Kui videokõne ei ole enam tõestus: Kuidas deepfakes ähvardavad krüptosektorit
Kuidas tehisintellektipõhised rünnakud muudavad krüptoturvet
Oli aeg, mil videokõned olid täiendavaks kaitsevahendiks petturite vastu. Kui nägite kedagi otse ekraanil, eeldasite, et räägite päris inimesega. Kuid tehnoloogia on arenenud - ja see, mida hiljuti peeti turvaliseks, ei taga enam turvalisust.
Endine Binance'i tegevjuht Changpeng Zhao on juhtinud tähelepanu uuele pettuse lainele, mis kogub üha enam hoogu: reaalajas deepfake-video kasutamine krüptokogukonna liikmete sihtimiseks ja kompromiteerimiseks. Zhao sõnul võib isegi videovastavuse kontrollimine varsti muutuda mõttetuks. Kui nägu ja häält saab veenvalt võltsida, siis kuidas saab keegi olla kindel, kellega ta tegelikult räägib?
Loading...
Tõelised rünnakud ei ole enam haruldased
See ei ole lihtsalt hüpoteetiline oht. Jaapani krüptoinfitseerija Mai Fujimoto kaotas juurdepääsu nii oma Telegrami kui ka Metamask rahakotile pärast seda, kui ta ühines Zoomi kõnelusega kellegi usaldusväärse isiku deepfake-versiooniga. Teda peteti, et ta vajutaks "uuendamise" lingile pärast seda, kui ta oli vaeva näinud, et kuulda heli. Enne kõnega liitumist ei olnud Fujimoto aru saanud, et tema tuttava Telegrami konto oli juba häkitud.
"Ta saatis mulle lingi ja andis mulle korralduse järgida mõningaid samme, et kohandada heliseadistusi, ja ma usun, et just siis sattus rünnak minu arvutisse."
Deepfake-rünnakud on üha enam suunatud krüptofirmade, fondide ja börside töötajate vastu. Ühel hiljutisel juhul esitlesid pahatahtlikud osalejad end mitme Zoom-kõne käigus ühe krüptofondi juhtidena, veendes üht töötajat paigaldama neile vajalikku tarkvara. Tulemuseks oli klahvilogger, ekraanisalvesti ja isiklike võtmete vargus.
Peaaegu kõike saab võltsida
Probleem on selles, et traditsiooniline digitaalse usalduse mudel ei toimi enam. Nägu, kasutajanimi, hääl - kõiki neid saab nüüd veenvalt võltsida. Kaasaegsed deepfake-algoritmid ei suuda mitte ainult jäljendada kellegi hääletooni ja näoilmet, vaid ka kohaneda reaalajas inimese reaktsioonidega. See tähendab, et visuaalne ja audiokontakt ei ole enam usaldusväärne autentsuse näitaja.
Kuigi ettevõtluskeskkondades saab endiselt rakendada mitmetasandilist kontrolli - kasutades siseplatvorme, juurdepääsutunnuseid või varakinnituskanaleid -, tuginevad mitteametlikud vestlused ja isiklik suhtlus sageli üksnes usaldusele. Just see muudab kasutajad haavatavaks: kellegi "hääle" või "näo" tundmine andis kunagi turvatunde, kuid nüüd võib sellest saada nõrk koht.
Tehnoloogia liigub veelgi kaugemale. Mõned pluginad suudavad nüüd videokõnede ajal luua hüperrealistlikke nägusid, simuleerides silmade liikumist, silmade vilkumist ja isegi helihäireid - kõik selleks, et luua illusioon elavast vestlusest. Ja sellest illusioonist võib piisata, et veenda kedagi juurdepääsu võimaldama või ohtlikku tegevust sooritama, ilma et ta midagi kahtlustaks.
Küberhügieen ei ole enam vabatahtlik
Zhao üleskutse mitte kunagi mitteametlikest allikatest tarkvara installida ei ole enam lihtsalt üldine meeldetuletus - see on küberhügieeni põhinõue. Maailmas, kus isegi videokõned võivad olla kompromiteeritud, on ainus tõhus kaitse kriitiline mõtlemine ja selged digitaalsed käitumisprotokollid.
See tähendab täielikku vältimist:
- igasuguse tarkvara paigaldamist privaatsõnumites saadud linkidest;
- paroolide või koodide sisestamine videokõne ajal;
- teise kinnituskanali (näiteks eraldi sõnum või kõne teise platvormi kaudu) vahelejätmine.
Samal ajal peavad ettevõtted võtma kasutusele sisemised identiteedi kontrollimise põhimõtted, isegi kui hääl kõlab tuttavalt, võtma kasutusele käitumise jälgimise vahendid ja koolitama meeskondi, et nad tunneksid ära isikupuutumise tunnused.
Seda ei nõua veel ükski seadus. Kuid tegelikkus nõuab seda - ja vea hinda ei mõõdeta mitte ainult kaotatud rahasummades, vaid ka maines ja äritegevuse järjepidevuses.
