Kun videopuhelu ei ole enää todiste: Miten deepfakes uhkaavat kryptoalaa
Miten tekoälypohjaiset hyökkäykset muokkaavat kryptoturvallisuutta?
Aikoinaan videopuhelut olivat lisäsuoja huijareita vastaan. Jos näit jonkun henkilön livenä ruudulla, oletit puhuvasi oikean henkilön kanssa. Tekniikka on kuitenkin kehittynyt, eikä se, mitä äskettäin pidettiin turvallisena, enää takaa turvallisuutta.
Binance-yhtiön entinen toimitusjohtaja Changpeng Zhao on kiinnittänyt huomiota uuteen huijausaaltoon, joka on saamassa vauhtia: reaaliaikaisen deepfake-videon käyttö kryptoyhteisön jäsenten kohdentamiseen ja vaarantamiseen. Zhaon mukaan jopa videovarmennus voi pian muuttua merkityksettömäksi. Jos kasvot ja ääni voidaan vakuuttavasti väärentää, miten kukaan voi olla varma siitä, kenen kanssa hän todella puhuu?
Loading...
Todelliset hyökkäykset eivät ole enää harvinaisia
Tämä ei ole vain hypoteettinen uhka. Japanilainen kryptovaikuttaja Mai Fujimoto menetti pääsyn sekä Telegram- että Metamask-lompakkoihinsa sen jälkeen, kun hän oli liittynyt Zoom-puheluun jonkun luotettavan henkilön väärennetyn version kanssa. Hänet huijattiin klikkaamaan "päivitys"-linkkiä sen jälkeen, kun hän oli kamppaillut kuullakseen äänen. Ennen puheluun liittymistä Fujimoto ei ollut tajunnut, että hänen tuttavansa Telegram-tili oli jo hakkeroitu.
"Hän lähetti minulle linkin ja kehotti minua noudattamaan joitakin ohjeita ääniasetusten säätämiseksi, ja uskon, että hyökkäys vaaransi tietokoneeni silloin."
Deepfake-hyökkäykset kohdistuvat yhä useammin kryptoyhtiöiden, rahastojen ja pörssien työntekijöihin. Eräässä äskettäisessä tapauksessa pahansuovat toimijat esiintyivät useiden Zoom-puhelujen aikana kryptorahastojen johtajina ja vakuuttivat yhden työntekijän asentamaan tarvitsemansa ohjelmiston. Tuloksena oli näppäinlukija, näytön nauhuri ja yksityisten avainten varastaminen.
Lähes kaikki voidaan väärentää
Ongelmana on, että perinteinen digitaalisen luottamuksen malli ei enää toimi. Kasvot, käyttäjänimi, ääni - kaikki nämä voidaan nykyään väärentää vakuuttavasti. Nykyaikaiset deepfake-algoritmit voivat paitsi jäljitellä jonkun äänensävyä ja ilmeitä myös mukautua reaaliaikaisesti henkilön reaktioihin. Tämä tarkoittaa, että visuaalinen ja äänellinen kontakti ei ole enää luotettava aitouden osoitin.
Vaikka yritysympäristöissä voidaan edelleen toteuttaa monitasoista todentamista - käyttämällä sisäisiä alustoja, käyttöoikeuskoodeja tai varmennuskanavia - epäviralliset keskustelut ja henkilökohtainen viestintä perustuvat usein pelkästään luottamukseen. Juuri tämä tekee käyttäjistä haavoittuvia: jonkun "äänen" tai "kasvojen" tunteminen antoi ennen turvallisuuden tunteen, mutta nyt siitä voi tulla heikko kohta.
Teknologia on menossa vielä pidemmälle. Jotkin liitännäisohjelmat voivat nyt luoda hyperrealistisia kasvoja videopuhelujen aikana, simuloida silmien liikkeitä, räpäyttää silmiä ja jopa ääniviiveitä - kaikki tämä luo illuusion elävästä keskustelusta. Ja tämä illuusio voi riittää vakuuttamaan jonkun myöntämään pääsyn tai suorittamaan vaarallisen toimenpiteen ilman, että hän epäilee mitään.
Kyberhygienia ei ole enää vapaaehtoista
Zhaon kehotus olla asentamatta ohjelmistoja epävirallisista lähteistä ei ole enää pelkkä yleinen muistutus - se on kyberhygienian perusvaatimus. Maailmassa, jossa jopa videopuhelut voidaan vaarantaa, ainoa tehokas suoja on kriittinen ajattelu ja selkeät digitaalisen käyttäytymisen protokollat.
Tämä tarkoittaa, että on vältettävä kokonaan:
- minkään ohjelmiston asentamista yksityisviesteissä saaduista linkeistä;
- salasanojen tai koodien syöttäminen videopuhelun aikana;
- toisen vahvistuskanavan (kuten erillisen viestin tai puhelun toisen alustan kautta) ohittaminen.
Samalla yritysten on otettava käyttöön sisäiset henkilöllisyyden varmistuskäytännöt, vaikka ääni kuulostaisi tutulta, otettava käyttöön käyttäytymisen seurantatyökaluja ja koulutettava tiimejä tunnistamaan henkilöitymisen merkit.
Tätä ei ole vielä vaadittu laissa. Todellisuus kuitenkin vaatii - ja virheen kustannukset eivät ole vain menetettyjä varoja, vaan myös maine ja liiketoiminnan jatkuvuus.
