Gdy rozmowa wideo nie jest już dowodem: Jak deepfake'i zagrażają sektorowi kryptowalut
Jak ataki oparte na sztucznej inteligencji zmieniają bezpieczeństwo kryptowalut?
Był czas, kiedy rozmowy wideo służyły jako dodatkowe zabezpieczenie przed oszustami. Jeśli widziałeś kogoś na żywo na ekranie, zakładałeś, że rozmawiasz z prawdziwą osobą. Ale technologia ewoluowała - a to, co niedawno uważano za bezpieczne, nie gwarantuje już bezpieczeństwa.
Były dyrektor generalny Binance, Changpeng Zhao, zwrócił uwagę na nową falę oszustw, która nabiera rozpędu: wykorzystanie deepfake video w czasie rzeczywistym do atakowania i narażania na szwank członków społeczności kryptowalutowej. Według Zhao, nawet weryfikacja wideo może wkrótce stać się bez znaczenia. Jeśli twarz i głos mogą być przekonująco sfałszowane, jak ktokolwiek może być pewien, z kim naprawdę rozmawia?
Loading...
Prawdziwe ataki nie są już rzadkością
To nie jest tylko hipotetyczne zagrożenie. Japońska influencerka kryptowalutowa Mai Fujimoto straciła dostęp zarówno do swojego portfela Telegram, jak i Metamask po dołączeniu do rozmowy Zoom z fałszywą wersją kogoś, komu ufała. Została nakłoniona do kliknięcia linku "aktualizacja" po tym, jak starała się usłyszeć dźwięk. Przed dołączeniem do rozmowy Fujimoto nie zdawała sobie sprawy, że konto Telegram jej znajomej zostało już zhakowane.
"Wysłała mi link i poinstruowała mnie, abym wykonał kilka kroków w celu dostosowania ustawień audio i uważam, że właśnie wtedy atak naruszył mój komputer".
Ataki Deepfake są coraz częściej wymierzone w pracowników firm kryptowalutowych, funduszy i giełd. W niedawnym przypadku złośliwi aktorzy udawali kierownictwo funduszu kryptowalutowego podczas wielu rozmów Zoom, przekonując jednego z pracowników do zainstalowania potrzebnego oprogramowania. Rezultat: keylogger, rejestrator ekranu i kradzież kluczy prywatnych.
Prawie wszystko można podrobić
Problem polega na tym, że tradycyjny model cyfrowego zaufania już nie działa. Twarz, nazwa użytkownika, głos - wszystko to można teraz przekonująco podrobić. Nowoczesne algorytmy deepfake mogą nie tylko replikować czyjś ton i mimikę, ale także dostosowywać się w czasie rzeczywistym do reakcji danej osoby. Oznacza to, że kontakt wizualny i dźwiękowy nie jest już wiarygodnym wskaźnikiem autentyczności.
Podczas gdy środowiska korporacyjne mogą nadal wdrażać wielopoziomową weryfikację - przy użyciu wewnętrznych platform, tokenów dostępu lub zapasowych kanałów potwierdzeń - nieformalne rozmowy i komunikacja osobista często opierają się wyłącznie na zaufaniu. To właśnie sprawia, że użytkownicy są podatni na zagrożenia: znajomość czyjegoś "głosu" lub "twarzy" kiedyś zapewniała poczucie bezpieczeństwa, ale teraz może stać się słabym punktem.
Technologia idzie jeszcze dalej. Niektóre wtyczki mogą teraz generować hiperrealistyczne twarze podczas połączeń wideo, symulując ruchy oczu, mruganie, a nawet opóźnienia dźwięku - wszystko po to, aby stworzyć iluzję rozmowy na żywo. Iluzja ta może być wystarczająca, aby przekonać kogoś do przyznania dostępu lub wykonania niebezpiecznego działania bez żadnych podejrzeń.
Cyberhigiena nie jest już opcjonalna
Wezwanie Zhao, by nigdy nie instalować oprogramowania z nieoficjalnych źródeł, nie jest już tylko ogólnym przypomnieniem - to podstawowy wymóg higieny cybernetycznej. W świecie, w którym nawet rozmowy wideo mogą być zagrożone, jedyną skuteczną ochroną jest krytyczne myślenie i jasne protokoły zachowań cyfrowych.
Oznacza to całkowite unikanie
- instalowania jakiegokolwiek oprogramowania z linków otrzymanych w prywatnych wiadomościach;
- wprowadzania haseł lub kodów podczas połączenia wideo;
- pomijania dodatkowego kanału potwierdzenia (takiego jak osobna wiadomość lub połączenie za pośrednictwem innej platformy).
W międzyczasie firmy muszą wprowadzić wewnętrzne zasady weryfikacji tożsamości, nawet jeśli głos brzmi znajomo, przyjąć narzędzia do monitorowania zachowania i przeszkolić zespoły w zakresie rozpoznawania oznak podszywania się.
Nie ma jeszcze przepisów, które by tego wymagały. Ale rzeczywistość tego wymaga - a koszt błędu mierzy się nie tylko w utraconych środkach, ale także w reputacji i ciągłości biznesowej.
