הונאת ה-‘בוס’ הגיעה לרמות חדשות בזכות ה-AI: כך תישארו מוגנים
איך טכנולוגיית ה-Deep Fake והבינה המלאכותית משכללים את ההונאות, ומהם הצעדים החיוניים שיגנו עליכם ועל הארגון שלכם מפני התחזויות מתוחכמות
בשנים האחרונות אנו שומעים רבות על טכנולוגיית ה-Deep Fake, טכנולוגיה שעד לפני מספר שנים נתפסה כ"דמיונית". הטכנולוגיה, המבוססת על בינה מלאכותית, מאפשרת לשנות או לעבד תוכן של תמונות או סרטונים ריאליסטיים ביותר, על מנת לייצר תוכן חדש.
התוכן שמופק באמצעות ה-Deep Fake מאפשר להשתמש בדמותו של אדם, תוך זיוף קול או זיוף פנים בקבצי קול, תמונות וסרטוני וידאו, ולהציגו בפעולות שלא התבצעו במציאות. לצד ההזדמנויות המרשימות שיש לשימוש בטכנולוגיה זו להנאת כולנו, ישנן לא מעט סכנות שהולכות ומתגברות נוכח האפשרות של בעלי כוונות זדוניות להשתמש בטכנולוגיה הזו לרעה לצורך זריעת דיסאינפורמציה, כמו במאבקים פוליטיים, לפגיעה באנשים באמצעות פרסום תמונות פייק ויצירת הזדמנויות להונאות שונות.
חששות אלו זכו להתייחסות מצד ענקיות טכנולוגיה דוגמת OpenAI, שהכריזה לאחרונה על כוונתה שלא לאפשר להמונים להשתמש בכלי החדש שפיתחה, המאפשר לזייף קול. ברמה המקומית, הזהיר בחודש שעבר מערך הסייבר הישראלי מפני הסכנות שטכנולוגיה זו מייצרת לציבור, במיוחד בזמן המלחמה.
"צעירות נצחית" של כוכב הקולנוע, מול תמונות מזויפות של טיילור סוויפט
מטרות הבידוריות של הטכנולוגיה ברורות. דמיינו את הדואט הכל כך מצופה של הביטלס עם ביונסה, סרט ההמשך לסדרת הסרטים האהובה עליכם שיכול להשתמש בדמותם של כוכבי המקור ללא חשש שסימני הגיל יסגירו את הזמן שעבר, ועוד.
למעשה, כבר לא צריך לדמיין – סרטי מלחמת הכוכבים האחרונים עשו שימוש בדמותה של קארי פישר לאחר שנפטרה, ואפילו הריסון פורד המחודש דיגיטלית גילם לאחרונה את אינדיאנה ג'ונס בסרט של דיסני המתרחש בתקופה הנאצית. אל מול דוגמאות אלו, לא חסרות דוגמאות לשימושים זדוניים כאשר בחודשים האחרונים הופצו תמונות מזויפות של טיילור סוויפט שנוצרו בטכנולוגיה זו. בכל המקרים, התוצאות היו כל כך משכנעות, שקשה לזהות שהתמונות נוצרו באמצעות טכנולוגיית Deep Fake.
יכולת טכנולוגית זו נפוצה ברשת בשלל כלים זמינים המאפשרים למשתמשים ליצור דמות Deep Fake מלאה. כל שדרוש הוא הקלטות וידאו ושמע של אדם, המוכנסות דיגיטלית לתמונה או סרטון באמצעות בינה מלאכותית.
במקרה של סרטון או תמונה, תווי הפנים של אדם אחד יכולים להיות משולבים על אדם אחר, וכך נוצר תוצר מסונכרן בצורה מושלמת. רק השבוע פורסם כי OpenAI, מפתחת ChatGPT, העידה שהיא מגבילה את ההפצה של כלי לשיבוט קולי באמצעות דגימת קול של 15 שניות בלבד, מחשש שזה ישמש לצרכים זדוניים. באותה הודעה, המליצה החברה לחברות אחרות לא להתבסס על זיהוי קולי במערכות אבטחה.
מהי הונאת ה-"בוס"?
אחת ההונאות המוכרות של עברייני סייבר נקראת הונאת בוס או הונאת מנכ"ל, ושיטת רמאות זו הופכת לקשה יותר לזיהוי בגלל ה-Deep Fake בשילוב עם AI. עובד כלשהו, לעיתים קרובות ממחלקת כספים, מקבל מייל שנראה אחד לאחד כמו מייל מהמנכ"ל או מסמנכ"ל הכספים, עם בקשה להעביר תשלום לספק מסוים דחוף. עובדים עשויים לקבל בהכנעה כל הוראה שיקבלו מהמנהלים, במיוחד כשהן מלוות במשפטים כמו "רק תעשה את זה מהר", "זה דחוף" וכדומה.
עובד תמים מדי בארגונים בהם אין מדיניות מסודרת של אישור העברה כספית עלול ליפול בפח די בקלות. השימוש בדיפ פייק עם יכולות ה-AI המתקדמות כיום משכלל את הונאות הבוס באופן משמעותי. דמיינו שקיבלתם הודעת וואטסאפ קולית עם הקול של סמנכ"ל הכספים בחברה או וידאו בו נראה המנכ"ל שלכם מבקש לבצע העברה כספית כלשהי. גם אדם חשדן מאוד עלול ליפול בפח.
איך מתגוננים מפני הונאת ה-"בוס"? חפשו גליצ'ים
ההגנה הטובה ביותר מפני הונאת בוס אינה טכנולוגית כלל. ראשית, יש ליצור בכל ארגון רצף תהליכים פנימיים להעברת תשלומים באופן שלא מאפשר את העברת הכסף על ידי בקשה פשוטה או הוראה מאנשים ספציפיים, ללא אישור וחתימה של כמה גורמים. בעבר אומץ עקרון 4 העיניים לפעילויות מסוימות, למשל החלטה על עסקה או העברה כספית מעל סכום מסוים חייבת להיות מאושרת על ידי שני אנשים לפחות. עקרון זה בא לידי ביטוי גם בבקשת אישורים בערוצים נפרדים. לדוגמה, אם ההוראה הגיעה במייל, ניתן לאמת ולאשר את הפעולה בשיחה טלפונית ולהפך.
התקפות כאלה מוכנות ומתוכננות בקפידה רבה, ולכן כשעורכים שינויים בתהליכים עסקיים להעברת כספים החוצה, כדאי לקחת בחשבון שהתוקפים מכירים אותם לכל פרט ופרט. לכן, חשוב ביותר ששני זוגות או יותר של עיניים הבודקות מסמכים לא יתייחסו לתהליך באופן פורמלי, ויחתמו אוטומטית על כל פיסת נייר.
נוסף על כך, אם תרצו לוודא את אמיתות הסרטון או קובץ האודיו, חפשו אחר סימנים מסגירים. סימנים אלו לרוב יציגו סתירה בין התוכן המדובר בסרטון לבין המוצג בפועל, הבעות פנים לא תואמות, מבט לכיוון לא תואם ועוד. אופציה נוספת היא זיהוי מה שניתן לכנות "גליצ'ים" בתוכן: בפנים קשה מאוד לזייף תנועות עיניים אחר אובייקט או אפילו תנועות מצמוץ שיכולות לא להופיע כלל או אפילו להראות מזויפות מדי באופן מחשיד.
מעל כל אלה ניתן ואף רצוי לייצר מנגנון אישור סופי בדמות אינטראקציה יזומה מול הגורם שנמצא בצידו השני של השיחה. שאלה שאתם יודעים שרק לבוס שלכם יש תשובה עליה ובכלל כל שאלה עלולה לחשוף בפניכם את הזיוף ולייצר "גליצ'ים" שהתוקף לא נערך להם מבעוד מועד.
מיכאל קונדרשין הוא ארכיטקט פתרונות סייבר ב-Trend Micro
איך טכנולוגיית ה-Deep Fake והבינה המלאכותית משכללים את ההונאות, ומהם הצעדים החיוניים שיגנו עליכם ועל הארגון שלכם מפני התחזויות מתוחכמות
בשנים האחרונות אנו שומעים רבות על טכנולוגיית ה-Deep Fake, טכנולוגיה שעד לפני מספר שנים נתפסה כ"דמיונית". הטכנולוגיה, המבוססת על בינה מלאכותית, מאפשרת לשנות או לעבד תוכן של תמונות או סרטונים ריאליסטיים ביותר, על מנת לייצר תוכן חדש.
התוכן שמופק באמצעות ה-Deep Fake מאפשר להשתמש בדמותו של אדם, תוך זיוף קול או זיוף פנים בקבצי קול, תמונות וסרטוני וידאו, ולהציגו בפעולות שלא התבצעו במציאות. לצד ההזדמנויות המרשימות שיש לשימוש בטכנולוגיה זו להנאת כולנו, ישנן לא מעט סכנות שהולכות ומתגברות נוכח האפשרות של בעלי כוונות זדוניות להשתמש בטכנולוגיה הזו לרעה לצורך זריעת דיסאינפורמציה, כמו במאבקים פוליטיים, לפגיעה באנשים באמצעות פרסום תמונות פייק ויצירת הזדמנויות להונאות שונות.
חששות אלו זכו להתייחסות מצד ענקיות טכנולוגיה דוגמת OpenAI, שהכריזה לאחרונה על כוונתה שלא לאפשר להמונים להשתמש בכלי החדש שפיתחה, המאפשר לזייף קול. ברמה המקומית, הזהיר בחודש שעבר מערך הסייבר הישראלי מפני הסכנות שטכנולוגיה זו מייצרת לציבור, במיוחד בזמן המלחמה.
"צעירות נצחית" של כוכב הקולנוע, מול תמונות מזויפות של טיילור סוויפט
מטרות הבידוריות של הטכנולוגיה ברורות. דמיינו את הדואט הכל כך מצופה של הביטלס עם ביונסה, סרט ההמשך לסדרת הסרטים האהובה עליכם שיכול להשתמש בדמותם של כוכבי המקור ללא חשש שסימני הגיל יסגירו את הזמן שעבר, ועוד.
למעשה, כבר לא צריך לדמיין – סרטי מלחמת הכוכבים האחרונים עשו שימוש בדמותה של קארי פישר לאחר שנפטרה, ואפילו הריסון פורד המחודש דיגיטלית גילם לאחרונה את אינדיאנה ג'ונס בסרט של דיסני המתרחש בתקופה הנאצית. אל מול דוגמאות אלו, לא חסרות דוגמאות לשימושים זדוניים כאשר בחודשים האחרונים הופצו תמונות מזויפות של טיילור סוויפט שנוצרו בטכנולוגיה זו. בכל המקרים, התוצאות היו כל כך משכנעות, שקשה לזהות שהתמונות נוצרו באמצעות טכנולוגיית Deep Fake.
יכולת טכנולוגית זו נפוצה ברשת בשלל כלים זמינים המאפשרים למשתמשים ליצור דמות Deep Fake מלאה. כל שדרוש הוא הקלטות וידאו ושמע של אדם, המוכנסות דיגיטלית לתמונה או סרטון באמצעות בינה מלאכותית.
במקרה של סרטון או תמונה, תווי הפנים של אדם אחד יכולים להיות משולבים על אדם אחר, וכך נוצר תוצר מסונכרן בצורה מושלמת. רק השבוע פורסם כי OpenAI, מפתחת ChatGPT, העידה שהיא מגבילה את ההפצה של כלי לשיבוט קולי באמצעות דגימת קול של 15 שניות בלבד, מחשש שזה ישמש לצרכים זדוניים. באותה הודעה, המליצה החברה לחברות אחרות לא להתבסס על זיהוי קולי במערכות אבטחה.
מהי הונאת ה-"בוס"?
אחת ההונאות המוכרות של עברייני סייבר נקראת הונאת בוס או הונאת מנכ"ל, ושיטת רמאות זו הופכת לקשה יותר לזיהוי בגלל ה-Deep Fake בשילוב עם AI. עובד כלשהו, לעיתים קרובות ממחלקת כספים, מקבל מייל שנראה אחד לאחד כמו מייל מהמנכ"ל או מסמנכ"ל הכספים, עם בקשה להעביר תשלום לספק מסוים דחוף. עובדים עשויים לקבל בהכנעה כל הוראה שיקבלו מהמנהלים, במיוחד כשהן מלוות במשפטים כמו "רק תעשה את זה מהר", "זה דחוף" וכדומה.
עובד תמים מדי בארגונים בהם אין מדיניות מסודרת של אישור העברה כספית עלול ליפול בפח די בקלות. השימוש בדיפ פייק עם יכולות ה-AI המתקדמות כיום משכלל את הונאות הבוס באופן משמעותי. דמיינו שקיבלתם הודעת וואטסאפ קולית עם הקול של סמנכ"ל הכספים בחברה או וידאו בו נראה המנכ"ל שלכם מבקש לבצע העברה כספית כלשהי. גם אדם חשדן מאוד עלול ליפול בפח.
איך מתגוננים מפני הונאת ה-"בוס"? חפשו גליצ'ים
ההגנה הטובה ביותר מפני הונאת בוס אינה טכנולוגית כלל. ראשית, יש ליצור בכל ארגון רצף תהליכים פנימיים להעברת תשלומים באופן שלא מאפשר את העברת הכסף על ידי בקשה פשוטה או הוראה מאנשים ספציפיים, ללא אישור וחתימה של כמה גורמים. בעבר אומץ עקרון 4 העיניים לפעילויות מסוימות, למשל החלטה על עסקה או העברה כספית מעל סכום מסוים חייבת להיות מאושרת על ידי שני אנשים לפחות. עקרון זה בא לידי ביטוי גם בבקשת אישורים בערוצים נפרדים. לדוגמה, אם ההוראה הגיעה במייל, ניתן לאמת ולאשר את הפעולה בשיחה טלפונית ולהפך.
התקפות כאלה מוכנות ומתוכננות בקפידה רבה, ולכן כשעורכים שינויים בתהליכים עסקיים להעברת כספים החוצה, כדאי לקחת בחשבון שהתוקפים מכירים אותם לכל פרט ופרט. לכן, חשוב ביותר ששני זוגות או יותר של עיניים הבודקות מסמכים לא יתייחסו לתהליך באופן פורמלי, ויחתמו אוטומטית על כל פיסת נייר.
נוסף על כך, אם תרצו לוודא את אמיתות הסרטון או קובץ האודיו, חפשו אחר סימנים מסגירים. סימנים אלו לרוב יציגו סתירה בין התוכן המדובר בסרטון לבין המוצג בפועל, הבעות פנים לא תואמות, מבט לכיוון לא תואם ועוד. אופציה נוספת היא זיהוי מה שניתן לכנות "גליצ'ים" בתוכן: בפנים קשה מאוד לזייף תנועות עיניים אחר אובייקט או אפילו תנועות מצמוץ שיכולות לא להופיע כלל או אפילו להראות מזויפות מדי באופן מחשיד.
מעל כל אלה ניתן ואף רצוי לייצר מנגנון אישור סופי בדמות אינטראקציה יזומה מול הגורם שנמצא בצידו השני של השיחה. שאלה שאתם יודעים שרק לבוס שלכם יש תשובה עליה ובכלל כל שאלה עלולה לחשוף בפניכם את הזיוף ולייצר "גליצ'ים" שהתוקף לא נערך להם מבעוד מועד.
מיכאל קונדרשין הוא ארכיטקט פתרונות סייבר ב-Trend Micro