing van snode activiteiten verder bemoeilijkt.

Hoewel de volgende voorbeelden van audiobijlagen bij e-mail waarschijnlijk geen verband houden met deepfake-methodologie, kunnen potentiële vectoren om frauduleuze activiteiten te ontlokken of gebruikersgegevens te verkrijgen niet worden verworpen. De hieronder gegeven voorbeelden zijn typische en veel voorkomende soorten voicemailaanvallen.

Huidige cyberdreigingslandschap

Grootschalige deepfake audiobedriegerij heeft al plaatsgevonden, voor een bedrag van 243.000 dollar. Volgens The Next Web , "zochten criminelen de hulp van commercieel beschikbare stemgenererende AI-software om zich voor te doen als de baas van een Duits moederbedrijf dat eigenaar is van een in het Verenigd Koninkrijk gevestigd energiebedrijf."

Met de technologie waarmee criminele entiteiten spraakmonsters kunnen verzamelen van een groot aantal open-source platforms en valse audio-inhoud kunnen modelleren, is het zeer waarschijnlijk dat er een toename zal zijn van verbeterde BEC-aanvallen die worden aangevuld met "deepfake" audio.

Naarmate bedrijven meer en meer via sociale media met hun klanten proberen te communiceren, zal de drempel om bronmateriaal voor deepfakes te verwerven bovendien lager worden. Daarom moeten leiders zich bewust blijven van de niet-conventionele cyberbedreigingen waaraan ze zichzelf blootstellen, en een robuust trainingsprogramma voor beveiligingsbewustzijn onderhouden dat gelijke tred houdt met voice phishing, en een proactief model voor informatie over bedreigingen dat stappen onderneemt om bedreigingen te beperken.